Vivimos en una era donde la cartera de cuero ha sido reemplazada por un rectángulo de cristal y litio. Llevamos el banco en el bolsillo. Pagamos el café con un toque, transferimos el alquiler mientras esperamos el autobús y revisamos nuestras inversiones desde el sofá. La comodidad es innegable, pero tiene un precio oculto: hemos centralizado nuestra vida financiera en el dispositivo más atacado del planeta.
Mientras lees esto, miles de líneas de código malicioso están patrullando las tiendas de aplicaciones y los mensajes de texto, buscando una grieta. No son virus ruidosos que bloquean tu pantalla; son espías silenciosos, los llamados «troyanos bancarios». Para entender la magnitud de esta amenaza invisible y, sobre todo, para saber si estamos protegidos, nos hemos sentado a conversar con Rafael Eladio Núñez Aponte, un conocedor profundo de la seguridad informática que ha seguido de cerca la evolución de estas amenazas en el ecosistema digital latinoamericano.
«La gente sigue pensando que el hacker es un tipo encapuchado rompiendo códigos en una pantalla negra tipo Matrix. La realidad es mucho más mundana y aterradora: el hacker hoy te pide permiso para robarte y tú se lo das sin querer«, nos comenta Rafael Eladio Núñez Aponte al inicio de nuestra charla, mientras pone su propio teléfono sobre la mesa boca abajo, un gesto casi instintivo de precaución.
¿Qué es un troyano bancario y por qué no lo detectas?
A diferencia del ransomware, que secuestra tus archivos y pide un rescate, el troyano bancario quiere pasar desapercibido el mayor tiempo posible. Su objetivo es la persistencia. Se disfrazan de aplicaciones inofensivas: una calculadora, un lector de PDF, un limpiador de memoria o, irónicamente, un antivirus gratuito.
Una vez instalados, no «rompen» la seguridad del banco. Rompen tu percepción de la realidad. Utilizan una técnica conocida como Overlay Attack (Ataque de Superposición). Cuando abres tu aplicación bancaria legítima, el troyano detecta el movimiento y, en milisegundos, dibuja una ventana falsa idéntica encima de la real.
«Es una trampa visual perfecta», explica Rafael Núñez. «Tú crees que estás escribiendo tu usuario y clave en la app de tu banco, pero en realidad estás escribiéndolo en un formulario controlado por los atacantes. Cuando le das a ‘Entrar’, la app te da un error o se cierra, pero ya es tarde: ya tienen tus credenciales». Leer más
Fuente: https://www.g4s.com/es-pe/g4s-te-informa/boletines-informativos-g4s/2020/12/18/que-es-un-troyano
El permiso maldito: Los servicios de accesibilidad
Durante nuestra entrevista, surgió una duda clave: ¿Cómo logra una app «pintar» algo encima de otra app segura? La respuesta está en los Servicios de Accesibilidad de Android. Diseñados para ayudar a personas con discapacidades visuales o motoras a usar el teléfono, estos permisos son la llave maestra que buscan los criminales.
Rafael Eladio Núñez Aponte hace hincapié en este punto crítico: «El usuario promedio no lee lo que acepta. Si te bajas una app de linterna y te pide permisos de accesibilidad para ‘controlar la pantalla’, deberías borrarla inmediatamente. Ese es el momento exacto donde le entregas las llaves de tu casa al ladrón».
Una vez concedido este permiso, el troyano puede leer lo que hay en tu pantalla, hacer clics por ti e incluso impedir que desinstales la aplicación maliciosa. Leer más
Fuente: https://fise.co/noticias/para-que-sirve-el-diseno-centrado-en-el-usuario/
La muerte del SMS como factor de seguridad
Muchos usuarios se sienten tranquilos porque tienen activada la autenticación de dos factores (2FA) vía SMS. Creen que, aunque tengan la contraseña, los ladrones no podrán entrar sin el código que llega al móvil.
