Tag Amenazas

Un repaso por las amenazas más detectadas en la telemetría de ESET en el primer semestre de 2024, en la región latinoamericana. Conoce los detalles en este artículo.

Las constantes amenazas en el ciberespacio están tomando un papel cada vez más crítico y América Latina no es la excepción. Hasta hace unas semanas habíamos presentado el reporte de 12 datos sobre el estado de la ciberseguridad de las empresas de LATAM, donde se da una perspectiva general sobre cómo las empresas y organismos de la región ven la ciberseguridad desde sus trincheras, cuáles son las amenazas más comunes y qué están haciendo para mitigarlas.

En este post se detallarán las amenazas más activas en lo que va el primer semestre del 2024, y veremos cómo muchas de ellas siguen siendo tendencia a pesar del paso del tiempo, destacando la importancia de estar conscientes y preparados ante este tipo de riesgos.

Top 5 de países con mayores amenazas detectadas

Para comenzar, podemos nombrar que entre el top 5 de los países con mayores amenazas detectadas por nuestra telemetría, Perú se ubicó en el primer lugar, seguido de México, Ecuador, Brasil y Argentina.

Imagen 1: Detecciones únicas discriminadas por país.

El malware que se distribuye en la región en la primera mitad del 2024 da una media de 2.6 millones de muestras únicas, entre las cuales se incluyen inyectores, troyanos, downloaders, gusanos, exploits, backdoors, spyware, rookits y droppers.

El phishing pese a ser de las técnicas de ingeniería más usadas desde hace más de 20 años, sigue teniendo un impacto enorme en el mundo de la ciberseguridad y desde nuestra telemetría hemos identificado casi 2 millones de muestras únicas que llegan a toda la región, que va desde México y se extiende hasta Argentina, siendo más específicos las muestras únicas en este primer semestre son de 1,874,913.

Distribución de software más explotado

El sistema operativo que sigue siendo más explotado por parte de los ciberdelincuentes es Windows, en sus diferentes arquitecturas, incluso muchos de ellos sin ya un soporte oficial extendido por parte del fabricante. Aunque Windows encabeza el software más amenazado, también hay otros que son el objetivo de estos maleantes.

Imagen 2: Distribución de software más explotado en primer semestre 2024

Familias más detectadas en el primer semestre del 2024

El primer lugar de los códigos maliciosos que se observan por parte de nuestra telemetría son los denominados “injector”, es decir, aquellos que buscan insertar código malicioso en los procesos legítimos del sistema, para realizar diversas acciones como el descargar algún malware adicional cuya capacidad pueda monitorear las actividades de la víctima o controlar el equipo remotamente.

En segundo lugar, contamos con el troyano llamado “Kryptik” cuyo primer vector de infección son archivos maliciosos adjuntos que puede llegar por correo electrónico, software pirata y falsos asistentes de actualización y al igual que otras variantes su principal objetivo es obtener información financiera de las víctimas, suplantar su identidad para generar estafas más eficientes y añadir el dispositivo infectado a una botnet.

Y en el top 3 tenemos al malware llamado “Expiro”, este gusano afecta a los sistemas operativos Windows, cuando el dispositivo es infectado para a formar parte de una botnet, además sus principales tareas son el robo de información de sus víctimas, también buscan emplear los recursos del equipo para poder generar ataques de denegación de servicio (DoS)

Detecciones únicas por tipo de malware

En este semestre se han detectado las siguientes muestras únicas por tipo de malware en LATAM:

Imagen 3: Muestras únicas por tipo de malware.

Vulnerabilidades más explotadas en el primer semestre 2024

1. Win/Exploit.CVE-2012-0143

Este exploit se aprovecha de una vulnerabilidad de Microsoft Excel que permite la ejecución remota de código arbitrario. Esto significa que un atacante remoto puede ejecutar código malicioso en un equipo vulnerable. Este fallo de seguridad fue descubierto en 2012 y desde entonces se ha detectado actividad intentando aprovecharlo en todos los países de Latinoamérica.

2. Win/Exploit.CVE-2012-0159

Esta detección corresponde a un exploit que abusa de una vulnerabilidad en Microsoft Windows que también permite acceder remotamente y sin necesidad de autenticación a un sistema vulnerable. El fallo se descubrió en 2012 y fue utilizado, por ejemplo, en campañas de ransomware icónicas como las de “Petya” y “NotPetya” años atrás. Sin embargo, sigue siendo utilizada por actores maliciosos.

3. JS/Exploit.CVE-2021-26855

Se trata de un exploit para la CVE-2021-26855, una vulnerabilidad que afecta a Microsoft Internet Explorer descubierta en 2021 que permite a un atacante tener acceso remoto, sin necesidad de autenticación, a un sistema vulnerable. Si bien el hallazgo de esta vulnerabilidad no tiene mucho tiempo, se ha intentado aprovechar en campañas maliciosas que llegaron a varios países de Latinoamérica.

