Cómo la muerte de un desarrollador de apps para Android puede convertirse en un problema para tu seguridad informática, según el 'hacker' Chema Alonso

Chema Alonso, Chief Digital Officer de Telefónica.
Chema Alonso, Chief Digital Officer de Telefónica.
  • El conocido 'hacker' y CDCO de Telefónica, Chema Alonso, ha desvelado una brecha de seguridad provocada por el "club de poetas muertos", los desarrolladores de apps para Android fallecidos.
  • Muchas de las cuentas de desarrollador están registradas con direcciones de correo Outlook eliminadas, por lo que cualquiera puede reclamarlas y tener acceso a apps que se han instalado en millones de dispositivos.
  • El experto en ciberseguridad ha dado algunas claves sobre cómo los ciberdelincuentes podrían haber explotado esta vulnerabilidad, inyectando malware en estas apps para acceder a datos de los usuarios.
  • También ha recordado el precario uso de los permisos para apps cuando se realizó la investigación, hace 5 años. Las conclusiones se han revelado ahora, cuando ha pasado el suficiente tiempo.
  • Alonso ya advirtió en 2015 a las Fuerzas y Cuerpos de Seguridad del Estado de la existencia de esta brecha, según ha relatado en el primer día de la RootedCon, uno de los mayores eventos de ciberseguridad de España.
  • Descubre más historias en Business Insider España.

¿Qué pasa con las aplicaciones disponibles en la Play Store de Android cuando su desarrollador muere? Pues que se abre la puerta a que los usuarios de esas apps acaben viendo sus móviles llenos de programas maliciosos, de malware.

Es la conclusión a la que ha llegado el 'hacker' Chema Alonso, jefe de Cliente Digital (CDCO, por sus siglas en inglés) de Telefónica. Alonso ha regresado a la RootedCon, uno de los mayores eventos sobre seguridad informática en España, para revelar este "riesgo de ciberseguridad bastante serio" en una charla que ha titulado El club de los poetas muertos. Aunque barajó el usar "poetapps".

Las conclusiones de Alonso y su equipo sobre esta vulnerabilidad son públicas ahora, 5 años después de que tanto él como su equipo se embarcaran en la investigación. "La hicimos en 2015, pero en aquel momento yo me preocupé por no publicarlo, algo que no me suele pasar muchas veces". El conocido directivo de Telefónica compartió sus resultados con las Fuerzas y Cuerpos de Seguridad del Estado.

Leer más: Los peores pronósticos en ciberseguridad se cumplen: los hackers que utilizan 'ransomware' empiezan a filtrar documentos confidenciales de sus víctimas

Aunque es cierto que no se ha comprobado si esto es algo que podría seguir pasando a día de hoy, Chema Alonso ha sido contundente: "Cualquiera podría acceder a millones de apps que pueden convertir en maliciosas una a una". "Por eso es tan importante controlar el parqué de aplicaciones móviles que los empleados instalan en los teléfonos de una empresa".

Por supuesto, no es necesario que un desarrollador muera para que una app tenga malware inyectado. Puede ocurrir que sea el propio autor quien la convierta en maliciosa, o puede que la app acabe vendiéndose o siendo robada por cibercriminales. De ahí, la importancia de mantener varias medidas de seguridad y precaución en el entorno de las aplicaciones para smartphones.

El club de los poetas muertos

Al final de su charla, Chema Alonso compartía en sus diapositivas una lista de cuentas de Android Developer —el programa para desarrolladores que Google ofrece para trabajar sobre el sistema operativo móvil— que estaban "inactivas". Ya sea porque las personas que estaban detrás de las mismas habían fallecido o ya sea porque habían perdido acceso a sus cuentas de correo.

En su estudio, Alonso detectó que de 217 cuentas de correo Outlook, aparecieron 8 caducadas. Estas cuentas caducadas tenían a su nombre decenas de apps que habían sido descargadas e instaladas en total cerca de 5 millones de veces.

Un hombre teclea durante la Def Con, una convención de hackers en Las Vegas en 2017.
Un hombre teclea durante la Def Con, una convención de hackers en Las Vegas en 2017.

