por ComputerHoy
23 de junio de 2025
Los hackers más avispados están de vuelta para atacar a todo aquel que no ponga las protecciones necesarias y lo han hecho a través de una herramienta sencilla, habitual, como lo son las notificaciones de móviles con sistema operativo Android.
Así lo han advertido los investigadores de io-no.com, que ha señalado que el origen de este problema radica en cómo han logrado introducir caracteres del estándar Unicode dentro de estas alertas, que habitualmente ofrecen sugerencias basadas en el contenido de estos mensajes.
Con esto nos referimos a las comunicaciones que habitualmente proponen las propias aplicaciones de mensajería, en las que se ofrecen respuestas comodín para contestar a otra persona sin necesidad de abrir el servicio.
Es decir, el "te llamo más tarde" que propone la app cuando recibes una llamada y no puedes descolgar. En este caso, los ciberdelincuentes se han centrado en un botón que permite a los usuarios abrir enlaces automáticamente extraídos de una notificación.
Al integrar Unicode, lo que se crea, entonces, es un desajuste entre lo que los usuarios ven y lo que el sistema procesa cuando se escoge la acción Abrir link.
Un enlace muy creíble
Desde io-no.com han recordado que los desarrolladores de este tipo de aplicaciones (Telegram, WhatsApp, Discord, Instagram, etc.) no implementan esta característica de manera explícita, sino que se viene proporcionada automáticamente por el sistema de notificación de Android.
De esta manera, cuando el usuario recibe un mensaje en el que se incluya un enlace a una página web (por ejemplo, Amazon), el sistema de alertas no solo mostrará la url de acceso, sino también un botón que permite acceder directamente al sitio web con el navegador establecido como predeterminado.
Si bien se ofrece como un atajo, para facilitar el acceso a una determinada página web, en realidad se presenta como un acceso directo al software malicioso, al contar con caracteres Unicode en las notificaciones, algunos incluso invisibles.
Por ejemplo, si el texto del mensaje era ama[ ]zon.com, con [ ] como caracteres ocultos, la sugerencia interpreta el enlace como si se tratara de dos palabras separadas (ama y zon.com) y, después, extrae el enlace (zon.com) como url que debe abrir.
De esta manera y gracias a los caracteres invisibles, los ciberdelincuentes podían colar la trampa de una forma más sutil a otra en la que se incluyera un caracter extraño dentro del propio enlace, ya que el mensaje de texto lo delataría.
En cualquier caso, desde io-no.com han concretado que este problema, reflejado en dispositivos Google Pixel 9 Pro XL, Samsung Galaxy S25 y versiones anteriores, han indicado que este problema podría ser aún más grande: estos enlaces fraudulentos podían iniciar conversaciones, llamadas o abrir archivos dentro de las aplicaciones sin el consentimiento de los usuarios, una vez se hubiera hecho clic en ellos.
Otras SO y apps implicadas
Los hackers no solo han utilizado estas notificaciones con sugerencias de enlaces al navegador, sino que también han hecho por añadir urls que dirigían a los usuarios a otras aplicaciones instaladas en el dispositivo, como WhatsApp, Discord o Slack.
Y, por si fuera poco, el problema también se ha trasladado a otros sistemas operativos, como es el caso del que utiliza iPhone e iPad. Sin embargo, en su caso, los ciberdelincuentes no lo han tenido tan sencillo como en Android.
Esto se debe a que, en su caso, los sistemas operativos que desarrolla Apple dividen la url justo donde identifican el caracter Unicode invisible, de manera que la mitad del enlace (www.ama) se muestra en color blanco, mientras que el zon.com aparece en azul, una división que puede hacer dudar al usuario al hacer clic sobre él.
Conoce cómo trabajamos en ComputerHoy.
Etiquetas: Malware, Ciberseguridad
