Me encantan las aplicaciones web progresivas (PWA, por sus siglas en inglés). Si no estás familiarizado con el término, una PWA es básicamente un sitio web con un pequeño envoltorio de software a su alrededor. Utiliza tu navegador para mostrar la página, pero actúa como una aplicación separada sin la necesidad de instalarla como tal. Las PWA son populares tanto en computadoras de escritorio como en dispositivos móviles, pero su flexibilidad las ha convertido en un objetivo para ataques de phishing que intentan obtener acceso a tus datos financieros. Según un nuevo informe de ESET Security (descubierto por Bleeping Computer), se ha descubierto que piratas informáticos de ingeniería social en Hungría y Georgia se hacen pasar por bancos y otras instituciones financieras a través de aplicaciones web progresivas, iterando sobre estafas vistas anteriormente en Chequia. Estas son atractivas para los delincuentes porque Chrome y otros navegadores pueden «instalar» una aplicación en tu teléfono que en realidad no es una aplicación, es un acceso directo web que se comporta como uno en tu pantalla de inicio. Eso les permite eludir las defensas críticas contra aplicaciones falsas en Google Play Store y iOS App Store e instalar advertencias en Android. El gancho es uno conocido: recibes un correo electrónico o un mensaje de texto de lo que parece ser tu banco, instalas una aplicación web progresiva en tu teléfono y la usas para iniciar sesión en tu cuenta. Pero tanto el mensaje inicial como la PWA que te pide que instales son falsificaciones bien diseñadas, y ahora se recopila tu información de inicio de sesión. La información se envía a un chat de texto monitoreado por los piratas informáticos, los piratas informáticos inician sesión en tu cuenta bancaria, la vacían y la estafa está completa. Una PWA para una aplicación bancaria falsa (izquierda), prácticamente indistinguible de una PWA para el sitio bancario genuino (derecha). Una PWA para una aplicación bancaria falsa (izquierda), prácticamente indistinguible de una PWA para el sitio bancario genuino (derecha). ESET Security Una PWA para una aplicación bancaria falsa (izquierda), prácticamente indistinguible de una PWA para el sitio bancario genuino (derecha). ESET Security ESET Security ESET advierte que ha observado ataques dirigidos específicamente a usuarios de Android y a la implementación de PWA «WebAPK» de Chrome, con animaciones destinadas a imitar el flujo de instalación de Google Play Store. Combinado con imitaciones casi perfectas de aplicaciones bancarias, esto da a los usuarios una falsa confianza en la validez de la aplicación o servicio, bajando sus defensas y tentándolos a ingresar su información personal. Si bien el informe solo detalla los ataques vistos en Europa del Este hasta ahora, se sabe que los estafadores y piratas informáticos reimplementan rápidamente métodos de ataque exitosos en todo el mundo. Y cualquiera puede verse afectado, incluso, digamos, un escritor de tecnología con 13 años de experiencia que estuvo a un pelo de caer en un correo electrónico falso que decía «no se pudo entregar su paquete» a principios de este año. Esté alerta ante cualquier mensaje de usuarios o direcciones no verificadas que lo inciten a instalar PWA o WebAPK, y recuerde siempre iniciar sesión de forma independiente en su banco u otras herramientas financieras. No ofrezca nombres de usuario, contraseñas u otra información a nadie a través de un sistema secundario como el correo electrónico o los mensajes de texto.