El hecho de que los teléfonos inteligentes y las tabletas no necesiten software antivirus o actualizaciones periódicas de software es una de las principales razones de su popularidad. Sin embargo, eso podría cambiar pronto ya que varias empresas de seguridad señalan que existen evidencias de que los criminales están cada vez más cerca de encontrar formas eficientes y rentables de comprometer una gran cantidad de dispositivos móviles al mismo tiempo.

Si eso ocurre, muchas más personas se verían expuestas al malware para móviles, y Apple y Google podrían verse obligadas a lanzar actualizaciones de seguridad para sus sistemas operativos móviles con frecuencia, como hace Microsoft con el sistema Windows.

Los smartphones y las tabletas no son compatibles con el tipo de ecosistema criminal asociado con los ordenadores de escritorio y portátiles. Con los PC, la gente gana dinero mediante el uso de páginas web maliciosas y debilidades en los navegadores y otros programas de software para instalar malware con el que robar contraseñas o enviar spam.

Los criminales aún no han descubierto un modelo de negocio fiable para los móviles, señala Chris Astacio, investigador de la empresa de seguridad Websense. Hasta ahora, los ataques a dispositivos móviles se han visto limitados por la necesidad de distribuir aplicaciones maliciosas a través de las tiendas de aplicaciones móviles, donde Apple y Google toman medidas para detectar el malware y eliminar rápidamente cualquier programa que logre colarse.

Astacio cree que, en su lugar, los atacantes pronto distribuirán el malware móvil a través de páginas web, que en esencia es el mismo enfoque que impulsa la mayoría de las infecciones en los ordenadores convencionales. En una presentación hace dos semanas en la conferencia de seguridad RSA de San Francisco (EE.UU.), Astacio informó que existen evidencias de que el software que actualmente está causando la mayoría de las infecciones en los ordenadores portátiles y de escritorio, según cifras tanto de Websense como de otra empresa de seguridad, AVG, pronto podría tener a los dispositivos móviles también como objetivo.

Ese software se conoce como Blackhole, y Astacio lo está investigando. Es un ejemplo de paquete de explotación, un paquete utilizado por delincuentes para instalar malware en los ordenadores de la gente cuando visitan una página web comprometida. Blackhole, que se encontró en algunos sitios web de la emisora de televisión estadounidense NBC el mes pasado, evalúa el ordenador de la víctima con el fin de ofrecerle malware encubierto frente al que sea vulnerable. El kit es una forma eficaz de distribuir malware lucrativo a gran escala.

Mientras realizaba el proceso de ingeniería inversa con la última versión de Blackhole, Astacio se dio cuenta de que en la actualidad el software tiene como objetivos específicos los iPhones, iPads y dispositivos Android. Astacio cree que los desarrolladores de Blackhole se están preparando para atacar dispositivos móviles con malware que pueda tomar el control de un teléfono o tableta a través de su navegador móvil.

"Todo esto se reduce a conseguir un tipo de piratería eficiente para los atacantes móviles, que ya cuentan con una infraestructura de kits de explotación para obtener un perfil de los dispositivos móviles y atacarlos", afirma Astacio. "Los ataques móviles masivos parecen ser la evolución natural".

Jaime Blasco, que dirige los laboratorios de investigación de malware en la empresa de seguridad AlienVault, está de acuerdo con la predicción pesimista de Astacio. "Los malos de la película aún no han encontrado la forma correcta de sacar dinero al usuario", señala, "pero probablemente lo lograrán".

No es especialmente difícil crear malware para los sistemas operativos móviles, en particular Android, señala Blasco, y hay indicios de que los delincuentes están trabajando para adaptar los métodos utilizados para atacar a los PC". Hemos encontrado muestras de Zeus y SpyEye en el ámbito móvil", indica. Se trata de dos paquetes de malware comunes que han infectado a millones de ordenadores de escritorio y portátiles, y que roban credenciales bancarias. Blasco cree que el llamado ransomeware, un software que bloquea el acceso a los datos y pide un pago para liberarlos, también aparecerá en los dispositivos móviles. Los datos personales en los teléfonos inteligentes, como los libros de contacto, mensajes de texto y fotos podrían ser un objetivo lucrativo.

Ya han aparecido algunos tipos de malware para dispositivos móviles y podrían tener un impacto significativo si se combinan con la distribución a gran escala que ofrece Blackhole. Una aplicación para Android descubierta recientemente por la compañía de seguridad TrustGo en 100.000 teléfonos en China se gasta el dinero de las víctimas abusando de un sistema de pagos basado en SMS. Tras su distribución ha infectado a 100.000 teléfonos en China a través de una alternativa a la tienda de aplicaciones de Google muy popular en el país. En otoño del año pasado se descubrió que algunos teléfonos Android de Samsung podían ser controlados a través de su navegador, y otros investigadores han demostrado ataques similares.

Kevin Mahaffey, director de tecnología y cofundador de la empresa de seguridad móvil Lookout, cree que este nuevo y rentable tipo de malware en última instancia obligará a Apple y Google a copiar el enfoque de Microsoft en lo referido a la protección de su sistema operativo Windows. En 2005, la compañía lanzó una herramienta de actualización reinventada para su sistema operativo, que en ese momento se veía acosado por nuevos y frecuentes problemas de seguridad. "Microsoft lo dejó todo y se centró en construir Microsoft Update", que ahora s una parte fundamental de Windows, señala Mahaffey, y creó un flujo de trabajo sofisticado capaz de actuar rápidamente para arreglar los nuevos problemas.

En la actualidad, Apple y Google lanzan parches para sus sistemas operativos móviles solo varias veces al año, por lo que muchas personas pueden permanecer expuestas a una vulnerabilidad aún mucho tiempo después de que se haya desarrollado una solución. Las actualizaciones de los dispositivos Android son muy raras puesto que los operadores móviles eligen cuándo distribuir las últimas actualizaciones de Google entre sus usuarios, y muchas veces eligen no hacerlo.

"Tener que actualizar constantemente esos dispositivos es una decisión de negocios que no quieren tener que tomar", concluye Astacio.