¿Qué pasa con las aplicaciones disponibles en la Play Store de Android cuando su desarrollador muere? Pues que se abre la puerta a que los usuarios de esas apps acaben viendo sus móviles llenos de programas maliciosos, de malware.

Es la conclusión a la que ha llegado el 'hacker' Chema Alonso, jefe de Cliente Digital (CDCO, por sus siglas en inglés) de Telefónica. Alonso ha regresado a la RootedCon, uno de los mayores eventos sobre seguridad informática en España, para revelar este "riesgo de ciberseguridad bastante serio" en una charla que ha titulado El club de los poetas muertos. Aunque barajó el usar "poetapps".

Las conclusiones de Alonso y su equipo sobre esta vulnerabilidad son públicas ahora, 5 años después de que tanto él como su equipo se embarcaran en la investigación. "La hicimos en 2015, pero en aquel momento yo me preocupé por no publicarlo, algo que no me suele pasar muchas veces". El conocido directivo de Telefónica compartió sus resultados con las Fuerzas y Cuerpos de Seguridad del Estado.

Aunque es cierto que no se ha comprobado si esto es algo que podría seguir pasando a día de hoy, Chema Alonso ha sido contundente: "Cualquiera podría acceder a millones de apps que pueden convertir en maliciosas una a una". "Por eso es tan importante controlar el parqué de aplicaciones móviles que los empleados instalan en los teléfonos de una empresa".

Por supuesto, no es necesario que un desarrollador muera para que una app tenga malware inyectado. Puede ocurrir que sea el propio autor quien la convierta en maliciosa, o puede que la app acabe vendiéndose o siendo robada por cibercriminales. De ahí, la importancia de mantener varias medidas de seguridad y precaución en el entorno de las aplicaciones para smartphones.

El club de los poetas muertos

Al final de su charla, Chema Alonso compartía en sus diapositivas una lista de cuentas de Android Developer —el programa para desarrolladores que Google ofrece para trabajar sobre el sistema operativo móvil— que estaban "inactivas". Ya sea porque las personas que estaban detrás de las mismas habían fallecido o ya sea porque habían perdido acceso a sus cuentas de correo.

En su estudio, Alonso detectó que de 217 cuentas de correo Outlook, aparecieron 8 caducadas. Estas cuentas caducadas tenían a su nombre decenas de apps que habían sido descargadas e instaladas en total cerca de 5 millones de veces.

Cuando un usuario deja de acceder a su cuenta de correo durante un tiempo, esta pasa a entrar en una fase de hibernación. Los servidores de Outlook o Gmail dan un tiempo prudencial antes de pasar a eliminar las direcciones de correo electrónico. En estos 8 casos, eso era lo que había ocurrido. Eran 8 las cuentas 'muertas'. Eran 8 los poetas de este club.

Algunas de las apps que estaban ligadas a una de estas 8 cuentas de correo perdidas eran tan populares como juegos de trivia, que a mediados de la década pasada estaban presentes en millones de dispositivos móviles.

¿Y qué pasa cuando hay una cuenta de correo dormida de la que dependen cientos de miles de apps descargadas? Que puedes solicitar a Outlook la recuperación de esa cuenta y apropiarte de la aplicación y hacer con ella lo que quieras.

Tus apps pueden ser gremlins esperando a que les des de comer por la noche

La charla de Alonso ha pivotado también sobre el concepto de app gremlin. Como los icónicos monstruos de la película de 1984, mucho del malware presente en estas apps puede estar 'dormido', esperando a activarse. Cuando un ciberdelincuente es capaz de hacerse con una app que ya ha sido instalada en millones de dispositivos, solo tiene que desarrollar el malware.

Un código malicioso que permitiría a los hackers incluso actuar en un solo terminal de los miles en los que esté presente una app.

Por ejemplo, si la aplicación infectada en Android es un juego de puzzles, podría darse el caso de que haya cientos de miles de usuarios jugando con ella. El malware podría despertar una vez se ejecuten varios ciclos de juego. Y a discreción de los ciberdelincuentes, este malware podría ejecutarse en uno o varios teléfonos. Los que ellos decidan a su discreción.

El CDCO de Telefónica también explicó cómo los hackers conseguían infectar las apps o saltarse los controles de verificacion del mercado de apps de Google. En su estudio detectaron varios casos de apps que aparecían en el market como una aplicación legítima, autorizada, normal, y cuando ya estaba colgada y disponible para su descarga, los cibercriminales la cambiaban por completo para simular ser una versión de algún juego popular o de una app conocida.

"Algunos desarrolladores subían 70 u 80 aplicaciones, luego todas las personas que tenían instaladas esas apps pasaban a tener malware". "Lo que sucede con estas apps es que como con los gremlins, llega un momento en el que reciben un estímulo externo".

Los antiguos permisos de las aplicaciones en Android, toda una "fiesta"

¿Cómo elegir cuál? Alonso certifica que hace 5 años, el mundo de los permisos en los sistemas operativos de Android eran toda una "fiesta". "Casi un 62% de los dispositivos Android que se usan tienen una versión inferior a Android 8, donde se ejecutan estos antiguos permisos", explica. Alonso incide además en que la mayoría de los usuarios, cuando son capaces de darle una explicación racional a una petición de permisos por parte de una app, asumen que sus usos serán legítimos.

Si por ejemplo una app de transporte público pide permisos para usar la cámara de fotos y acceder a la galería de tu teléfono, de primeras podrá ser extraño y sorprendente. Pero si el usuario acaba pensando que es para poder subir fotos con las que reportar averías, entenderá que es apropiado.

Y no siempre lo es.

Por ejemplo, el permiso para leer SMS era bastante tajante. Permitía a las app, efectivamente, leer SMS. Gracias a estos permisos, los hackers eran capaces de acceder a cuentas de correo, teléfonos, accesos a WhatsApp, Telegram y otras aplicaciones. Así, los cibercriminales pueden discriminar y elegir a sus víctimas.

Este artículo fue publicado originalmente en Business Insider