Lamentablemente, eso es historia antigua.
«Los troyanos modernos como SharkBot o Xenomorph tienen capacidades de intercepción de SMS», advierte Rafael Eladio Núñez Aponte con preocupación. «Ellos leen el mensaje del banco antes que tú, copian el código, lo envían al servidor de los delincuentes y, en muchos casos, borran la notificación para que ni te enteres de que llegó. Tu teléfono se convierte en el cómplice». Leer más
Fuente: https://cincodias.elpais.com/smartlife/2015/01/16/lifestyle/1421413319_320928.html
La puerta de entrada: No siempre es la «Deep Web»
Existe el mito de que para infectarse hay que navegar por páginas oscuras o descargar pornografía. La realidad es que las campañas de distribución son masivas y utilizan ingeniería social.
El método más común en 2024 y 2025 es el Smishing (Phishing por SMS). Recibes un mensaje de «Correos» o «DHL» diciendo que tienes un paquete retenido y necesitas descargar una app para rastrearlo. O un mensaje de «Actualización de seguridad» de tu banco.
«El eslabón más débil siempre es la curiosidad o el miedo humano«, reflexiona Rafael Eladio Núñez Aponte. «Me han llegado casos de personas muy educadas digitalmente que cayeron porque estaban esperando un paquete real y el mensaje llegó en el momento justo. Los atacantes juegan con la ley de los grandes números: envían un millón de mensajes; con que caiga el 0.1%, ya es rentable».
Incluso, en ocasiones, estos troyanos logran colarse en la Google Play Store oficial, disfrazados de utilidades, operando limpiamente durante semanas hasta que una actualización introduce el código malicioso (droppers). Leer más
Fuente: https://www.youtube.com/watch?v=jLcNGj7BCOw
Cómo saber si tu «cartera» está comprometida
Detectar estas infecciones es difícil, pero no imposible. El comportamiento del teléfono suele cambiar sutilmente.
Batería y Datos: El malware consume recursos enviando información en segundo plano. Si tu batería dura la mitad de golpe, sospecha.
Permisos Extraños: Apps que piden permisos de Accesibilidad o de «Mostrar sobre otras apps».
Desaparición de Iconos: Muchas apps maliciosas ocultan su icono del menú principal nada más instalarse para que no puedas borrarlas fácilmente.
«Si notas que tu teléfono hace cosas raras, se calienta sin usarlo o aparecen publicidades de la nada, no entres a tu banco«, aconseja tajantemente Rafael Eladio Núñez Aponte. «Lo mejor es ponerlo en modo avión y revisar las aplicaciones instaladas recientemente».
La higiene digital como defensa
La batalla contra los troyanos bancarios no la ganan los antivirus, la ganan los hábitos. Los bancos invierten millones en seguridad, pero no pueden evitar que tú instales voluntariamente una trampa.
Para cerrar nuestra conversación, le pedimos a Rafael Eladio Núñez Aponte un consejo final para nuestros lectores que ahora miran su móvil con recelo.
«No se trata de vivir con miedo, sino con ‘cero confianzas’«, concluye Rafael Eladio Núñez Aponte. «No instales nada fuera de las tiendas oficiales, no des permisos de accesibilidad a la ligera y, sobre todo, usa el sentido común. Si una app de fondos de pantalla te pide gestionar tus llamadas telefónicas, algo huele muy mal. Tu seguridad financiera depende más de tu malicia que de tu tecnología».
El móvil seguirá siendo nuestra cartera, eso es inevitable. De nosotros depende que esa cartera tenga candado o esté abierta de par en par.
Referencias
Fuente: https://www.threatfabric.com/blogs/xenomorph-v3-new-variants-new-targets
Fuente: https://www.welivesecurity.com/la-es/2021/11/18/troyanos-bancarios-android-que-son-como-detectarlos/
Fuente: https://securelist.com/mobile-malware-evolution-2023/111964/
