Seguridad 

Un nuevo ataque de phishing mediante SMS afecta a los usuarios de Android

Mariangel Massiah 0 Comentarios
Jaquer

Jaquer

Los miles de millones de usuarios de Android se enfrentan a un nueva amenaza de phishing. Ahora los ciberdelincuentes pueden engañar a los usuarios de Android a través de un mensaje de texto que les permitirá acceder a sus dispositivos y conseguir relevante información como contraseñas, acceso a su correo electrónico, entre otras cosas.

Cualquiera que tenga un móden USB y los conocimientos, pueden engañar a los usuarios que instalen configuraciones maliciosas en sus teléfonos.

Un grupo de investigadores de Check Point han identificado este nuevo ataque, que está basado en un protocolo que lleva por nombre «aprovisionamiento por aire» (OTA), proceso que normalmente utilizan los operadores móviles para configurar un nuevo dispositivo a su red, realizar actualizaciones en el teléfono, solicitar cambios en los ajustes y parámetros, solicitar mejoras del software y gestionar fallos. Sin embargo, la industria que se encarga del aprovisionamiento de OTA, la Open Mobile Alliance Client Provisioning (OMA CP), dispone al parecer de métodos de autenticidad poco seguros que no permiten al usuario verificar si la configuración proviene de un operador oficial o un impostor.

Es decir, los ciberdelincuentes se aprovechan de los métodos de autenticación limitados que incluye OMA CP, suplantan la identidad de cualquier operador de red y envían mensajes de texto falsos a los usuarios para que acepten sus configuraciones o las realicen manualmente. Una vez que el usuario acepte el mensaje, ignorando que es una estafa, y realicen las modificaciones en el teléfono, los piratas informáticos pueden instalar cualquier software maligno en el dispositivo.

Es un ataque es muy fácil de implementar, ya que los atacantes solo requieren de un módem USB y de conocimientos informáticos mínimos para engañar a los usuarios e invitarles a que instalen las configuraciones maliciosas. Ciertos teléfonos Android, incluidos los de las marcas Samsung, Huawei, LG y Sony, son los más vulnerables a este tipo de ataques, puesto que no cuentan con ningún control de autenticidad para los remitentes de mensajes OMA CP

«Solo se necesita un único mensaje SMS para obtener acceso completo a sus correos electrónicos. Probablemente sea el ataque de phishing más avanzado en nuestros correos electrónicos que hemos visto hasta la fecha», comentan los investigadores de Check Point.

Ante esto, la industria recomienda que los operadores a que autentiquen adecuadamente los mensajes de CP. Asímismo, los investigadores han informado de su hallazgo a los fabricantes de teléfonos Android afectados. Por su parte, Samsung y LG han abordado el problema en su última versión de mantenimiento de seguridad, y Huawei – compañía que ha lanzado su nuevo sistema operativo– planea solucionar el problema en su próxima generación de teléfonos inteligentes. Sin embargo, Sony se ha negado a reconocer el problema, afirmando que sus dispositivos móviles siguen la especificación OMA CP.

Mariangel Massiah

Con licencia para comunicar. Creadora de contenido. Locución. Comunicación digital y corporativa.

También te puede gustar

YouTube ataque

¡Ojo! Ataque de seguridad masivo contra miles de ‘youtubers’

Manuel Moreno 0
Compartir archivos en Google Drive

¡Ojo! Nueva estafa con invitaciones falsas a documentos de Google

Joaquín Romero 0
Instagram

Instagram permite comprobar si un email recibido es de Instagram o no

Manuel Moreno 0

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.