Pokemon Go se ha convertido en una sensación mundial, pero al mismo tiempo ha atraído la atención de estafadores y atacantes. Symantec te enseña cómo proteger tu smartphone mientras juegas para convertirte en un maestro Pokémon.
Pokemón Go ha generado gran interés en todo el mundo. Pese a que sólo ha sido lanzado en una cantidad limitada de las regiones, el juego se ha instalado millones de veces en menos de una semana . El 8 de julio, Pokemon Go había sido instalado en el doble de dispositivos Android de Estados Unidos que la aplicación de citas Tinder, y sus usuarios activos diarios era casi tan grande como los de Twitter.
Los cibercriminales se han dado cuenta de este boom, creando estafas en redes sociales y versiones de troyanos para la aplicación, con el fin de aprovecharse de los jugadores de Pokemon Go. Otros usuarios han desarrollado formas de engañar a Pokemon Go, tales como sitios de suplantación de GPS. La aplicación oficial también fue golpeada con la controversia sobre cuestiones de privacidad relacionadas con los permisos que solicita.
A la luz de estos informes, Symantec encontró algunos problemas de seguridad que rodean Pokemon Go y cómo puedes proteger tu dispositivo.
PokeCoin libre de estafa
Pokemon Go tiene compras en la aplicación, donde los usuarios pueden gastar dinero real para comprar una moneda virtual llamada PokeCoins. Los jugadores pueden gastar las PokeCoins en artículos tales como incienso para atraer Pokemones a su ubicación o huevos de los cuales pueden nacer “extraños Pokemones”. Algunos usuarios pueden tratar de evadir este sistema mediante la búsqueda de PokeCoins de descuento o gratuitos en línea. Lamentablemente, los estafadores se han preparado para este escenario.
Si un usuario busca “Pokemon Go free coins generator”, va a encontrar enlaces que lo llevan a encuestas clásicas de estafas. Estos enlaces están muy extendidos a través de Internet, desde mensajes en foros sobre el juego a los sitios fraudulentos. La mayoría de los resultados fraudulentos son publicados en sitios de redes sociales o videos que supuestamente tienen la prueba de que una herramienta de hacking PokeCoin funciona.
Figura 1. El sitio de estafa pide a los usuarios confirmar que son humanos antes de que puedan acceder a una inexistente herramienta de hacking PokeCoin
Una vez que el usuario llega al sitio falso, se le pide su nombre de usuario Pokemon Go y la cantidad de monedas que desea. Hasta el momento, ninguna estafa que hemos visto pide la contraseña Pokemon Go del usuario. Algunas estafas señalan tener características adicionales, como una garantía especial anti-prohibición. Sin embargo, el sitio simplemente reproduce un video antes de pedir la tarea final: la “verificación humana”.
Este proceso de verificación requiere que el usuario rellene encuestas, instale aplicaciones, o se registre en el servicio. Si el usuario sigue las instrucciones de los estafadores, no recibirá PokeCoins gratis. En cambio, los estafadores ganarán dinero por la participación del usuario a través de un programa de afiliados. Miles de personas han hecho click en las URL acortadas, sumando oportunidades para los estafadores.
Figura 2. Sitio de estafa PokeCoin pide al usuario verificar que es humano.
Otros estafadores piden al usuario compartir manualmente un mensaje en Twitter o Facebook para recibir PokeCoins gratis. Sin embargo, no importa cuántas veces el usuario difunda el mensaje, nunca recibirá un PokeCoin. Hemos encontrado cientos de estos mensajes con diferentes direcciones URL publicadas en redes sociales. Como se indica en el Internet Security Threat Report de Symantec 2016, la participación en fraudes similares llegó al 76% en redes sociales en 2015.
App de Pokemon Go Troyano encontrado en canales no oficiales
Pokemon Go no ha llegado oficialmente aún a la mayoría de las regiones; en la primera semana de la aplicación, que sólo estaba disponible en EE.UU., Australia y Nueva Zelanda. El lanzamiento limitado incitó a los usuarios con dispositivos Android o iPhones con jailbreak a descargar la aplicación desde fuentes no oficiales.
Los atacantes aprovecharon esta demanda, creando versiones de troyanos del juego orientados a dispositivos Android. Como ya se ha informado, los autores de malware disfrazaron un troyano de acceso remoto (Android.Sandorat) como Pokemon Go. La amenaza fue distribuida en varios sitios de descarga y foros de juegos. Si se instala la versión maliciosa de la aplicación, se muestra la pantalla de inicio Pokemon Go, por lo que los usuarios asumen que no hay nada fuera de lugar. Sin embargo, el troyando da al atacante acceso completo al teléfono.
Tramposos de Pokemon Go
Fuera de la actividad maliciosa, se han encontrado jugadores tratando de engañar al juego para atrapar o hacer salir del cascarón más Pokemones sin caminar por el exterior.
Algunos han utilizado métodos creativos para ello, como por ejemplo pegar sus dispositivos móviles en trenes de juguete, ventiladores de techo, perros o drones para que la aplicación piense que el usuario está en movimiento. Otros han falsificado sus ubicaciones de GPS, con aplicaciones disponibles que se pueden instalar en dispositivos Android o iPhones con jailbreak arraigados. Esto engaña a Pokemon Go al hacerle pensar que el usuario se encuentra en una ubicación diferente, en la cual puede haber “raros Pokemones”.
Trucos similares fueron utilizados por los jugadores del juego de realidad aumentada Ingress, que fue desarrollado por el fabricante de Pokemon Go Niantic hace tres años. Niantic parece haber previsto que esto ocurriría en Pokemon Go, así es que, según los informes, está dando prohibiciones de una hora de duración a los jugadores que utilizan los simuladores GPS. Si bien, no hemos visto atacantes que oculten programas maliciosos como simuladores GPS, podría suceder en la medida que la base de usuarios Pokemon Go crezca.
Recomendaciones de Symantec
Estos son los consejos que entrega Symantec para reducir el riesgo de estos ataques en tu teléfono móvil:
- Evitar la descarga de Pokemon Go de mercados no oficiales, porque los atacantes pueden utilizar estos sitios para entregar malware disfrazado de aplicaciones legítimas.
- Instalar la actualización de Pokemon Go que elimina la solicitud de acceso completo a las cuentas de Google.
- Mantenerse alejado de las herramientas de juego-trampa, ya que podrían ser fraudulentas o contener software malicioso.
- Mantener el firmware de su teléfono inteligente actualizado para evitar vulnerabilidades de ser explotado.
- Utilizar contraseñas seguras y únicas para su cuenta Pokemon Go.
- Prestar mucha atención a los permisos que las aplicaciones solicitan.
- Instalar una aplicación de seguridad móvil adecuada, por ejemplo, Norton, para proteger su dispositivo y datos.
