Meta Platforms Inc. dijo que notificaría a aproximadamente 1 millón de usuarios de Facebook que las credenciales de sus cuentas pueden haberse visto comprometidas debido a problemas de seguridad con las aplicaciones descargadas de las tiendas de software de Apple Inc. y Alphabet Inc.
La empresa anunció el viernes que identificó más de 400 aplicaciones maliciosas de Android e iOS este año que se dirigen a los usuarios de internet para robar su información de inicio de sesión. Meta dijo que informó tanto a Apple como a Google sobre el problema para facilitar la eliminación de las aplicaciones.
Las aplicaciones funcionaban disfrazándose de editores de fotos, juegos móviles o rastreadores de salud, dijo Facebook.
Apple dijo que 45 de las 400 aplicaciones problemáticas estaban en su App Store y fueron eliminadas. Google eliminó todas las aplicaciones maliciosas en cuestión, dijo un portavoz.
“Los ciberdelincuentes saben cuán populares son este tipo de aplicaciones y usarán temas similares para engañar a las personas y robar sus cuentas e información”, dijo David Agranovich, director de disrupción de amenazas globales en Meta. “Si una aplicación promete algo demasiado bueno para ser verdad, como características inéditas para otra plataforma o sitio de redes sociales, es probable que tenga motivos ocultos”.
Una estafa típica se desarrollaría, por ejemplo, después de que un usuario descargara una de las aplicaciones maliciosas. La aplicación requeriría un inicio de sesión de Facebook para funcionar más allá de la funcionalidad básica, engañando así al usuario para que proporcione su nombre de usuario y contraseña.
Luego, los usuarios podrían, por ejemplo, cargar una foto editada en su cuenta de Facebook. Pero en el proceso, sin saberlo, comprometieron su cuenta al darle acceso al autor de la aplicación.
Meta dijo que compartiría consejos con las víctimas potenciales sobre cómo pueden evitar ser “comprometidos nuevamente” aprendiendo cómo identificar mejor las aplicaciones problemáticas que roban credenciales, ya sea para Facebook u otras cuentas.
La actividad maliciosa ocurrió fuera de los sistemas Meta, dijo Agranovich, y agregó que no todas las contraseñas de 1 millón de personas necesariamente se vieron comprometidas.