AFS Informática

Suscríbete ahora a nuestra Newsletter

A veces subestimamos lo fácil que es engañar al eslabón más débil de la cadena, al usuario, y obtener directamente de él la información que se busca, a través de técnicas de ingeniería social.

La ingeniería social no es más ni menos que manipular al usuario para obtener nuestro objetivo, y esto es precisamente lo que trata el artículo de hoy.

Si unimos lo fácil que es suplantar la identidad de una persona hoy en día a los fallos de la tecnología, obtenemos una bomba más que explosiva.

Una práctica muy fácil y demasiado habitual es crearse un perfil falso en una red social de moda, cogemos fotos publicadas en algún perfil, por ejemplo de Facebook, y creamos un número de teléfono temporal para recibir el mensaje de confirmación.

A partir de aquí solo hay que relacionarse con los usuarios de la red social.

Lo más habitual es entablar amistad y/o algún tipo de relación, y seguidamente se intercambian los números de teléfono.

¡Aquí viene el error!

Hasta ahora, el perfil falso nos ha engañado pero hemos estado hablando a través de la red social, por lo que no hay demasiado peligro, no nos estamos refiriendo a prácticas de sexting o acoso, sino a que la propia red social pone sus medidas de seguridad mientras permanezcamos en ella. Y es que uno de los peligros viene precisamente cuando nos salimos de la red social y empezamos a hablar a través de WhatsApp por ejemplo.

Si te piden el número de teléfono, sospecha!

En sistemas Android con WhatsApp se puede alterar cualquier archivo, sin que los usuarios se den cuenta. De hecho, el cambio sucede entre el envío del mensaje y antes de llegar a su destinatario. En WhatsApp puede afectar a todos los usuarios, mientras que en Telegram es solo si el usuario tiene ciertos permisos activados, como guardar automáticamente los archivos recibidos.

Las aplicaciones de Android pueden almacenar archivos y datos en dos ubicaciones de almacenamiento: almacenamiento interno y externo. Los archivos guardados en el almacenamiento interno son accesibles solo por la propia aplicación, lo que significa que otras aplicaciones no pueden acceder a ellos.

Los archivos guardados en un directorio público de almacenamiento externo son legibles/modificables por «todo el mundo», por lo que pueden ser modificados por otras aplicaciones o usuarios fuera del control de la aplicación.

De acuerdo con la documentación de Android, «el almacenamiento interno es mejor cuando se quiere asegurar que ni el usuario ni otras aplicaciones puedan acceder a los archivos». Por el contrario, «el almacenamiento externo es el mejor lugar para los archivos que no requieren restricciones de acceso y para los archivos que se desea compartir con otras aplicaciones o permitir que el usuario acceda con una computadora».

De forma predeterminada, WhatsApp almacena los archivos multimedia recibidos por un dispositivo en un almacenamiento externo, en la siguiente ruta: /storage/emulated/0/WhatsApp/Media/.

En Telegram, si un usuario habilita la función «Guardar en la galería», asumiendo que es seguro y sin comprender sus ramificaciones indirectas, Telegram almacenará archivos de manera similar en: /storage/emulated/0/Telegram/.

Ambos son directorios «públicos». Las aplicaciones cargan los archivos recibidos de los directorios públicos para que los usuarios los vean en la interfaz de chat, cuando ingresan al chat correspondiente.

Otro de los ejemplo es la alteración de datos importantes en un archivo PDF. En este, el fallo permite reconocer automáticamente los datos del banco de un vendedor y los cambia para que el pago solicitado se haga a una cuenta completamente diferente.

Lo peor de todo esta situación es que los usuarios no pueden hacer nada para evitar ser víctimas de criminales informáticos que se puedan aprovechar de este fallo, pues solo los desarrolladores pueden eliminarlo. Esperamos que en siguientes actualizaciones se arreglen estos fallos, mientras tanto, una recomendación que le hacemos a los usuarios es quitarles a las dos aplicaciones los permisos para guardar automáticamente archivos multimedia en el dispositivo.

Auditorías de Seguridad en Málaga


Desde AFS Informática recomendamos realizar auditorías periódicas y planes de concienciación continua de Ciberseguridad dentro de la empresa.

¿Te pareció interesante este artículo? Compártelo y ayúdanos a mejorar

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp
Share on telegram
Telegram

Puede que también te interese leer...

Diego Ariza

Perito Judicial Informático, experto en Informática Forense, Ciberseguridad y en Derecho Tecnológico. Certificaciones profesionales en Hacking Ético y Hacking Ético Experto, Hacking y auditorías Web y Hacking a dispositivos móviles. Consultoría y asesoramiento para empresas. Experto en desarrollo y securización de plataformas basadas en WordPress. Experto en implantación y auditoría de las principales normativas relacionadas con la seguridad para empresas: RGPD, ISO 27001, Esquema Nacional de Seguridad. Cibercooperante con el Instituto Nacional de Ciberseguridad de España (INCIBE), formador y ponente.

AFS Informática como Marca Blanca

Ofrece y externaliza nuestros servicios de Seguridad. Nunca contactaremos con tus clientes. Especial para gestorías, asesorías, bufetes de abogados, comerciales independientes, grandes empresas, etc...

Perito Judicial Informático Forense

¿Has sido o estás siendo víctima de una estafa o ataque informático?

Abrir chat