¡Cuidado con los permisos que le das al móvil!

¿Cuáles son los permisos más usuales? La unidad de almacenamiento, el calendario, la cámara, la agenda de contactos, el micrófono, los mensajes recibidos, la aplicación de teléfono y nuestra ubicación. Éstos permiten que cualquier app diseñada para ello pueda leer nuestros mensajes, acceder al histórico de llamadas, tomar fotos, escuchar lo que decimos, saber dónde estamos (y a dónde nos dirigimos), obtener el número de teléfono de cualquiera de nuestros contactos y consultar los documentos que tengamos guardados.

Manuel Carpio, tutor de ciberseguridad en IMF Smart Education, explica por qué algunas aplicaciones solicitan permisos que no guardan relación alguna con sus funciones: «Generalmente es para que la empresa detrás de la aplicación pueda recopilar la mayor cantidad posible de sus datos y venderlos a terceros, como anunciantes y agregadores de datos».

Esto último aplica incluso a las aplicaciones más populares (como las redes sociales), lo que no tiene por qué indicar algo ilícito. De hecho, la mayoría de ellas lo indican sin tapujos en sus términos y condiciones, esto es, la parrafada que solemos aceptar sin leer tras registrarnos en la app de turno.

Cuestión distinta son aquellas aplicaciones desarrolladas por los ciberdelincuentes para sus fines, a menudo camufladas como simples calculadoras o juegos, desgrana Carpio: «Los ciberdelincuentes tratan de monetizar sus actividades criminales con sus apps maliciosas de diversas maneras: defraudando nuestras cuentas mediante el uso de servicios premium, recogiendo datos personales y revendiéndolos o enviándonos publicidad. Con tal fin pueden bien fabricar una aplicación 'ad-hoc' que simula a una aplicación legítima, pero que tiene funcionalidades ocultas, o bien pueden fabricar una aplicación que explota las vulnerabilidades en la configuración de aplicaciones legítimas o del sistema operativo del dispositivo».

A este último respecto, la firma de seguridad SecneurX alertó hace unas semanas de hasta 34 aplicaciones diseñadas para robar datos e incluso enviar mensajes de WhatsApp en nuestro nombre. Estaban presentes en la tienda de aplicaciones de Google (Play Store) y sumaban más de 10.000 descargas alrededor del globo.

¿Existe alguna fórmula infalible para identificar estas aplicaciones malintencionadas? Así es. «Los ciberdelincuentes y los estafadores cuentan con que sus víctimas están demasiado ocupadas para darse cuenta de ciertos detalles -explica el experto-, como el icono de la app o el nombre del desarrollador».

Nos invita pues a hacernos las siguientes preguntas cada vez que estemos considerando descargar una aplicación:

• ¿Cuál es el nombre del desarrollador? «El nombre suele decirlo todo. ¿Por qué WhatsApp tendría una aplicación desarrollada por alguien que no es 'WhatsApp LLC'?».

• ¿Las reseñas y calificaciones parecen sospechosas? «Revise siempre las reseñas. Reseñas de 5 estrellas y reseñas de 1 estrella. En general, cuantas más reseñas, más legítima es la aplicación. Si hay cientos de reseñas, sabrá que la aplicación ha superado la prueba del tiempo. Si solo hay unas pocas y brillan intensamente, es muy probable que sean reseñas falsas escritas por el desarrollador criminal».

• ¿Cuántas descargas tiene? «Compare la cantidad de descargas de las aplicaciones que parecen similares. Las aplicaciones fraudulentas o maliciosas suelen tener pocas, frente a las legítimas».

• ¿Resulta sospechosa su descripción? «Algunas aplicaciones maliciosas solicitan una calificación de cinco estrellas para poder activarse, o prometen triplicar el rendimiento de la batería, lo cual es una señal de alerta en sí misma. Otras veces ofrecen participar en concursos, o prometen regalos».

Si por desgracia terminamos instalando una de estas apps, existen señales de que están utilizando los mentados permisos de forma ilícita. Las más evidentes son que el smartphone funcione más lento de lo habitual sin razón aparente, que intente conectarse a sitios que no hemos solicitado o que muestre un exceso de ventanas emergentes (las llamadas 'pop-ups') con publicidad. En estos casos se hace impepinable utilizar algún antivirus para detectar y suprimir el 'malware'.

Lo mejor, sin embargo, es adelantarnos a los ciberdelincuentes aprendiendo a revocar permisos. «Otorgue permiso a sus aplicaciones únicamente a lo que necesitan acceder en su dispositivo para proporcionar la funcionalidad declarada por sus desarrolladores. Por ejemplo, es natural que su aplicación meteorológica o su aplicación de navegación necesiten acceder a su ubicación para funcionar correctamente. Sin embargo, no hay razón para que necesite acceso a su cámara o sus contactos», recomienda Carpio.

Para suprimir permisos en un dispositivo Android debemos dirigirnos a 'Configuración' > 'Aplicaciones', donde pulsaremos sobre la app en cuestión y a continuación en 'Permisos'. Aparecerá un listado desde el que permitir o no cada opción.

También podemos acceder al menú 'Permisos' desde cualquier aplicación tocando y manteniendo presionado su icono en la pantalla del teléfono, explica Carpio: «Toque el ícono de 'Información' en la esquina superior derecha de la ventana que aparece para acceder al menú de información de la aplicación y pulse 'Permisos'. La función 'Eliminar permisos' se recomienda si no hemos usado una app durante los últimos tres meses».

Si por el contrario tenemos un iPhone, abriendo la aplicación de 'Ajustes' y pulsando sobre 'Privacidad y seguridad' encontraremos apartados con todos los permisos disponibles. Al pulsar sobre cada uno obtendremos una enumeración de las aplicaciones que los usan, pudiendo marcarlas o desmarcarlas.