A veces puede querer instalar una aplicación en su celular y, por alguna razón, esta no está disponible. Esto puede deberse a un bloqueo geográfico de la tienda o puede que el mismo programador haya decidido retirarlo de la tienda.
Aunque la aplicación no esté disponible en las tiendas oficiales (App Store o Google Play), puede obtenerlo en sitios paralelos de la internet conocidos como APK websites y a los que también puede llegar por un simple descuido.
El mayor problema, sin embargo, es que estos sitios ofrecen versiones que no siempre son verificadas y, por lo tanto, pueden colocar a su cliente en riesgo. Sólo será necesario que haga una prueba y busque en Google el nombre de su aplicación o marca agregando la palabra "APK": probablemente encontrará decenas o cientos de resultados, todos señalando aplicaciones externas a las tiendas oficiales.
Por qué se multiplican las aplicaciones móviles falsas
Las aplicaciones falsas surgen a partir del uso masivo y despreocupado de los celulares. La notoria confianza que los usuarios depositan día a día en sus aparatos móviles es lo que lleva a la ciberdelincuencia a ver a esos aparatos como un plato rebosante de datos a ser capturados.
Para dimensionar estos riesgos digitales, según datos de RSA, sólo en el primer trimestre de 2019, el número total de fraudes a través de aplicaciones falsas creció un 300% en comparación con el último período de 2018.
El fraude más común proveniente de una app falsa a causa de la navegación descuidada es el malware. Este software maligno puede ser instalado en sistemas operativos desactualizados que tengan fallas de seguridad, o por downloads de origen dudoso. Sin embargo, existen otros muchos matices de esta acción delictiva que pueden pasar por marcas legítimas dentro y fuera de las tiendas móviles oficiales.
Google Play y App Store: ¿estas tiendas oficiales son 100% seguras?
Es un hecho que las tiendas oficiales captan muchas aplicaciones malignas, y nuevos datos sobre eliminación aparecen semanalmente en las noticias. En el informe de seguridad de 2018 del popular Android (sistema de 3 por cada 4 smartphones), el número de smartphones con apps potencialmente malignas que vienen de Google Play fue de 0,08% del total. En lo que se refiere a las apps que vienen de fuera de la tienda oficial, el número es casi 9 veces mayor: son 0,68% de los dispositivos.
De hecho, el número total de aplicaciones disponibles en Google Play ha disminuido: si en marzo de 2018 eran 3.6 millones, en junio de 2019 se contabilizaron 2.7 millones. Aun así, esta es una cantidad significativa, y, en este “pajar”, las infracciones ya utilizan técnicas que intentan dificultar la identificación de códigos malignos y/o el uso indebido de las marcas.
Burlar identificaciones: nuevas estrategias delictivas
Expuesta en el último informe de Sophos, el phishing-in-the-app es una práctica en la que una aplicación sin ningún tipo de código maligno es insertada en las tiendas oficiales. Es difícil de identificar porque funciona como un navegador, redireccionando al usuario a un phishing, y robando sus contraseñas y números de tarjeta de crédito.
En este caso, se usan imágenes y logotipos de bancos famosos. Y estos usos de marca pueden estar presentes solamente en el ícono o en las demostraciones, sin mencionar el nombre de la aplicación. Esto exige, lógicamente, estrategias más amplias de detección y motores de búsqueda más fuertes que las simples búsquedas dentro de las tiendas.
Tiendas no oficiales: APKs, IPAs y tierras desconocidas
Desde aventureros a personas con poca instrucción, existen diversas personas que realizan búsquedas para instalar alguna app específica directamente en Google. En los resultados de las búsquedas, de inmediato surgen alternativas a las tiendas oficiales: son sitios que ponen a disposición archivos APK (Android Application Package) e IPA (iOS App Store Package).
Además de ser claros desvíos del camino legítimo que el consumidor debería seguir, estos archivos deben considerarse malignos por dos razones principales: 1) pueden estar desactualizados o contener fallas de seguridad; y 2) pueden haber sido creados con el objetivo de capturar informaciones o defraudar usuarios.
Sólo es necesario buscar cualquier app (que puede o no ser legítima) en una de esas tiendas alternativas de APK e inmediatamente podrá ver la cantidad de versiones que se ofrecen, y con ellas vienen los peligros:
Archivos malignos en todos lados
Las separaciones entre tiendas oficiales y no oficiales, malware y phishing o el simple uso de marca son únicamente ilustrativas. La actividad de la ciberdelincuencia, en general, sucede en un “organismo”.
Un ejemplo de lo que ocurre con las aplicaciones falsas fue el caso BRata, que fue un Trojan (en buen español, troyano, Caballo de Troya) divulgado como una actualización para WhatsApp:
Fue informado por Kaspersky en agosto de 2019. El malware realizaba el monitoreo de la pantalla del celular infectado y podía, por ejemplo, robar datos y realizar transacciones bancarias. En total, se realizaron más de 10 mil downloads y la aplicación estaba disponible tanto en Google Play como en las tiendas de APKs no oficiales.
Experiencia del consumidor y responsabilidad de marca on-line: ganancias por ambos lados
Así como el crimen se modifica y se vuelve interconectado, también las estrategias que lidian con esas infracciones pueden contener eslabones importantes. Uno de los más relevantes es la relación de marca y cuidado de la experiencia del consumidor.
Si antes llegar a un banco o a una tienda era tan simple como cruzar la calle o recorrer algunas cuadras con el auto, ahora existe una masificación de objetos en la internet, objetos que confunden y perjudican la experiencia del consumidor.
Esto mismo se ve en las aplicaciones: la misma practicidad que lleva a que alguien confíe sus datos on-line, es la que se desea tener para encontrar, bajo términos de seguridad, productos legítimos.
Los miles de BOTs y las técnicas de inteligencia artificial que Axur utiliza pueden servir de apoyo a esta importante experiencia del consumidor on-line. La solución para apps falsas permite que, de forma práctica y eficiente, se realice el monitoreo y la eliminación de todos los riesgos digitales de apps malignas con tan sólo unos pocos clics.
Periodista y Content Creator de Axur, responsable por el Deep Space y actividades de prensa. Por aquí, también ya he analizado muchos datos y estafas como miembro del equipo de Brand Protection. Resumen: trabajar con tecnología, información y conocimiento en conjunto es uno de mis más grandes amores!