HistoriasTecnología

Cómo jugar Pokémon Go sin poner en riesgo a tu smartphone

Ciberdelincuentes han aprovechado la euforia por el juego para hacer daño a sus usuarios. ¿De qué te debes cuidar y cómo proteger mejor tu dispositivo móvil?

15-07-2016, 12:54:10 PM
Cómo jugar Pokémon Go sin poner en riesgo a tu smartphone
Altonivel con información de Symantec

Pokémon Go se ha convertido en 10 días en una sensación mundial. Es una de las aplicaciones más descargadas y en la que sus usuarios pasan más tiempo durante el día, sin embargo, también se ha vuelto en un potencial punto de ataque de cibercriminales. 

De acuerdo con un reporte de Symantec, compañía especializada en el desarrollo de software, los cibercriminales han aprovechado la emoción del juego para crear estafas en redes sociales y versiones “troyanizadas” de la aplicación. Otros usuarios han desarrollado formas de engañar al Pokémon Go, tales como localizaciones falseadas de GPS.

Pokémon Go solo está disponible hasta el momento en Australia, Nueva Zelandia, Estados Unidos, Alemania, España y Reino Unido, sin embargo, usuarios de otros países, entre ellos México, se las han ingeniado para descargar el juego.

Las trampas de los falsos Pokémon

Independiente de la actividad maliciosa de ciberdelincuentes, Symantec ha encontrado que los jugadores tratan de hacer trampa en el juego, ya sea atrapando o incubando más Pokémon sin moverse de su ubicación.

Algunos han utilizado métodos creativos para hacerlo, tales como pegar su dispositivo móvil en trenes de juguete, ventiladores de techo, perros o drones, para hacer creer a la aplicación que el usuario se está moviendo. Otros falsean su ubicación GPS gracias a aplicaciones disponibles que pueden instalarse en dispositivos Android o en iPhones sin jailbreak. Estos trucos hacen que Pokémon Go considere que el usuario está en una ubicación diferente, en la que puede obtener Pokémones poco comunes.

Trucos similares utilizaron jugadores de Ingress, un juego de realidad aumentada desarrollado por el creador de Pokémon Go, Niantic, hace tres años. Niantic al parecer esperaba que esto sucediera también con Pokémon Go, ya que según los informes que refiere Symantec, la compañía estaba aplicando prohibiciones de una hora de duración a los jugadores que emplean simuladores GPS. Si bien la compañía no ha visto que los atacantes oculten su malware como suplantación de identidad en GPS, esto puede suceder en tanto la base de usuarios de Pokémon Go crece.

Hay otras maneras con las cuales los usuarios podrían engañar al Pokémon Go. Actualmente, la aplicación no utiliza “certificate pinning”. Esto significa que el juego sólo comprueba si el certificado del servidor es confiable, pero no si es el original que se esperaba. Esto permitiría a un usuario instalar en su teléfono un certificado de confianza de creación propia e interceptar la comunicación con un simple proxy de man-in-the-middle (MITM). Si bien este método no puede utilizarse para lanzar ataques en contra de dispositivos remotos, sí podría ser utilizado para identificar las vulnerabilidades en el API de back-end de Pokémon Go y, potencialmente, conducir al usuario a automatizar o modificar solicitudes para obtener más elementos.

Permisos y privacidad

Niantic se convirtió en el foco de algunos cuestionamientos de seguridad, después de que las personas se dieron cuenta de que había solicitado una gran cantidad de permisos, incluido el pleno acceso a sus cuentas de Google. La compañía señaló que sólo accede a la información básica de la cuenta. Y liberó una actualización de la aplicación que pide menos permisos.

Pero con esta actualización, Pokémon Go todavía genera una gran cantidad de datos, como los perfiles de ubicación y patrones de movimiento, tal como se describe en la política de privacidad del juego. Los datos recopilados podrían incrementarse aún más cuando se utilice Pokémon Go Plus, el dispositivo periférico Bluetooth LE que puede conectar varios dispositivos móviles.

Una investigación de Symantec encontró que algunos dispositivos Bluetooth LE pueden ser rastreados o pueden permitir fugas de datos. Como Pokémon Go Plus aún no ha salido, Symantec no ha podido determinar si este dispositivo se enfrentará a los mismos problemas.  

Recomendaciones

Por seguridad y con el objetivo de reducir el riesgo de ataques, Symantec recomienda a los usuarios de dispositivos móviles los siguientes puntos:

– Evitar la descarga de Pokémon Go desde sitios no oficiales, ya que los atacantes pueden utilizar estos sitios para liberar malware disfrazado de aplicaciones legítimas.

– Instalar la actualización de Pokémon Go que ha eliminado la solicitud de acceso total a las cuentas de Google.

– Alejarse de herramientas de juego tramposas, ya que pueden ser fraudulentas o pueden contener malware.

– Mantener actualizado el firmware del teléfono inteligente para prevenir vulnerabilidades que puedan ser aprovechadas.

– Utilizar contraseñas fuertes y únicas para la cuenta de Pokémon Go.

– Poner mucha atención en los permisos que las aplicaciones solicitan.

– Instalar una aplicación de seguridad móvil, tal como Norton, que protege tanto el dispositivo como la información.

Relacionadas

Comentarios