"Esa persona era falsa"
Historia de información personal filtrada a través de apps de citas falsas
"Al principio, no tenía ni la menor sospecha. El perfil parecía natural y la conversación fluía fluidamente."
Esta es la historia de "A", un usuario normal de una app de citas. La app, descargada de la App Store, tenía una interfaz familiar y parecía funcional.
Subir fotos, crear un perfil e incluso intercambiar mensajes con una pareja parecía una app real.
Pero unos días después, empezaron a ocurrir cosas extrañas. Recibí notificaciones por registrarme en un sitio web extranjero sin usar, mensajes misteriosos y conversaciones privadas que parecían compartidas con alguien.
El problema era simple: la app no era una app de citas real.
El verdadero problema: técnicas típicas de apps falsas
El atacante copió una app de citas legítima y distribuyó una app falsa reempaquetada. Método de ataque real
• Reempaquetado del APK de una aplicación de citas legítima
• Replicación exacta de la interfaz de usuario (IU) de inicio de sesión, perfil y chat
• Transmisión de la información introducida por el usuario (fotos, conversaciones y ubicación) a un servidor externo
Desde la perspectiva del usuario, "simplemente instaló y usó la aplicación", pero en realidad, la siguiente información se transmitía al atacante:
• Foto de perfil
• Contenido de las conversaciones de chat
• Información de ubicación
• Información de inicio de sesión de la cuenta
Debido a la naturaleza de las aplicaciones de citas, esta información no es solo personal; es una cuestión de privacidad en sí misma.
¿Dónde se produjo la brecha de seguridad?
El núcleo de este incidente es sorprendentemente simple.
• No se verificó la autenticidad de la aplicación.
• No se pudo verificar si la IU de la pantalla era auténtica o alterada.
• El usuario no tenía forma de determinar si la aplicación era falsa o no.
En otras palabras, fue un incidente clásico de seguridad móvil: "En el momento en que confías en una aplicación, tu seguridad desaparece".
Independientemente de la robusta seguridad del servidor, en cuanto un usuario ejecuta una aplicación falsa, todas las protecciones se anulan.
¿Cómo protegieron LIAPP y LIKEY contra esto? Este tipo de ataque solo se puede prevenir protegiendo simultáneamente tanto la aplicación como la sección de entrada.
LIAPP – Detección de aplicaciones falsificadas (reempaquetadas)
LIAPP comprueba si esta aplicación es auténtica desde el momento en que se inicia.
• Comprobaciones de la firma, el código y la integridad de los recursos de la aplicación
• Identifica inmediatamente las aplicaciones diferentes a las distribuidas oficialmente
• Bloquea la ejecución de aplicaciones reempaquetadas y modificadas
• Desactiva las interfaces de usuario de inicio de sesión y chat falsas
• Bloquea la ejecución de la aplicación falsa
LIKEY – Protege las secciones de entrada de información personal
Incluso si un atacante ataca la información de entrada, LIKEY protege la sección de entrada.
• Implementa un teclado seguro para iniciar sesión y acceder al perfil.
• Bloquea el robo de datos mediante keyloggers y capturas de pantalla.
• Protege los datos de entrada del usuario.
• Mantiene seguras las secciones de fotos, cuentas y perfiles.
¿Qué ha cambiado desde entonces?
Los cambios tras aplicar la seguridad fueron evidentes. • Bloqueo inmediato de intentos de acceso a apps falsas.
• Detención de filtraciones de información personal.
• Reducción de la pérdida de usuarios.
• Restauración de la confianza de que "esta app es segura".
Este caso confirmó una vez más que el activo más importante en las apps de citas no es la funcionalidad, sino la confianza.
Lección final
En las apps de citas, la información personal no son solo datos.
• Las fotos son rostros.
• Los chats son privados.
• La ubicación está directamente relacionada con la seguridad en el mundo real.
Si una app no está autenticada, ninguna información personal está segura.
Bloquear apps falsas no es una opción, es un requisito previo.
Y ese requisito previo solo se hace realidad cuando LIAPP y LIKEY cumplen con precisión sus respectivas funciones.
#SeguridadDeAppsDeCitas#RiesgoDeAppsFalsas#DetecciónDeAppsFalsas#CasosDeFiltraciónDeInformaciónPersonal#SeguridadMóvil#DefensaAntiFalsificaciónDeApps#FactoresDeRiesgoDeAppsDeCitas#ProtecciónDeInformaciónPersonal#SeguridadDeAppsMóviles#AnálisisDeCasosDeSeguridad#ConfianzaDeUsuario#SeguridadDeAppsImportante#LaSeguridadEsUnRequisito#LIAPP#LISS#LIKEY
