Nadie está accediendo a tu móvil mediante llamadas fantasma

Nos habéis preguntado a través del WhatsApp de Verificat (+34 666 908 353) por varios vídeos que circulan en redes sociales –que acumulan miles de visualizaciones– y que alertan de que, con las llamadas fantasma que recibimos sin que nadie responda al otro lado de la línea, terceras personas pueden activar nuestra cámara y micrófono para acceder a nuestros datos personales. Pero la alarma que generan los vídeos no se sustenta en ninguna evidencia. No hay denuncias en Catalunya relacionadas con estafas similares y, aunque los expertos no rechazan totalmente la posibilidad de dicha práctica, coinciden en apuntar que es extremadamente complejo llevarla a cabo. ¡TE LO EXPLICAMOS!

«Pueden acceder a tus datos personales con llamadas fantasma»

Desde la Agència de Ciberseguretat de Catalunya, preguntados por Verificat, informan de que no tienen evidencias de este tipo de estafas y dicen que parece «complicado que realmente puedan hacerse». Remarcan que la forma de funcionar de los dispositivos móviles no permite que las aplicaciones se traspasen datos entre sí y sin control. La única forma de hacerlo «puede ser con la explotación de una vulnerabilidad en el dispositivo que permita ejecutar acciones en un contexto de superusuario», una vía que es «demasiado compleja» de ejecutar en remoto. En estos casos, vulnerabilidades de este tipo pueden costar «centenares de miles de euros y explotarlas de forma masiva no tiene sentido, ya que puede facilitar su identificación y resolución», resaltan desde la Agència.

El gabinete de comunicación de Mossos d’Esquadra también ha informado a Verificat que la unidad central de delitos informáticos del cuerpo policial no tiene constancia de denuncias de este tipo de estafas en los móviles.

«Extremadamente complejo»

René Serral, experto en ciberseguridad y profesor de la Universitat Politècnica de Catalunya (UPC) asegura en una conversación con Verificat que es «extremadamente complejo» que alguien acceda a datos personales de los móviles mediante llamadas. Serral matiza que nunca dirá que un ataque sea «imposible», pero reitera que «el protocolo que gestiona la voz no contiene suficiente control del dispositivo para provocar una cosa así».

Los casos en los que terceras personas han accedido a datos confidenciales de móviles son muy extraños sin una acción previa del usuario, como hacer clic en un enlace. Se conocen como estafas «cero-clic». Un ejemplo de pirateo sin una acción previa de las víctimas fue el caso de Pegasus, un programa espía israelí que se utilizó para acceder a información de los móviles personales de decenas de políticos y activistas en todo el mundo, también en Catalunya. Entre las víctimas había «diputados en el Parlamento Europeo, presidentes catalanes, legisladores, juristas y miembros de organizaciones de la sociedad civil», según relata el informe de la organización canadiense Citizen Lab conocido como Catalan Gate.

Serral explica que el programa Pegasus aprovechaba un error en las comunicaciones por SMS que solamente tenían los terminales de iPhone y que no requería ninguna interacción del usuario para entrar en el aparato. «El SMS permite mucha más libertad que la voz, porque la voz es una codificación y punto. En los mensajes SMS puedes añadir documentos adjuntos y otras cosas que destapaban un error que tenía el sistema operativo de Apple, en aquel caso», añade el experto.

Las estafas requieren interacción

La mayoría de las estafas en móviles, avisa Serral, provienen de interacciones previas que haya hecho el usuario. Una técnica habitual es el envío masivo de mensajes con enlaces que, si el usuario clica, dan acceso a datos confidenciales a los delincuentes.

Verificat avisó el año pasado de uno estos ejemplos: los usuarios de móviles recibieron una serie de SMS reclamando el pago de una multa de tráfico por parte de la Dirección General de Tráfico (DGT), pero en realidad era una cadena de mensajes fraudulentos desmentidos por la misma DGT y el Instituto Nacional de Ciberseguridad. Los mensajes eran un intento de smishing, un engaño para conseguir datos personales o suplantar la identidad a través de enlaces falsos.

Toma precauciones ante sospechas

Para evitar posibles estafas en nuestros móviles, la Agència de Ciberseguretat de Catalunya recomienda en su web mantener el dispositivo siempre actualizado, tener el bloqueo de la pantalla con una contraseña o clave PIN, descargar aplicaciones solamente desde canales oficiales como Google Play –en el caso de los Android– o App Store –en iPhone–, evitar conectarse a redes de wifi públicas, apagar el Bluetooth y el wifi cuando no se están utilizando, y no manipular nunca el programario de raíz que lleva el móvil.

Además, ante mensajes que nos llegan con enlaces o documentos adjuntos, el Instituto Nacional de Ciberseguridad (Incibe) pide no responder ni hacer clic en ningún enlace. Si tenemos dudas de la veracidad del mensaje, es mejor contactar directamente con la empresa o la organización que nos la ha mandado. También recomienda tener algún programa de seguridad y tener sistemas de autenticidad en dos factores en los servicios en línea a los que accedemos desde el móvil, como en cuentas bancarias.

¿Para qué nos llaman sin responder?

Las llamadas que recibimos sin que nadie responda al otro lado del teléfono tienen una razón técnica. Serral explica que son robots que llaman masivamente a los usuarios. A veces lo hacen para comprobar que un teléfono tiene un usuario activo y, en otros casos, son máquinas de operadores comerciales.

Las empresas operadoras tienen tecnologías que llaman automáticamente a un usuario de un teléfono y, cuando descuelga, lo derivan directamente a uno de sus trabajadores para tener una conversación persona a persona. No obstante, Serral dice que no siempre hay un operador físico disponible cuando alguien descuelga el teléfono, momento en el que los usuarios no reciben una respuesta cuando entran en la llamada, hasta que se corta.