Pokémon Go: ¿cómo proteger un dispositivo de estafas, malware y problemas de privacidad?

Pokémon Go: ¿cómo proteger un dispositivo de estafas, malware y problemas de privacidad?

Esta sensación mundial, atrae al mismo tiempo la atención de estafadores y agresores

Los cibercriminales se han dado cuenta de la intensa emoción del juego y han creado estafas en redes sociales y versiones “troyanizadas” de la aplicación para aprovecharse de los jugadores de Pokémon Go.

Otros usuarios han desarrollado formas de engañar al Pokémon Go, tales como localizaciones falseadas de GPS.

Expertos de Symantec revisaron los aspectos de seguridad que rodean a Pokémon Go y particularmente a las trampas que los usuarios han desarrollado y advierten sobre cómo proteger el dispositivo móvil.

Trampas en Pokémon Go

Independiente de la actividad maliciosa de ciberdelincuentes, se ha encontrado que los jugadores tratan de hacer trampa en el juego, ya sea atrapando o incubando más Pokémon sin moverse de su ubicación.

Algunos han utilizado métodos creativos para hacerlo, tales como pegar su dispositivo móvil en trenes de juguete, ventiladores de techo, perros o drones, para hacer creer a la aplicación que el usuario se está moviendo. Otros falsean su ubicación GPS gracias a aplicaciones disponibles que pueden instalarse en dispositivos Android o en iPhones sin jailbreak. Estos trucos hacen que Pokémon Go considere que el usuario está en una ubicación diferente, en la que puede obtener Pokemones poco comunes.

Trucos similares utilizaron jugadores de Ingress, un juego de realidad aumentada desarrollado por el creador de Pokémon Go, Niantic, hace tres años. Niantic al parecer esperaba que esto sucediera también con Pokémon Go, ya que según los informes la compañía estaba aplicando prohibiciones de una hora de duración a los jugadores que emplean simuladores GPS. Si bien no hemos visto que los atacantes oculten su malware como suplantación de identidad en GPS, esto puede suceder en tanto la base de usuarios de Pokémon Go crece.

Hay otras maneras con las cuales los usuarios podrían engañar al Pokémon Go. Actualmente, la aplicación no utiliza “certificate pinning”. Esto significa que el juego sólo comprueba si el certificado del servidor es confiable, pero no si es el original que se esperaba. Esto permitiría a un usuario instalar en su teléfono un certificado de confianza de creación propia e interceptar la comunicación con un simple proxy de man-in-the-middle (MITM). Si bien este método no puede utilizarse para lanzar ataques en contra de dispositivos remotos, sí podría ser utilizado para identificar las vulnerabilidades en el API de back-end de Pokémon Go y, potencialmente, conducir al usuario a automatizar o modificar solicitudes para obtener más elementos.

Permisos y privacidad

Niantic se convirtió en el foco de algunos cuestionamientos de seguridad, después de que las personas se dieron cuenta de que había solicitado una gran cantidad de permisos, incluido el pleno acceso a sus cuentas de Google. La compañía señaló que sólo accede a la información básica de la cuenta. Y liberó una actualización de la aplicación que pide menos permisos.

Incluso con esta actualización, Pokémon Go todavía genera una gran cantidad de datos, como los perfiles de ubicación y patrones de movimiento, tal como se describe en la política de privacidad del juego. Los datos recopilados podrían incrementarse aún más cuando se utilice Pokemon Go Plus, el dispositivo periférico Bluetooth LE que puede conectar varios dispositivos móviles.

Una investigación de Symantec encontró que algunos dispositivos Bluetooth LE pueden ser rastreados o pueden permitir fugas de datos. Como Pokémon Go Plus aún no ha salido, todavía no podemos determinar si este dispositivo se enfrentará a los mismos problemas.

Mantenerse a salvo en el mundo real

Una de las mejores cosas de Pokémon Go es que está animando a la gente a salir a la calle, tomar aire fresco y a hacer ejercicio. Sin embargo, ha habido informes de personas que se lastiman por no prestar atención a donde caminan y de criminales que atraen con el Pokémon a los jugadores para robarles. La aplicación aconseja a los usuarios a prestar atención a su entorno cuando juegan. Les recomiendan también que deben evitar jugar en zonas aisladas o poco iluminadas.
Recomendaciones de Symantec
Para su seguridad y reducir el riesgo de estos ataques, los usuarios de dispositivos móviles deben seguir las siguientes recomendaciones:
• Evitar la descarga de Pokémon Go desde sitios no oficiales, ya que los atacantes pueden utilizar estos sitios para liberar malware disfrazado de aplicaciones legítimas.
• Instalar la actualización de Pokémon Go que ha eliminado la solicitud de acceso total a las cuentas de Google.
• Alejarse de herramientas de juego tramposas, ya que pueden ser fraudulentas o pueden contener malware.
• Mantener actualizado el firmware del teléfono inteligente para prevenir vulnerabilidades que puedan ser aprovechadas.
• Utilizar contraseñas fuertes y únicas para la cuenta de Pokémon Go
• Poner mucha atención en los permisos que las aplicaciones solicitan
• Instalar una aplicación de seguridad móvil, tal como Norton, que protege tanto el dispositivo como la información

Read 1329 times
Corporación Colombia Digital

@colombiadigital

La Corporación Colombia Digital (CCD) es una organización dedicada a promover el uso y apropiación de las tecnologías de información y las comunicaciones, en beneficio del desarrollo social y económico.