Así es como estafaron 3.000 € a la familia de un niño de 11 años que usaba apps de bóveda para evitar el control parental

El término puede no resultar muy familiar, pero lleva muchos años entre nosotros. Las vault apps o aplicaciones de bóveda son programas que proporcionan un espacio privado en el móvil, escondido a los ojos de otros usuarios que puedan acceder a él.

Para ello se ocultan bajo la apariencia de una appinocua, habitualmente una calculadora y funcionan como tal. Alguien que acceda a ella encontrará una calculadora normal y corriente sin saber que introduciendo un determinado código da acceso a ese espacio secreto que quien ha instalado la app ha creado. En él puede guardar todo tipo de archivos que quiera mantener privados y también incluye funciones como la de un navegador con el que se puede acceder a todo tipo de plataformas sin necesidad de tener una aplicación instalada.

Este tipo de apps es una forma ingeniosa de mantener privados contenidos en el móvil si caen en manos inadecuadas, pero también son utilizados por menores para saltarse las medidas de control parental. Algo que puede ponerles en riesgo como ha sucedido en un caso que recoge eldiario.es.

El medio se hace eco de un proceso de investigación en el que ha trabajado el perito judicial informático Pablo Duchement, quien ha relatado su experiencia en un hilo de Twitter. Duchement explica que un niño de 11 años había sido víctima de un caso de phishing en el que habían sustraído 3.000 euros mediante cargos en la tarjeta de uno de los progenitores.

La pregunta que el perito debía responder es cómo se había producido el robo teniendo en cuenta que los padres usaban herramientas de control parental y nunca habían detectado nada sospechoso en el móvil del menor.

-Profesor Duchement, a nuestro hijo le han hecho phishing y nos han estafado.
-¿Desean ustedes que investigue la estafa?
-No. Deseamos que averigüe cómo se han puesto en contacto con él y recabado los datos. No debería haber manera. Tiene 11 años.
#CasoDeInformáticaForense 👇👇

— P. Duchement (@PDuchement) March 5, 2023

Duchement comprobó que el sistema operativo del teléfono, no lo dice expresamente pero por alguna de sus referencias parece tratarse de un iPhone, no había sido comprometido. También revisó el historial del navegador, buscó rastros de navegación en incógnito, en medios sociales y emails sin encontrar nada sospechoso.

Lo único que llamaba la atención en el móvil era la presencia de una segunda calculadora además de la propia del sistema operativo. El perito la identificó como una aplicación de bóveda o vault appque requería de la clave establecido por el niño para acceder a su contenido.

Lo que escondía la app de bóveda

Una vez los padres obtuvieron la contraseña de la app de bóveda, el resultado fue el previsible. Pornografía y uso de TikTok, con una cuenta configurada como de adulto y que los padres desconocían, a través del navegador de la aplicación de bóveda.

El perito encontró el cómo de la estafa en el uso que el menor había realizado de la plataforma de vídeos cortos de TikTok y logrado esconder de sus padres con la app de bóveda. Identificó URLs introducidas directamente en la barra de navegación y compuestos por largas cadenas de caracteres alfanuméricos muy difíciles de recordar, lo que indica que habían sido facilitados por un tercero.

La fuente de estas direcciones web se encontraba en el historial de vídeos de TikTok donde figuraban videos que publicaban esos enlaces a través de los cuales podía acceder a lo que el perito denomina “contenido inadecuado”. Este material se promociona en TikTok con vídeos que muestran los prolegómenos de una escena pornográfica.

Este tipo de enlaces no llevan directamente al contenido prometido, sino que hacen circular al usuario por una serie de páginas inseguras y llenas de publicidad antes de llegar a él.

“Algunas dejan sorpresas indeseadas en tu dispositivo. Algunas te proponen la descarga y, en su lugar, te facilita archivos maliciosos. ¿Lo más habitual? Solicitar que te hagas una cuenta en su web si quieres poder acceder al vídeo”, explica Duchement. Y también pide datos bancarios con la excusa de que es para comprobar la mayoría de edad y de que no se va a realizar ningún cargo. Esta es la trampa en la que cayó el niño de 11 años.

De acuerdo en la experiencia del perito, no hay que confiarse demasiado en las herramientas de control parental y “el único control parental efectivo es que papá acompañe al peque cuando use su móvil, y que compartan su experiencia navegando. Juntos.”