86626877 895a0d60 120b 4dd8 8a61 B422acd25388

Si miramos atrás, es fácil ver que la tienda de aplicaciones de Google Play ha evolucionado mucho. Aquel Android Market se acabó convirtiendo en algo más grande que además era más seguro y hacía que instalar un malware fuera cada vez más complicado. Hemos avanzado pero todavía hay cosas pendientes y la mejor prueba de ello es lo que ha ocurrido recientemente con una aplicación.

InstaAgent desapareció ayer de Google Play. El motivo era muy claro: la aplicación registraba las contraseñas de los usuarios sin su permiso. Parece increíble que una app de este tipo se cuele en una tienda de aplicaciones pero sí, consiguió su objetivo. Más allá de su eliminación, debería servir como un ejercicio de reflexión para darnos cuenta de que todavía hay mucho que hacer.

Una estafa clásica vuelve a aparecer

InstaAgent, para quien no la conociera, es una aplicación que permitía saber quién visitaba nuestro perfil en Instagram . Una estafa que probablemente algunos recordaban la época de MSN Messenger y los programas que había para espiar a otras personas. Una estafa recurrente que ha pasado en otras redes sociales .

Lo que preocupa de esta aplicación es la aceptación que había tenido. Más de medio millón de descargas, es una barbaridad, de un servicio fraudulento que no sólo ha afectado Android, en iOS también se ha colado con unas estadísticas de usuarios similares a las que acabamos de ver.

Todo comenzó cuando PeppersoftDev, un desarrollador ajeno, bajó InstaAgent y se dedicó a revisar los permisos que pedía la aplicación. Lo preocupante de todo el asunto es que la contraseña de nuestra cuenta enviaba sin cifrar a un servidor remoto así como dar la potestad de subir foto en Instagram sin nuestro consentimiento.

Hace unos días en Reddit un usuario alertaba de que el creador de esta aplicación estaba ganando mucho dinero con esta app. La alarma sirvió para que otros estuvieran atentos y finalmente se destapara la estafa. Se ha intentado contactar con su creador sin éxito y parece que se esfumara con todo el dinero que ha podido conseguir hasta ahora.

Se podía haber evitado esto? Sí, pero el problema es que el agujero que ha propiciado este robot de contraseñas no es fácil de detectar en Google Play, al menos no con herramientas automáticas. Lo que me sorprende es que en Google dejen subir aplicaciones que pueden compartir contraseñas sin cifrar con servidores remotos no autorizados.

Si tenías la aplicación instalada, Nuestro consejo es que cambie cuanto antes la contraseña de Instagram y revisar su perfil para ver si se han subido imágenes sin nuestro permiso. Esperamos que no vuelva a pasar pero resulta muy difícil detener este tipo de fraudes.