Imagina esta situación: lees un artículo acerca de la nueva función de borrado de mensajes de WhatsApp como este. Quieres esa función, obviamente. Así que entras en Google Play Store y buscas “actualización WhatsApp” para encontrar esa última versión que te dará paso a lo que quieres. Te topas con una aplicación que poco o nada tiene que ver con el WhatsApp original. Eso sí, lo descubres tarde porque imita a la perfección la página de descarga del propio WhatsApp en Google Play Store. El resto lo puedes imaginar: publicidad abusiva, posible robo de información sensible, etc. etc. Si eres de los que piensa “a mí no me pasa eso”, puedes consultarlo con el millón de personas que han caído en esta treta.
Una aplicación falsa pero famosa
Cada pocas semanas salta a la palestra informativa una nueva noticia acerca de la inseguridad de Google Play Store. Y no es que sea insegura per sé, es que cada vez las ocurrencias de los estafadores son más finas y calculadas. ¿La última? Clonar la página de descarga de WhatsApp, así como su nombre de desarrollador. Todo ello para lograr engañar a más de un millón de usuarios. Alerta de spoiler: el problema ya se ha solucionado.
Desde Reddit nos enteramos de que unos desarrolladores muy avispados han descubierto la fórmula para imitar la página de descarga de WhatsApp. Lo copian todo menos el nombre, que en este caso era Update WhatsApp Messenger. Suficiente para conseguir que los usuarios menos doctos acaben pinchando en el botón Instalar. Al menos la treta se ha dado en inglés, por lo que es poco probable que hayas caído en el engaño.
Fake WhatsApp Update on #GooglePlay . Under the "same" dev name. Incl. a Unicode whitespace. One Million downloadshttps://t.co/qjqxd6n6HP pic.twitter.com/dmvTksqpuP
— Nikolaos Chrysaidos (@virqdroid) November 3, 2017
¿Dónde está la seguridad de Google Play?
La clave de todo esto no tiene que ver con las medidas de seguridad de Google Play Store. O al menos hay que tener claro que la aplicación falsa era segura, hasta donde sabemos. La clave está en el phising o técnica de imitación para confundir a los usuarios. Pero ¿cómo podría un desarrollador de a pie simular ser la propia WhatsApp? Siendo muy hábil y gracias a los emoticonos.
Las imágenes del perfil de descarga de WhatsApp son realmente fáciles de copiar. Al fin y al cabo son accesibles para todos en Google Play Store. Solo hay que utilizarlas a la hora de presentar la aplicación falsa para que sea publicada. Lo realmente interesante viene a la hora de copiar el nombre del desarrollador. Una de las claves que nos puede decir si estamos ante una falsificación o no.
Si estamos ante dos aplicaciones de aspecto idéntico, lo mejor es atender al nombre del desarrollador. Esto nos daría la clave de si WhatsApp Inc, la empresa desarrolladora original, es la creadora. Aquí el desarrollador listillo lo que ha hecho ha sido copiar el nombre original pero usando un emoticono o símbolo en blanco entre “WhatsApp” e “Inc”. Así, técnicamente, no resulta ser el mismo nombre, pero sí lucir igual en la pantalla de descarga.
Más de un millón de afectados
Con todo esto la versión falsa de la aplicación, que obviamente no ofrece ningún servicio de WhatsApp, ha recopilado más de mil millones de descargas. Pero también puede jactarse de haber burlado a Google en sus peripecias de imitación. Ha de ser una aplicación segura para estar en Google Play Store, pero puede haber generado beneficios gracias a publicidad abusiva y otras técnicas gracias al nombre de WhatsApp. Y, por supuesto, gracias al desconocimiento de los usuarios.
El problema ya está resuelto. Y es que, al parecer, cambiar de imágenes y nombre en Google Play Store es un proceso rápido y sin complicaciones. Ahora la aplicación falsa sigue ahí, pero con otro nombre y otro aspecto diferentes. Por supuesto hay que evitar instalarla, como cualquier aplicación no oficial, a pesar de ser segura.
Queda claro, pues, que a pesar de las barreras de seguridad, al final es el propio usuario quien ha de protegerse. Eso sí, estos casos hacen que nos pensemos muy mucho cada paso que damos en las tiendas de aplicaciones. Y es que parece que mirar el nombre del desarrollador y atender a los comentarios de otros usuarios puede no ser suficiente.
