No te fíes de las opiniones y valoraciones de Google Play

Algunos troyanos de Android pueden escribir opiniones y valorar las aplicaciones en nombre de los usuarios, pero sin su consentimiento.

A veces, los usuarios de Android tienen que descargar aplicaciones confusas de Google Play. Con “confusas” nos referimos a que son aplicaciones desconocidas, aplicaciones de pequeños editores, etc. No son como Evernote, Dropbox, aplicaciones bancarias u otros programas populares. Puede que se trate de una calculadora especial para ingeniería, por ejemplo, o de un reproductor de música alternativo.

Existen muchas aplicaciones de este tipo en la Google Play Store, de hecho miles, y escoger no es tarea fácil. Los usuarios veteranos de Android recomiendan que nos decantemos por las aplicaciones que se han descargado más veces, las que tienen las mejores valoraciones o las aplicaciones con más opiniones.

Parece tener mucho sentido: las probabilidades de que una aplicación descargada por muchas personas sea conveniente y útil son altas. Y una valoración alta significa que a los usuarios les ha gustado la aplicación. Muchas valoraciones también deberían ser signo de que el programa es popular. En su conjunto, estos criterios representan un tipo de karma para la aplicación.

Eso no significa que una aplicación con pocas descargas y valoraciones tenga que ser mala; podría darse el caso de que la aplicación sea nueva y, por tanto, la comunidad no ha tenido aún la oportunidad de probarla. Pero, por lo general, el número de descargas, el número de reseñas y las valoraciones se consideran una fórmula viable para prejuzgar una aplicación. Después de todo, los comentarios y las valoraciones se diseñaron para que el sistema funcionara.

Aun así, la cuestión no es tan simple: Los troyanos de Android pueden descargar aplicaciones sin darnos cuenta en los smartphones de los usuarios, escribir comentarios falsos y manipular artificialmente las valoraciones.

La herramienta clave para todo ello son los troyanos rootkit, unos de los que más prolíficos de los tipos de malware para móviles. Estos troyanos a menudo vienen camuflados en aplicaciones populares en las tiendas de terceros y también pueden infiltrarse en los smartphones mediante mensajes de texto spam o anuncios maliciosos en páginas web.

Los rootkits se llama así por su habilidad de “rootear” un sistema (por ejemplo, para obtener privilegios a nivel del sistema) y así obtener el control total del dispositivo. Pueden enviar mensajes, descargar otras aplicaciones y hacer muchas otras cosas sin el consentimiento ni conocimiento del usuario. En algunos casos, los rootkits usan Google Play para sus tareas.

Por ejemplo, Guerrilla, un troyano distribuido por el rootkit Leech, intenta robar las credenciales del usuario desde Google Play, luego utiliza la API de la tienda, se hace pasar por un cliente y descarga, valora y comenta aplicaciones en nombre del usuario.

Esta es la oportunidad de los ciberdelincuentes para que los smartphones infectados compren aplicaciones inútiles. También pueden dedicarse a otro modelo de negocio: vender servicios para mejorar las valoraciones de los desarrolladores o empeorarlas para mejorar los beneficios de sus competidores.

Las valoraciones son algo más complicadas: las valoraciones idénticas serían sospechosas y el idioma también debe parecer natural. Pero las valoraciones falsas y plausibles no son para nada inusuales: “Una aplicación genial, ¡me funciona bien!” o “Toda funciono bien, solo falta el soporte de idioma”, etc.

Los malos pueden generar una base de datos de valoraciones típicas y usar los troyanos para que las elijan y las publiquen aleatoriamente para que lleguen a parecer más naturales.

En resumidas cuentas, no deberías confiar a ciegas en las opiniones y valoraciones de Google Play. Entonces, ¿qué? ¿Cómo debes elegir una aplicación?

Te dejamos unos consejos:

1. Intenta decantarte por aplicaciones creadas por desarrolladores conocidos y de confianza. Busca el icono del diamante azul, el cual indica que la aplicación proviene de un “desarrollador destacado”. Por supuesto, no todos los buenos desarrolladores tienen este diamante, pero no obstante, el nombre de un buen desarrollador debería ser conocido: búscalo en Internet.

2. Lee las opiniones. Sí, a pesar de las probabilidades de poder engañarte, busca comentarios detallados y no solo del tipo “Todo va bien”. Estas valoraciones largas son indispensables cuando buscas una primera impresión.

3. Instala una solución de seguridad en tu dispositivo Android. La probabilidad de descargar una aplicación maliciosa de la Google Play es baja, pero dichas aplicaciones se distribuyen activamente por mensajes de texto y anuncios maliciosos. Una solución de seguridad te protegerá de ser un objetivo de los ciberdelincuentes y de que publiquen valoraciones sin que lo sepas.

Consejos