Por qué con un simple SMS un hacker podría secuestrar toda la información de tu smartphone

Un simple mensaje puede alcanzar para que un hacker vulnere tu celular. Al menos eso conclusión se puede llegar después de leer la última investigación de la empresa de ciberseguridad Check Point. En su informe dan a conocer cómo una vulnerabilidad crítica de Android pone en riesgo la información de  mil millones de celulares.

El vector de ataque se basa en los mensajes de aprovisionamiento por aire (OTA) que se refiere a un método de distribución de actualizaciones o configuraciones. En el móvil un ejemplo de estos OTA son los mensajes que se ven, por ejemplo, cuando uno se une a una nueva red móvil. Aunque también se pueden recibir mensajes de ese tipo por parte de otras entidades también.

El usuario recibe un mensaje tipo pop up en la pantalla que dice que la red se actualizó y necesita aceptar esta nueva configuración. Lo habitual es presionar "aceptar" sin dudar. El problema es que, debido a la falla que encontraron los investigadores, ahora se sabe que este mecanismo puede ser utilizado por atacantes para ingresar en el smartphone de la víctima.

"Check Point Research descubrió que el estándar de la industria para el aprovisionamiento de OTA, el aprovisionamiento de clientes de Open Mobile Alliance (OMA CP), incluye métodos de autenticación limitados. Agentes remotos pueden explotar esto para hacerse pasar por operadores de red y enviar mensajes engañosos de OMA CP a los usuarios. El mensaje engaña a los usuarios para que acepten configuraciones maliciosas que, por ejemplo, redirigen su tráfico de Internet a través de un servidor proxy propiedad del hacker", se detalla en el comunicado de la compañía de ciberseguridad.

Algunos celulares son más vulnerables a estos ataques de phishing porque no siempre los fabricantes ofrecen un chequeo de autenticidad para verificar la identidad de los emisores de esto mensajes de OMA CP. Así que cualquier atacante podría enviar un mensaje así y bastaría que el usuario acepte el mensaje engañoso para que el software malicioso se instale en el equipo.

Los fabricantes que sí cuentan con alguna forma de autenticación para identificar al emisor se mensajes ofrecen una barrera más de protección pero no es suficiente porque los hackers podrían saltearse esta traba con tan sólo acceder al dato de Identidad internacional del suscriptor móvil (IMSI) para confirmar su identidad en la red. El IMSI es un identificador único que tiene cada teléfono celular y que está integrado a la tarjeta SIM.

Los atacantes pueden obtener el IMSI de la víctima de varios modos, entre ellos utilizando una app que lea el código IMSI del móvil. También podría evitar la necesidad de un IMSI enviando al usuario un mensaje de texto haciéndose pasar por el operador de red y pidiéndole que acepte un mensaje OMA CP protegido por PIN. Si el usuario ingresa el número PIN y acepta el mensaje OMA CP, el CP se puede instalar sin un IMSI.

"Sin una forma más fuerte de autenticación, es fácil para un agente malicioso lanzar un ataque de phishing a través del aprovisionamiento por aire. Cuando el usuario recibe un mensaje OMA CP, no tiene forma de discernir si proviene de una fuente confiable. Al hacer clic en "aceptar", podrían dejar que un atacante entre en su teléfono", remarcó Slava Makkaveev, investigador de seguridad de Check Point Software.

Los investigadores dieron a conocer esta vulnerabilidad a los fabricantes en marzo. Samsung incluyó una solución que aborda este flujo de phishing en su versión de mantenimiento de seguridad para mayo (SVE-2019-14073), LG lanzó su solución en julio (LVE-SMP-190006), y Huawei planea incluir soluciones de UI para OMA CP en el próxima generación de smartphones de la serie Mate o serie P. Sony se negó a reconocer la vulnerabilidad, afirmando que sus dispositivos siguen la especificación OMA CP, según se detalla en el informe.

Qué debe hacer el usuario

Como norma general hay que estar siempre alerta ante todos los SMS que se reciban y que pidan al usuario que ejecute alguna acción como hacer clic en un enlace o, como en el caso descrito anteriormente, aceptar un pedido de reconfiguración.

Si bien estos SMS muchas veces son genuinos, ante la duda, lo mejor es no aceptar descargar nada por medio de estos mensajes. En caso de que el emisor sea efectivamente el operador de telefonía móvil que busca hacer llegar una reconfiguración lo conveniente sería contactarlos para verificar si hay otra forma de actualizar el sistema.

"Si un mensaje de texto te pide actuar o responder rápidamente, frená y pensalo. Recordá que los delincuentes usan ese apuro como una táctica para lograr que el usuario haga lo que ellos quiere", analiza Federico Teti, especialista en ciberseguridad de Forcepoint, en diálogo con Infobae.

Y subraya: "Si recibís un mensaje que parece ser de tu banco, institución financiera u otra entidad con la que haces negocios, comunícate directamente con esa compañía para determinar si le enviaron una solicitud legítima"

Hay que asegurarse de tener el sistema operativo actualizado. Estas actualizaciones llegan de manera automática por parte de los fabricantes del celular. Para saber si el móvil está actualizado hay que presionar en el ícono de la tuerca para así ir hasta Configuración/Actualización de software.

Por último, si se sospecha que el smartphone fue vulnerado de algún modo, entonces lo más conveniente es hacer una reconfiguración de fábrica, una opción a la que se accede, también, desde el menú de Configuración del celular.

MÁS SOBRE ESTE TEMA:

Estafas por Google Calendar: así me quisieron hackear el celular con una falsa invitación

Alerta por hackeo masivo no sólo en iPhone: dispositivos Android y Windows también fueron afectados

Vulnerabilidad de WhatsApp podría permitir a terceros la manipulación de mensajes