Cuando un usuario deja de acceder a su cuenta de correo durante un tiempo, esta pasa a entrar en una fase de hibernación. Los servidores de Outlook o Gmail dan un tiempo prudencial antes de pasar a eliminar las direcciones de correo electrónico. En estos 8 casos, eso era lo que había ocurrido. Eran 8 las cuentas 'muertas'. Eran 8 los poetas de este club.

Algunas de las apps que estaban ligadas a una de estas 8 cuentas de correo perdidas eran tan populares como juegos de trivia, que a mediados de la década pasada estaban presentes en millones de dispositivos móviles.

Leer más: Acusan a Google de espiar a millones de niños en el colegio y en casa a través de su plataforma educativa

¿Y qué pasa cuando hay una cuenta de correo dormida de la que dependen cientos de miles de apps descargadas? Que puedes solicitar a Outlook la recuperación de esa cuenta y apropiarte de la aplicación y hacer con ella lo que quieras.

Tus apps pueden ser gremlins esperando a que les des de comer por la noche

La charla de Alonso ha pivotado también sobre el concepto de app gremlin. Como los icónicos monstruos de la película de 1984, mucho del malware presente en estas apps puede estar 'dormido', esperando a activarse. Cuando un ciberdelincuente es capaz de hacerse con una app que ya ha sido instalada en millones de dispositivos, solo tiene que desarrollar el malware.

Un código malicioso que permitiría a los hackers incluso actuar en un solo terminal de los miles en los que esté presente una app.

Por ejemplo, si la aplicación infectada en Android es un juego de puzzles, podría darse el caso de que haya cientos de miles de usuarios jugando con ella. El malware podría despertar una vez se ejecuten varios ciclos de juego. Y a discreción de los ciberdelincuentes, este malware podría ejecutarse en uno o varios teléfonos. Los que ellos decidan a su discreción.

Notificaciones actualización PlayStore

El CDCO de Telefónica también explicó cómo los hackers conseguían infectar las apps o saltarse los controles de verificacion del mercado de apps de Google. En su estudio detectaron varios casos de apps que aparecían en el market como una aplicación legítima, autorizada, normal, y cuando ya estaba colgada y disponible para su descarga, los cibercriminales la cambiaban por completo para simular ser una versión de algún juego popular o de una app conocida.

Leer más: Si te llaman de parte de Microsoft y te dicen que tu ordenador tiene un grave problema de seguridad, ignóralo: así funciona esta estafa telefónica

"Algunos desarrolladores subían 70 u 80 aplicaciones, luego todas las personas que tenían instaladas esas apps pasaban a tener malware". "Lo que sucede con estas apps es que como con los gremlins, llega un momento en el que reciben un estímulo externo".

Los antiguos permisos de las aplicaciones en Android, toda una "fiesta"

¿Cómo elegir cuál? Alonso certifica que hace 5 años, el mundo de los permisos en los sistemas operativos de Android eran toda una "fiesta". "Casi un 62% de los dispositivos Android que se usan tienen una versión inferior a Android 8, donde se ejecutan estos antiguos permisos", explica. Alonso incide además en que la mayoría de los usuarios, cuando son capaces de darle una explicación racional a una petición de permisos por parte de una app, asumen que sus usos serán legítimos.

Si por ejemplo una app de transporte público pide permisos para usar la cámara de fotos y acceder a la galería de tu teléfono, de primeras podrá ser extraño y sorprendente. Pero si el usuario acaba pensando que es para poder subir fotos con las que reportar averías, entenderá que es apropiado.

Y no siempre lo es.

Leer más: El director de ciberseguridad de Microsoft revela cómo quiere proteger a las compañías de una amenaza casi mayor que los hackers: sus propios empleados

Por ejemplo, el permiso para leer SMS era bastante tajante. Permitía a las app, efectivamente, leer SMS. Gracias a estos permisos, los hackers eran capaces de acceder a cuentas de correo, teléfonos, accesos a WhatsApp, Telegram y otras aplicaciones. Así, los cibercriminales pueden discriminar y elegir a sus víctimas.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.