Ves una aplicación que te gusta y, al ir al instalarla en tu dispositivo Android, en el mejor de los casos te fijas en que pide permisos extraños, como el de poder acceder a tus SMS. "¿Mis SMS?", te preguntas, "¿qué más da que los lean si con las apps de mensajería ya no utilizo los mensajes de texto tradicionales para nada?". Así que aceptas sin dudarlo y... ¡tachán! En tu próxima factura podrías llevarte una desagradable sorpresa.
Hace unos días, y tras la alerta de un usuario alarmado, muchos sitios web se hicieron eco de una actualización de la aplicación de Facebook para Android que requería precisamente este permiso. ¿Para qué quiere leer Facebook nuestros SMS? ¿Qué tipo de información extrae de ellos? Según la red social, ninguna. Su objetivo es simplemente facilitar la confirmación de tu cuenta. Pero esto, en manos de una aplicación maliciosa, es todo un peligro. Lo explicamos a continuación.
En el caso de Facebook, cuando agregas tu número de teléfono a tu cuenta, la red social te envía un código a través de un SMS. En otros sistemas operativos, tienes que copiar ese código e introducirlo en la aplicación para que ésta sepa que ese número de teléfono realmente te pertenece. En Android, lo que hace Facebook es leer directamente el código y remitirlo él mismo a sus servidores. La verificación es automática y transparente para el usuario.
La app "maligna" de la linterna
Pero ¿qué ocurre si la app que lee automáticamente los códigos de verificación no es Facebook, sino una maliciosa que podría causarse problemas? Precisamente en Un informático en el lado del mal han dado con un caso de este tipo. Una aplicación de Google Play aseguraba ser la mejor app de linternas para este sistema operativo, al mismo tiempo que prometían ser la que más iluminaba. Desde ese sitio web decidieron analizarla a ver cómo funcionaba por dentro y... ¡sorpresa!
Nada más abrir esta aplicación, esta se conecta a Internet y se da de alta en un servicio de mensajes premium con tu número de teléfono. Habitualmente, y para que la suscripción sea válida, es necesario recibir un código a través de SMS e introducirlo en la web en cuestión. ¿Veis dónde está el problema? Esta app daba de alta tu teléfono y, cuando recibías el mensaje, automáticamente tomaba el PIN recibido y lo introducía como confirmación de alta en el servicio.
¿El resultado? Posiblemente una sorpresa en la factura. Google Play ya ha eliminado dicha aplicación, pero antes de que la borraran se la habían instalado entre 10.000 y 50.000 personas. Lo peor es que en otros sitios web todavía sigue estando disponible y que seguramente no sea la única aplicación "maliciosa" que funciona de forma similar.
¿De verdad no hay información en tus SMS?
Pero estos códigos no son los únicos datos importantes que seguramente tengas en tus SMS. Vale que ya no los utilices para comunicarte a diario, pero revísalos ahora en un momento. ¿No tienes ningún SMS de tu banco o, lo que es peor, la información del PIN de alguna de tus tarjetas que deberías haber cambiado pero esto es algo que todavía no has hecho?
Si también tienes activada la verificación en dos pasos a través del teléfono móvil en alguno de los principales servicios que utilizas (a la vente se me vienen Gmail o Dropbox, pero hay muchos más), también podría ser un peligro. Al identificarte desde algún dispositivo desconocido, estos te envían un SMS con un código. ¿Qué ocurre si alguna aplicación da con tu correo y consigue colarse en tu móvil para leer SMS? Tu cuenta estaría comprometida.
Y así un largo etcétera. Que no utilices los SMS a diario no significa que no haya información valiosa en ellos o que, como hemos visto, no se puedan utilizar con fines maliciosos. Lo mejor en estos casos es desconfiar y el sentido común: ¿para qué va a querer una aplicación de una linterna leer tus SMS? Ante la duda, no le des permisos. Te ahorrarás disgustos.
En Xataka Móvil | El uso del Internet móvil sube, los SMS bajan
Ver 19 comentarios