Los delincuentes informáticos también han entrado en la fiebre Pokémon Go, pero no para cazar monstruos sino datos de usuarios, sobre todo sus tarjetas de crédito. Casi todas las empresas e instituciones de seguridad informática, e incluso la Guardia Civil, han alertado de aplicaciones que suplantan la original de Pokémon Go o sugieren trucos y estrategias para el juego, cuando en realidad transportan malware o virus que buscan el control del móvil del jugador. En su mayoría, son ofrecidas en páginas web ajenas a las tiendas oficiales de Android (Google Play) o de Apple (Apple Store), pero alguna ha entrado en el canal oficial.

En principio, los ciberdelincuentes utilizaron como estrategia la impaciencia de tener el juego antes que nadie. El pasado fin de semana, la app, que reconvertía en versión móvil la serie de juegos de consolas más vendida de Nintendo, alcanzó los 100 millones de descargas. Según la consultora App Annie, que aporta el dato, el juego supone unos ingresos para sus creadores (Nintendo, The Pokémon Company y Niantic, una empresa surgida de Google) de 10 millones de dólares al día gracias a las compras dentro de la app, y sin que funcione todavía en China y Brasil.

SUPLANTAR LA IDENTIDAD // Lo que no se ha calculado es cuánto han podido obtener los ciberdelincuentes captando datos que luego se usan para spam, ataques dirigidos de phishing o suplantaciones de identidad. O simplemente, dirigiendo visitas a páginas llenas de anuncios cuyos ingresos revierten en los malhechores.

Un par de días antes de que se lanzara la versión para Australia (6 de julio) y EEUU (el 7), apareció una falsa app Pokémon para Android que instalaba un viejo conocido de los investigadores en seguridad: el malware Droidjack. Un programa pensado para lograr controlar un móvil ajeno que capta todo tipo de información, desde las cuentas, los contactos telefónicos del usuario, la actividad del uso y las coordenadas GPS. Además, también puede hacer llamadas o activar la cámara del móvil y el micrófono.

ANUNCIOS MOLESTOS // Otro ataque, dirigido a los usuarios hispanohablantes (en España se pudo descargar oficialmente desde el 15 de julio, pero en muchos países de América Latina como Brasil y Argentina todavía no existe oficialmente), era la app Install Pokemongo, que se vendía en la Google Play, y que según la compañía de seguridad Fireeye, instalaba un montón de anuncios molestos que no había forma de sacar y que se iban refrescando para generar ingresos a sus autores. La app fue retirada por Google dos días después (esta compañía, a diferencia de Apple, no revisan las apps previamente), pero, según Fireeye, ya había tenido entre 5.000 y 10.000 descargas.

Para los países donde ya se cazan pokémons con permiso de Nintendo y Niantic, los ciberdelincuentes han cambiado la estrategia y ahora ofrecen apps de trucos o pistas del juego, una función que muchos jugadores han echado en falta en la app oficial. Una aplicación falsa fue Pokémon Go Ultimate, según denunció Trend Micro. La aplicación bloqueaba la pantalla del móvil, haciendo que el usuario optara por reiniciar el teléfono e instalara sin querer un programa que se conectaba a páginas webs fraudulentas también para hacer clics sobre anuncios.

Otras webs han sido cerradas, como PokémonPromo.com o PokémonGopromo.com, porque prometían acceso previo pago a monstruos difíciles de localizar, pero que eran en realidad estafas. H