Si echamos la vista atrás, es fácil ver que la tienda de aplicaciones de Google Play ha evolucionado mucho. Aquel Android Market se terminó convirtiendo en algo más grande que además era más seguro y hacía que instalar un malware fuera cada vez más complicado. Hemos avanzado pero todavía hay cosas pendientes y la mejor prueba de ello es lo que ha ocurrido recientemente con una aplicación.
InstaAgent desapareció ayer de Google Play. El motivo era muy claro: la aplicación registraba las contraseñas de los usuarios sin su permiso. Parece increíble que una app de este tipo se cuele en una tienda de aplicaciones pero sí, logró su objetivo. Más allá de su eliminación, debería servir como un ejercicio de reflexión para darnos cuenta de que todavía hay mucho que hacer.
Una estafa clásica vuelve a aparecer
InstaAgent, para quien no la conociera, es una aplicación que permitía saber quién visitaba nuestro perfil en Instagram. Un timo que probablemente algunos recordaban de la época de MSN Messenger y los programas que había para espiar a otras personas. Una estafa recurrente que ha ocurrido en otras redes sociales.
Lo preocupante de esta aplicación es la aceptación que había tenido. Más de medio millón de descargas, es una barbaridad, de un servicio fraudulento que no solo ha afectado a Android, en iOS también se ha colado con unas estadísticas de usuarios parecidas a las que acabamos de ver.
Todo empezó cuando PeppersoftDev, un desarrollador ajeno, bajó InstaAgent y se dedicó a revisar los permisos que pedía la aplicación. Lo preocupante de todo el asunto es que la contraseña de nuestra cuenta se enviaba sin cifrar a un servidor remoto así como dar la potestad de subir foto a Instagram sin nuestro consentimiento.
Hace unos días en Reddit un usuario alertaba de que el creador de esta aplicación estaba ganando mucho dinero con esta app. La alarma sirvió para que otros estuvieran atentos y finalmente se destapara la estafa. Se ha intentado contactar con su creador sin éxito y parece que se esfumara con todo el dinero que ha podido conseguir hasta ahora.
¿Se podía haber evitado esto? Sí, pero el problema radica en que el agujero que ha propiciado este robot de contraseñas no es fácil de detectar en Google Play, al menos no con herramientas automáticas. Lo que me sorprende es que en Google dejen subir aplicaciones que pueden compartir contraseñas sin cifrar con servidores remotos no autorizados.
Si teníais la aplicación instalada, nuestro consejo es que cambiéis lo antes posible la contraseña de Instagram y revisar vuestro perfil para ver si se han subido imágenes sin nuestro permiso. Esperemos que no vuelva a ocurrir pero resulta muy difícil parar este tipo de fraudes.
Ver 5 comentarios