Ayer me llegó desde varios contactos distintos información de un desarrollador de nombre "Business Stock Exchange Corporation", que se había creado apps con la imagen de las principales universidades españolas mostrándose a los usuarios como si fuera la app del Campus de la Universidad. En el periodo en el que nos encontramos, con muchos jóvenes entrando en la universidad por primera vez, hubiera sido muy fácil conseguir que se instalase en muchos terminales.
 |
| Figura 1: Un negocio de apps con la imagen de las Universidades Españolas |
A día de hoy la cuenta del desarrollador ha sido cerrada y todos las apps han sido eliminadas de Google Play, pero aún están copiadas en cientos de sitios de Internet que se dedican a ofrecer apps tomadas desde el market oficial de Google. Como se puede ver en esta captura que tomé ayer mientras revisaba la información, utiliza el mismo esquema en todas ellas Campus Universidad y el logo oficial de la misma
 |
| Figura 2: Apps creadas con la imagen de las universidades españolas por el desarrollador "Business Stock Exchange Corporation" |
En el texto de descripción, en ningún momento indica que no es una app oficial, o da más datos de su procedencia, ya que solo pone que desde esta app podrás acceder a los servicios del campus de la universidad y promociona todo lo que desde la web de la universidad - pero en este caso a través de la app - se puede hacer.
 |
| Figura 3: Descripción de la app de Campus UNED |
Mirando en más detenimiento las apps, estas habían sido creadas con un generador automático de apps a partir de páginas web que se llama Mobincube, con el único objetivo de poder tener metidos los frameworks de publicidad y conseguir dinero con los usuarios que se la instalen. Como se puede ver, en la web de Mobincube aún están promocionadas todas como Campus USAL.
 |
| Figura 4: Referencia en Mobincube a la app de Campus USAL |
Mirando en Tacyt, para saber algo más de este desarrollador, se puede ver que tenía otras apps con otros negocios también peculiares, uno de ellos es el típico de "Soy rico y tiro el dinero comprando estas apps que no valen para nada".
 |
| Figura 5: I'm a Golden Rich de Business Stock Exchange Corporation. Ya retirada. |
Una app de 199 € que solo dice eso, pero que por el número de las descargas no parece que tuviera mucho éxito.
¿Cuál es el verdadero problema para los usuarios?
El utilizar una app no oficial como estas para acceder a los servicios de una Universidad - en este caso - o cualquier otro servicio, implica que desde el código de la app se puede acceder a todo lo que se teclea en la WebView donde se introducen las credenciales. Si la app decidiera volverse maliciosa en el futuro, podría acceder a todos los usuarios y contraseñas.
Figura 6: Configuración y uso de Latch en la Universidad de Salamanca.
Si entras nuevo este año, configúrate Latch hoy mismo.
En el caso de la USAL en concreto está implementado Latch como 2º Factor de Autenticación para evitar que el robo de credenciales pueda significar un robo de la identidad de los usuarios, pero hay muchas universidades que aún no implementan ninguna protección extra sobre las cuentas de los estudiantes y profesores, lo que maximiza el riesgo contra este tipo de apps y por lo tanto deberían controlar las apps que se publican en los markets.
 |
| Figura 7: Apps con algún enlace hacia usal.es |
Nosotros esto lo monitorizamos haciendo búsquedas por apps que contengan enlaces a la infraestructura de las organizaciones. Por ejemplo, mirando las apps que hay en Google Play que apuntan a sitios de la Universidad de Salamanca podemos ver que solo hay 6 apps y que todos están bien controlados.
Saludos Malignos!
