Usas Microsoft, dependes de Canvas y confías en Google Play. Así te sorprenda, el riesgo ya también se mueve por ahí.

📰 Lo último de la semana

Una app de Microsoft fue usada en un nuevo esquema de robo de códigos SMS

Das por hecho que el segundo factor sigue protegiendo la cuenta porque el teléfono nunca salió de tu mano. El código sigue llegando a tu número, pero ya no necesariamente queda dentro de un entorno confiable. Una variante del malware CloudZ fue reportada usando Microsoft Enlace Móvil para interceptar SMS y códigos OTP desde el computador, aprovechando la sincronización entre Windows y el smartphone. 

El MFA no se rompe técnicamente, se rodea operativamente. El código se replica, se expone y se reutiliza desde un entorno que muchas empresas siguen viendo solo como una herramienta de uso cotidiano, no como una extensión real de su superficie de ataque. Si tu operación todavía depende de SMS como segundo factor, el problema ya no es solo el método, es todo el entorno donde ese código puede terminar visible, replicado o reutilizable. Migra a autenticadores o llaves físicas, y revisa qué equipos tienen sincronización móvil-PC activa.

Canvas expuso el costo de concentrar operación crítica en una sola plataforma

Cuando tienes una sola plataforma que sostiene las clases, evaluaciones, mensajería y continuidad, ya no estás comprando software, estás entregando una operación crítica. Y cuando esa pieza falla, el daño deja de ser técnico y se vuelve institucional. El caso de Canvas volvió a demostrarlo, tras un incidente atribuido a ShinyHunters que habría afectado a miles de instituciones. Más allá de la posible exposición de datos y mensajes, la señal importante es otra: concentración. 

Cuando una sola plataforma concentra operación, comunicación y continuidad, también concentra el golpe financiero, reputacional y regulatorio cuando algo sale mal. El problema no es solo la filtración. Es la dependencia mal distribuida. Si un tercero sostiene una función crítica, ya no es solo un proveedor, es parte de tu superficie operativa. Exige evidencia real de continuidad y recuperación. Reduce la concentración innecesaria de datos sensibles.

Google Play mostró apps falsas que cobraban por historiales de llamadas inventados

Ves una app en Google Play, promete mostrar el historial de llamadas de cualquier número y se presenta como una herramienta simple, directa y útil. El problema fue que el canal parecía legítimo, y eso bastó para que millones avanzaran hasta el pago antes de hacerse la pregunta correcta. 

ESET identificó 28 aplicaciones fraudulentas, agrupadas bajo el nombre CallPhantom, que ofrecían acceso a historiales de llamadas, registros de SMS e incluso actividad de WhatsApp de terceros. En conjunto acumularon más de 7,3 millones de descargas antes de ser retiradas de Google Play. La operación combinaba promesas imposibles, resultados falsos y presión para pagar, muchas veces fuera del sistema oficial de cobros de Google. Está mal dar por hecho que una app es segura solo porque está en una tienda oficial. Revisa qué permisos pide, qué promete y cómo intenta cobrar. Refuerza una regla simple dentro del equipo: si una app ofrece acceso extraordinario a datos ajenos, el riesgo no está en lo que muestra, sino en lo que intenta obtener de quien confía en ella.