El mòbil: el principal objectiu dels "hackers"

Les grans empreses de ciberseguretat ja ho advertien només fa uns mesos: els hackers estaven situant en el punt de mira l'atac a dispositius mòbils. Així ho afirmava Kaspersky en el seu butlletí de seguretat de novembre del 2019 i també ho feia McAfee en el seu informe sobre amenaces mòbils del 2020, en què alertava que aquest any les aplicacions mòbils ocultes serien una gran amenaça per als usuaris. «L'objectiu dels hackers són ordinadors i mòbils, però cada vegada més aquests últims, perquè els tenim més desatesos i tanmateix els fem servir més. Per això als hackers els resulta més fàcil penetrar-hi», afirma Helena Rifà, professora dels Estudis d'Informàtica, Multimèdia i Telecomunicació de la UOC.

De fet, un dels últims ciberatacs de què va advertir la Guàrdia Civil a Twitter va circular per WhatsApp entre telèfons mòbils de tot el país. Es tractava d'una falsa promoció per subscriure's gratuïtament a Netflix durant el confinament per la COVID-19. «Era un atac de phishing, ja que el formulari que emplenaves no anava a Netflix, sinó a una pàgina web trucada amb un aspecte semblant al d'aquesta plataforma», recorda Rifà, que també és membre del grup de recerca K-ryptography and Information Security for Open Networks (KISON) de la UOC.

L'objectiu d'aquest tipus de ciberdelictes és obtenir les nostres dades bancàries de manera directa. Encara que abundin, no són l'únic tipus d'amenaça davant de la qual hem d'estar alerta. «Aproximadament un 40 % dels atacs busquen les nostres dades financeres, però altres tenen com a finalitat recaptar informació en general del perfil dels usuaris per vendre aquestes dades privades a terceres empreses o obtenir més informació personal per si més endavant fan atacs focalitzats», adverteix la professora de la UOC, que recorda que, les últimes setmanes, un dels atacs més comuns ha tingut com a «ganxo» els mapes de seguiment del coronavirus. «Ens els baixàvem per saber en quines zones estava més actiu el virus i molts d'aquests mapes portaven malware», adverteix Helena Rifà.

Amb aquest programari maliciós és possible que els ciberdelinqüents facin un seguiment d'on som i de les trajectòries que seguim o fins i tot que incloguin spyware per saber què teclegem i quines trucades telefòniques fem, de manera que tenen un accés gairebé total a les nostres dades privades.

A més, hi ha un tercer tipus d'amenaça freqüent dirigida a mòbils i està relacionada amb aplicacions no oficials. Tot i que amb l'ordinador solem ser més previnguts, al mòbil ens baixem bastantes aplicacions: segons l'Informe mobile en España y en el mundo 2017 elaborat per Ditrendia, a l'Estat espanyol cada usuari de mòbil té una mitjana de 17,8 aplicacions instal·lades al dispositiu. En la majoria dels casos el problema no són aquestes aplicacions en si, sinó els permisos que donem en instal·lar-les.

«Solem dir que sí a tot, i donem permisos que moltes vegades no estan relacionats amb l'aplicació que estem instal·lant, i és aquí on podem desconfiar. Per exemple, en instal·lar una aplicació de retoc fotogràfic que ens demana accés al nostre servei de veu», assenyala Helena Rifà, que afirma que si veiem aquestes incongruències, podem sospitar. Una altra manera de protegir-nos dels hackers que tenen el nostre mòbil com a objectiu és instal·lar-hi antivirus. Tot i que en poden alentir una mica el funcionament i gastar bateria, segons els experts resulten recomanables.

Enginyeria social en temps de pandèmia

Les conseqüències dels ciberatacs, siguin als dispositius mòbils o a l'ordinador, es tradueixen en milers de milions d'euros. Segons un informe de l'empresa de ciberseguretat RiskIQ, el 2019 cada minut es van perdre 2.646.000 euros per ciberdelinqüència. El 2020 la xifra encara pot ser més alta, ja que el nombre d'atacs s'ha disparat des del començament de l'estat d'alarma, assenyala la professora Helena Rifà. No és l'única novetat que han detectat els experts en ciberseguretat. També ha canviat l'objectiu d'aquests atacs, que ara s'ha desplaçat. «En lloc d'anar directament adreçats a les empreses ara van cap als usuaris finals perquè la feina s'ha desplaçat de les empreses a les llars», recorda Rifà.

Molts d'aquests atacs es basen en l'enginyeria social, que apunta la part emocional dels usuaris per posar en marxa l'operació. Segons explica la professora de la UOC, en el context actual és molt més fàcil que els atacs basats en enginyeria social tinguin èxit perquè el hacker sap que l'usuari està preocupat per un tema en concret, en aquest cas el coronavirus, i per tant pot atacar usant aquest tema com a ganxo enviant notícies sobre la COVID-19. «Coneixent l'interès de l'usuari, les possibilitats d'èxit del  hacker es multipliquen. Sempre que s'intensifica el valor de certa informació és més fàcil penetrar en els usuaris a partir d'aquesta informació. Som més vulnerables», assenyala.

Precisament dels ciberatacs que hi ha hagut durant l'estat d'alarma i de com s'han perpetrat en tractarà la primera jornada del congrés especial UOC-Con, que tindrà lloc el pròxim 27 de maig. A la primera jornada d'aquesta trobada online, «Ciberseguretat i ciberatacs durant l'estat d'alarma», els experts parlaran de les mesures de seguretat davant d'aquestes amenaces.

A més, a la segona jornada, «Mesures de control durant la COVID-19: una amenaça a la nostra privacitat?», es debatrà la privacitat d'aplicacions que tenen com a objectiu controlar la pandèmia mitjançant el seguiment dels ciutadans. «Es tractarà aquest tema no solament des del punt de vista del dret, sinó també des del de la tecnologia: si hi ha solucions i eines per poder aconseguir el mateix objectiu però preservant la privacitat», afirma Helena Rifà, que recorda que ja hi ha iniciatives que poden salvaguardar-nos d'aquest abús de privacitat.

Un exemple d'això és l'aplicació COVIDSafe que ja s'utilitza a Austràlia, la qual incorpora algunes idees de disseny pensant en la privacitat. Tot i que segons els experts tampoc no està exempta de certs problemes, no utilitza dades de geolocalització GPS, de manera que, com que no revela la localització dels usuaris, és menys invasiva.