AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Google refuerza la protección contra estafas telefónicas en Android para apps bancarias en EE. UU.

admin

Introducción

En un nuevo movimiento para atajar el creciente problema de las estafas telefónicas dirigidas a usuarios de banca móvil, Google ha anunciado la ampliación de su función de protección contra llamadas fraudulentas en dispositivos Android. Esta funcionalidad, inicialmente disponible en India, se desplegará ahora en los Estados Unidos, abarcando aplicaciones de múltiples entidades bancarias y financieras. El objetivo es mitigar el riesgo de ataques mediante ingeniería social que buscan comprometer cuentas y fondos de los usuarios. La decisión llega en un contexto de sofisticación creciente de los ataques y ante la presión regulatoria para mejorar la seguridad de los servicios financieros digitales.

Contexto del Incidente o Vulnerabilidad

Las estafas telefónicas, especialmente las que combinan el uso de llamadas de voz y apps bancarias, han proliferado en los últimos años. Los ciberdelincuentes utilizan técnicas de vishing (voice phishing) y smishing (SMS phishing) para manipular a los usuarios y obtener credenciales, códigos OTP o incluso el control remoto de los dispositivos. Según datos de la Federal Trade Commission (FTC) de EE. UU., en 2023 las pérdidas por fraude telefónico superaron los 2.800 millones de dólares, con un crecimiento del 30% respecto al año anterior.

Hasta ahora, la protección de Android se limitaba a la identificación de llamadas sospechosas mediante listas negras y mecanismos de reputación, quedando fuera los ataques que explotan la ingeniería social durante la interacción con apps bancarias. Google busca cerrar esta brecha al detectar comportamientos anómalos en tiempo real mientras el usuario interactúa con aplicaciones financieras durante una llamada.

Detalles Técnicos

La nueva característica de protección se apoya en un sistema de detección local, funcionando íntegramente en el dispositivo para preservar la privacidad y cumplir con la GDPR y la NIS2. El sistema emplea machine learning para identificar patrones de comportamiento asociados a estafas telefónicas, tales como la apertura de apps bancarias en paralelo a una llamada de voz, solicitudes de transferencia fuera de lo habitual o intentos de compartir la pantalla durante la llamada.

En términos de técnicas y tácticas de MITRE ATT&CK, los ataques mitigados por esta función incluyen:

– **T1566.001 (Phishing: Spearphishing via Service)**: donde el atacante guía al usuario a través de la llamada para realizar acciones maliciosas.
– **T1078 (Valid Accounts)**: el atacante busca obtener credenciales legítimas.
– **T1216 (System Script Proxy Execution)**: en ataques más avanzados, se induce al usuario a instalar software de control remoto.

Los Indicadores de Compromiso (IoC) monitorizados incluyen la coincidencia temporal entre llamadas de números no verificados y la interacción con apps de alto riesgo, patrones anómalos de navegación en la app y solicitudes de permisos atípicos.

Por el momento, la función se está desplegando en colaboración con entidades como Wells Fargo, Capital One, Chase y American Express, y es compatible con Android 15 y versiones posteriores. Google ha confirmado que no se envía ningún dato a sus servidores, ejecutándose todo en local mediante la API de Accessibility Services, lo que minimiza el riesgo de privacidad.

Impacto y Riesgos

La introducción de esta protección puede reducir significativamente el éxito de ataques de ingeniería social dirigidos a clientes bancarios. Según estimaciones internas de Google, hasta el 70% de las estafas telefónicas implican algún tipo de interacción con apps financieras durante la llamada. Sin embargo, los atacantes podrían buscar estrategias de evasión, como el uso de canales alternativos (mensajería instantánea, VoIP cifrado) o el desarrollo de malware que desactive la protección local.

Desde el punto de vista del cumplimiento normativo, la medida ayuda a las entidades financieras a reforzar su postura frente a los requisitos de la NIS2 en cuanto a la seguridad de servicios críticos y la protección de datos personales bajo el GDPR.

Medidas de Mitigación y Recomendaciones

A pesar de la nueva función, se recomienda a los equipos de seguridad bancaria y a los CISOs:

– Implementar controles adicionales de autenticación adaptativa y monitorización de transacciones sospechosas en tiempo real.
– Formar a los usuarios sobre los riesgos del vishing y la importancia de no compartir información sensible durante llamadas telefónicas.
– Integrar feeds de amenazas y análisis de comportamiento en sus sistemas SIEM/SOC para detectar patrones anómalos no cubiertos por la protección de Android.
– Establecer canales de reporte rápido y respuesta ante incidentes de fraude.

Opinión de Expertos

Analistas del sector, como los de Gartner y Forrester, consideran que la decisión de Google supone un avance sustancial, pero advierten que la protección local puede ser insuficiente frente a ataques avanzados o APTs que utilicen técnicas de evasión. Recomiendan una estrategia de defensa en profundidad, combinando la protección en el endpoint con inteligencia de amenazas centralizada y colaboración entre fabricantes y entidades financieras.

Implicaciones para Empresas y Usuarios

Para las instituciones financieras, la integración de esta funcionalidad puede reducir el número de fraudes exitosos y el coste asociado a reembolsos y gestión de incidentes. No obstante, será necesario revisar las políticas de soporte y atención al cliente, dado que algunos flujos legítimos (como asistencia técnica por teléfono) podrían verse afectados por falsos positivos.

Para los usuarios, la protección añade una capa adicional de seguridad sin sacrificar la privacidad, aunque deberán adaptarse a posibles advertencias o bloqueos durante el uso de apps bancarias en llamadas.

Conclusiones

La extensión de la protección antiestafas de Google en Android para aplicaciones bancarias representa un paso importante en la lucha contra el fraude digital, especialmente en un sector tan crítico como el financiero. Sin embargo, la sofisticación de los atacantes obliga a organizaciones y usuarios a mantener una vigilancia activa y a combinar tecnologías de protección con concienciación y buenas prácticas de seguridad.

(Fuente: www.bleepingcomputer.com)