Ningú està accedint al teu mòbil mitjançant trucades fantasma

Ens heu preguntat a través del WhatsApp de Verificat (+34 666 908 353) per diversos vídeos que circulen per xarxes socials —on acumulen milers de visualitzacions— i que alerten que, amb les trucades fantasma que rebem sense que ningú parli a l’altra banda del telèfon, terceres persones poden activar la nostra càmera i micròfon per accedir a les nostres dades personals. Però l’alarma que generen els vídeos no se sustenta en cap evidència. No hi ha denúncies a Catalunya relacionades amb estafes similars i, encara que els experts no rebutgen de ple la possibilitat d’aquesta pràctica, coincideixen en el fet que és extremadament complicat portar-la a terme. T’HO EXPLIQUEM!

“Poden accedir a les teves dades personals amb trucades fantasma“

Des de l’Agència de Ciberseguretat de Catalunya, preguntats per Verificat, informen que no tenen evidències d’aquest tipus d’estafes i diuen que sembla “complicat que realment se’n pugui fer”. Remarquen que la manera de funcionar dels dispositius mòbils no permet que les aplicacions es traspassin dades entre si i sense control. L’única manera de fer-ho “pot ser amb l’explotació d’una vulnerabilitat al dispositiu que permeti executar accions en un context de superusuari”, una via que és “massa complicada” d’executar en remot. En aquests casos, vulnerabilitats d’aquesta mena poden valer “centenars de milers d’euros i explotar-les de forma massiva no té sentit, ja que pot facilitar-ne la identificació i la seva resolució”, ressalten des de l’Agència.

El gabinet de comunicació dels Mossos d’Esquadra també ha informat a Verificat que la unitat central de delictes informàtics del cos policial no té constància de denúncies d’aquest tipus d’estafes als mòbils.

“Extremadament complicat”

René Serral, expert en ciberseguretat i professor de la Universitat Politècnica de Catalunya (UPC) assegura en una conversa amb Verificat que és “extremadament complicat” que algú accedeixi a dades personals dels mòbils mitjançant trucades. Serral matisa que mai dirà que un atac sigui “impossible”, però reitera que “el protocol que gestiona la veu no conté prou control del dispositiu per provocar una cosa així”.

Els casos en què terceres persones han accedit a dades confidencials de mòbils són molt estranys sense una acció prèvia de l’usuari, com ara que faci clic en un enllaç. Es coneixen com a estafes “zero-click”. Un exemple de pirateig sense una acció prèvia de les víctimes va ser el cas de Pegasus, un programa espia israelià que es va fer servir per accedir a informació dels mòbils personals de desenes de polítics i activistes arreu del món, també  a Catalunya. Entre les víctimes hi havia “diputats al Parlament Europeu, presidents catalans, legisladors, juristes i membres d’organitzacions de la societat civil”, segons relata l’informe de l’organització canadenca Citizen Lab conegut com a Catalan Gate.

Serral explica que el programa Pegasus aprofitava una falla en les comunicacions per SMS que només tenien els terminals d’iPhone i que no requeria cap interacció de l’usuari per entrar a l’aparell. “L’SMS permet molta més llibertat que la veu, perquè la veu és una codificació i punt. Als missatges SMS pots ficar documents adjunts i altres coses que destapaven un error que tenia el sistema operatiu d’Apple, en aquell cas”, afegeix l’expert.

Les estafes requereixen interacció

La majoria de les estafes en mòbils, avisa Serral, provenen d’interaccions prèvies que hagi fet l’usuari. Una tècnica habitual és l’enviament massiu de missatges amb enllaços que, si l’usuari clica, donen accés als delinqüents a dades confidencials.

Verificat va avisar l’any passat d’un d’aquests exemples: els usuaris de mòbils van rebre una sèrie d’SMS reclamant el pagament d’una multa de trànsit per part de la Direcció General de Trànsit (DGT), però en realitat era una cadena de missatges fraudulents desmentida per la mateixa DGT i l’Institut Nacional de Ciberseguretat. Els missatges eren un intent de smishing, un engany per aconseguir dades personals o suplantar la identitat a través d’enllaços falsos.

Pren precaucions davant de sospites

Per evitar possibles estafes als nostres mòbils, l’Agència de Ciberseguretat de Catalunya recomana a la seva web mantenir el dispositiu sempre actualitzat, tenir el bloqueig de la pantalla amb una contrasenya o clau PIN, descarregar aplicacions només des de canals oficials com Google Play –en el cas dels Android– o App Store –en iPhone–, evitar connectar-se a xarxes de wifi públiques, apagar el Bluetooth i el wifi quan no s’estan utilitzen, i no manipular mai el programari d’arrel que porta el mòbil.

A més a més, davant de missatges que ens arriben amb enllaços o documents adjunts, l’Institut Nacional de Ciberseguretat (Incibe) demana no respondre ni fer clic en cap enllaç. Si tenim dubte de la veracitat del missatge, és millor contactar directament amb l’empresa o l’organització que ens l’ha enviat. També recomana tenir algun programa de seguretat i tenir sistemes d’autenticitat en dos factors als serveis en línia als quals accedim des del mòbil, com en comptes bancaris.

Per què ens truquen sense contestar?

Les trucades que rebem sense que ningú contesti a l’altra banda el telèfon tenen una raó tècnica. Serral explica que són robots que truquen massivament als usuaris. A vegades ho fan per comprovar que un telèfon té un usuari actiu i, en altres ocasions, són màquines d’operadores comercials.

Les empreses operadores tenen tecnologies que truquen automàticament a un usuari d’un telèfon i, quan despenja, el deriven directament a un dels seus treballadors per tenir una conversa persona a persona. No obstant això, Serral diu que no sempre hi ha un operador físic disponible quan algú despenja el telèfon, moment en el qual els usuaris no reben una resposta quan entren a la trucada, fins que es talla.