Me encantan las aplicaciones web progresivas (PWA). Si no está familiarizado con el término, una PWA es básicamente un sitio web con un pequeño envoltorio de software a su alrededor. Utiliza su navegador para representar la página, pero actúa como una aplicación separada sin necesidad de instalarla como tal. Las PWA son populares tanto en computadoras de escritorio como en dispositivos móviles, pero su flexibilidad las ha convertido en un objetivo para ataques de phishing que intentan obtener acceso a sus datos financieros.
Según un nuevo informe de ESET Security (descubierto por Bleeping Computer), se ha descubierto a piratas informáticos de ingeniería social en Hungría y Georgia haciéndose pasar por bancos y otras instituciones financieras a través de aplicaciones web progresivas, repitiendo estafas vistas anteriormente en Chequia.
Estos resultan atractivos para los delincuentes porque Chrome y otros navegadores pueden “instalar” una aplicación en su teléfono que en realidad no es una aplicación, sino un acceso directo web que se comporta como tal en su pantalla de inicio. Eso les permite eludir las defensas críticas contra aplicaciones falsas en Google Play Store y iOS App Store e instalar advertencias en Android.
El gancho es familiar: recibes un correo electrónico o un mensaje de texto de lo que parece ser tu banco, instalas una aplicación web progresiva en tu teléfono y la utilizas para iniciar sesión en tu cuenta. Pero tanto el mensaje inicial como la PWA que le pide que instale son falsificaciones bien diseñadas y su información de inicio de sesión ahora está recopilada. La información se envía a un chat de texto monitoreado por los piratas informáticos, los piratas informáticos inician sesión en su cuenta bancaria, la vacían y la estafa se completa.
Una PWA para una aplicación bancaria falsa (izquierda), prácticamente indistinguible de una PWA para un sitio bancario genuino (derecha).
Una PWA para una aplicación bancaria falsa (izquierda), prácticamente indistinguible de una PWA para un sitio bancario genuino (derecha).
Seguridad ESET
Una PWA para una aplicación bancaria falsa (izquierda), prácticamente indistinguible de una PWA para un sitio bancario genuino (derecha).
Seguridad ESET
Seguridad ESET
ESET advierte que ha observado ataques dirigidos específicamente a usuarios de Android y a la implementación de PWA “WebAPK” de Chrome, con animaciones destinadas a imitar el flujo de instalación de Google Play Store. Combinado con suplantaciones casi perfectas de aplicaciones bancarias, da a los usuarios una falsa confianza en la validez de la aplicación o servicio, lo que reduce sus defensas y los incita a ingresar su información personal.
Si bien el informe solo detalla los ataques observados hasta ahora en Europa del Este, se sabe que los estafadores y piratas informáticos vuelven a implementar rápidamente métodos de ataque exitosos en todo el mundo. Y cualquiera puede verse afectado, incluso, digamos, un veterano escritor de tecnología con 13 años de experiencia que estuvo a un pelo de caer en un correo electrónico falso que decía que “su paquete no pudo ser entregado” a principios de este año.
Esté atento a cualquier mensaje de usuarios o direcciones no verificadas que le soliciten instalar PWA o WebAPK, y recuerde iniciar siempre sesión de forma independiente en su banco u otras herramientas financieras. No ofrezcas nombres de usuario, contraseñas u otra información a nadie a través de un sistema secundario como correo electrónico o mensajes de texto.