Crédito: Dominio público de Pixabay/CC0
Un equipo de ingenieros y científicos informáticos de la Universidad de Wisconsin-Madison ha identificado vulnerabilidades en aplicaciones de automatización populares que pueden facilitar que un abusador aceche a las personas, rastree la actividad de su teléfono celular o incluso controle sus dispositivos con poco riesgo de detección.
Después de diseñar un algoritmo de IA para identificar cientos de secuencias de automatización que podrían usarse maliciosamente, los investigadores ahora están desarrollando un servicio en línea para encontrar este abuso encubierto en dispositivos digitales.
Los investigadores de UW-Madison: Ciencias de Contributadores Ph.D. Estudiante Shirley Zhang (en la foto de arriba), Kassem Fawaz, profesor asociado de ingeniería eléctrica e informática, y Rahul Chatterjee, profesor asistente de ciencias de las computadoras, están presentando su trabajo en el Simposio de seguridad de USENIX En agosto de 2025, celebrado este año en Seattle.
Los investigadores tienen a los estudiantes alertas de agradecerles por el descubrimiento. El Grupo de Investigación de Chatterjee opera la Madison Tech Clinic, una iniciativa atendida por estudiantes y profesores voluntarios de UW-Madison para ayudar a los sobrevivientes de violencia nacional e íntima pareja y otros abusos facilitados por la tecnología.
Los voluntarios de la clínica a menudo habían visto abusadores que usaban herramientas como aplicaciones de spyware o contraseñas robadas para acechar, acosar o avergonzar a los sobrevivientes. Luego descubrieron que algunos abusadores usaban aplicaciones de automatización, como los atajos de Apple, para hacerse cargo de dispositivos digitales rápida y fácilmente. Y debido a la naturaleza de estas aplicaciones, las intrusiones digitales fueron mucho más difíciles de detectar para los usuarios.
“Debido a todas las capacidades de estas aplicaciones de automatización, puede hacer un conjunto de cosas que anteriormente habrían requerido una sofisticación más técnica, como instalar una aplicación de spyware o usar un rastreador GPS”, explica Fawaz. “Pero ahora, un socio abusivo solo necesita un poco de tiempo para configurar estas capacidades en un dispositivo”.
En los últimos años, las compañías tecnológicas han lanzado una variedad de aplicaciones de automatización, incluidas aplicaciones nativas como los atajos de Apple y las rutinas Bixby en teléfonos Samsung, así como aplicaciones de terceros como Tasker e IFTTT, para ayudar a simplificar las tareas digitales. Usando menús no técnicos, los usuarios pueden “programar” las aplicaciones para hacer cosas como rechazar automáticamente el volumen de un teléfono en la escuela o trabajar, ordenar fotos en carpetas específicas, configurar rutinas para dispositivos de inicio inteligentes como luces y termostatos, o lanzar una lista de reproducción específica cuando el usuario entra en su automóvil.
Por otro lado, un abusador que tiene acceso al teléfono de otra persona incluso durante unos minutos puede configurar rutinas de automatización que compartan ubicación o información de mensajes de texto, o les permita sobrecargar o controlar un teléfono, tomar videos no autorizados y hacerse pasar por otras actividades.
Cada una de estas automatidades actúa como una mini-app. Sin embargo, dado que se encuentran dentro de la aplicación de automatización más grande, los teléfonos y las tabletas no las tratan como aplicaciones individuales.
En otras palabras, a diferencia de los sonidos, insignias o pancartas que alertan a los usuarios cuando, por ejemplo, reciben un texto, las automatizaciones no activan notificaciones cuando se han activado o se están ejecutando. Eso significa que las automatizaciones maliciosas pueden quedarse sin ser detectadas.
Para facilitar aún más el acceso al dispositivo, los abusadores pueden encontrar muchos de estos atajos de automatización maliciosos en las redes sociales u otras plataformas públicas.
Chatterjee planteó el problema por primera vez a los estudiantes en su curso de seminario, CS 782: Seguridad informática avanzada y privacidad. El estudiante de Zhang y las Ciencias de la Computación Jacob Vervelde asumió la tarea, primero descubriendo cómo los perpetradores podrían explotar las aplicaciones de automatización. Después de que terminó la clase, Zhang continuó la investigación como parte de su investigación de posgrado en el laboratorio de Fawaz.
Luego encuestó a los repositorios públicos, encontrando 12,962 tareas automatizadas de todo tipo solo para Apple iOS. Luego, los investigadores desarrollaron un sistema de análisis asistido por modelo de lenguaje grande IA para detectar accesos directos con el potencial de abuso. Al final, encontraron 1.014 combinaciones que, si se colocan en el dispositivo de alguien, podrían permitir un comportamiento abusivo.
A continuación, utilizaron dispositivos de prueba para confirmar que es posible usar esos 1.014 atajos para realizar actividades como enviar correos electrónicos maliciosos desde la cuenta de otra persona, sobrecargar un teléfono para que sea inutilizable, bloquear un usuario, encender el modo de avión y robar fotos, todo sin dejar las trazas obvias, detectables.
Zhang dice que el equipo notificó a las compañías tecnológicas sobre estos problemas. “Una compañía nos dijo que los usuarios son responsables de sus propios dispositivos, y que deben crear contraseñas seguras y asegurarse de que los dispositivos no sean accesibles para otras personas”, dice ella. “Pero eso no refleja la realidad; no es así como funcionan las cosas en las relaciones abusivas que vemos”.
El análisis de los investigadores también mostró que las estrategias de seguridad y detección convencionales eran de poca utilidad: la configuración de permisos se aplican a las aplicaciones y no a las automatizaciones individuales, las notificaciones se pueden desactivar fácilmente y los detectores de malware de terceros no buscan automatizaciones maliciosas.
Es por eso que los investigadores decidieron convertir su herramienta de evaluación basada en el modelo de gran idioma AI en su propia aplicación: un servicio en línea que las personas pueden usar para detectar estas recetas maliciosas, dice Fawaz.
Si bien la IA puede ser la solución actual para el problema, al equipo también le preocupa que la IA también permita aún más abuso digital: combinar asistentes de IA y aplicaciones de automatización, por ejemplo, probablemente hará que sea aún más fácil para los abusadores cocinar recetas para herramientas digitales maliciosas.
Mientras tanto, Zhang, Fawaz, Chatterjee y sus colaboradores continuarán buscando formas emergentes de abuso digital y formas de mitigarlo.
“Este proyecto es un fuerte ejemplo de la idea de Wisconsin y el ‘círculo de la investigación’ en acción”, dice Chatterjee. “Comenzó con una iniciativa de la comunidad, creció a través del plan de estudios de nuestro curso, y fue devuelto a la vida por el equipo de Investigación de Privacidad y Seguridad de Wisconsin de Kassem. En última instancia, devolverá a la comunidad al proporcionar una herramienta diseñada para prevenir el abuso de aplicaciones de automatización y ayudar a proteger a los sobrevivientes”.
Proporcionado por la Universidad de Wisconsin-Madison
Cita: Exposición de cómo las aplicaciones de automatización pueden espiar, y cómo detectarlo (2025, 12 de agosto) recuperado el 12 de agosto de 2025 de https://techxplore.com/news/2025-08-exposing-automation-apps-spy.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