4. Win/Exploit.CVE-2017-11882

Este exploit aprovecha una vulnerabilidad de Microsoft Office que permitir al atacante acceder remotamente a un sistema vulnerable sin necesidad de autenticación. Fue descubierta en 2017 y los intentos de explotación de este fallo se han observado en varios países de Latinoamérica, principalmente en Argentina, Colombia, Chile y México. Esta vulnerabilidad fue muy utilizada en las campañas de ransomware conocidas como “WannaCry” y “Goldeneye” entre abril y mayo de 2017 en Latinoamérica. Esta vulnerabilidad sigue siendo de las más explotadas en correos de toda Latinoamérica, en el post podemos ver algunos ejemplos de campañas de phishing que se aprovechan de esta.

5. Win/Exploit.CVE-2016-3316

Se trata de un exploit que abusa de la ejecución de código remoto en Microsoft Office cuando este no puede manejar correctamente los objetos en la memoria. Un atacante puede ejecutar código arbitrario con los permisos del usuario actual, es decir, si este usuario ha iniciado sesión con permisos de administrador, el atacante podría tomar el control del sistema afectado instalando programas, viendo, cambiando o eliminando datos; o crear nuevas cuentas con permisos de administrador para otros usuarios.

Conclusión

Con este panorama del primer semestre, donde observamos que existen amenazas que emplean técnicas de ingeniería social muy conocidas y que muchas se aprovechan de vulnerabilidades que tienen más de 10 años existiendo, podemos reforzar la importancia de que las empresas implementen una adecuada política de seguridad en la que la concientización y capacitación en ciberseguridad sean de los pilares fundamentales, junto con la actualización permanente para contar con parches de seguridad que reduzcan el riesgo de explotación de vulnerabilidades antiguas.

Fuente: www.welivesecurity.com

Se analiza los engaños a los que se está expuesto cuando se planean vacaciones y los peligros durante estadías y traslados; y advierte cuáles son y cómo evitar ser víctima.

Ecuador – El fraude de viajes es uno de los mayores ingresos para los ciberdelincuentes: en 2022 se presentaron más de 62,400 informes de víctimas ante la Comisión Federal de Comercio de los Estados Unidos, solo los casos reportados implicaron una pérdida media de 1259 dólares por víctima, 104 millones en total. ESET, compañía líder en detección proactiva de amenazas, advierte que si se están planeando las próximas vacaciones, se debe prestar atención a las estafas que circulan en internet y que aprovechan la emoción e ilusión de encontrar esa oferta y oportunidad que parece única. Además, tener en cuenta los modos de ataques que se pueden enfrentar cuando ya se esté viajando o en el destino.

Según la asociación comercial de agentes de viajes del Reino Unido ABTA, los tipos más comunes de fraude de reservas de vacaciones involucran alojamiento, boletos de avión, viajes deportivos y religiosos, y tiempos compartidos y clubes de vacaciones.

ESET alerta sobre los 8 tipos de fraude más comunes y otras amenazas que se aprovechan de los viajeros:

Falsas vacaciones gratis: Las víctimas son contactadas a través de correos electrónicos, llamadas o mensajes de texto que afirman que han ganado unas vacaciones. Si responden, los estafadores pedirán una tarifa para desbloquear sus vacaciones “gratis”, con la excusa, muchas veces, de que se deben pagar solo impuestos. Por supuesto, el premio es falso, y los estafadores reciben el dinero de esa supuesta suma para “desbloquear” el premio.

Beware of this SCAM impersonating Emirates.
The WhatsApp message invites you to click a link where you can ‘win’ a free holiday with Emirates. This scam has also appeared on Facebook.
If you think you've shared personal/financial information with a scammer, contact your bank. pic.twitter.com/1Fw0PUE3Gj

— Trading Standards NI (@TSSNI) August 22, 2022

 Sitios clonados: Los correos electrónicos, mensajes de texto y llamadas de phishing y / o anuncios en línea también pueden atraer a las víctimas a visitar sitios falsos de aerolíneas, vacaciones, u hospedajes que simulan ser los legítimos.  Las víctimas reciben correos electrónicos de confirmación falsos o números de reserva, por lo que muchas víctimas solo se dan cuenta del engaño cuando llegan a registrarse, sea a la aerolínea, al hotel, o al servicio que creían estar comprando.

The #ScamwiseNI Partnership bring you the tale of a young couple scammed out of their money because of a fake holiday website.

Be alert to holiday scams! Be scam aware! pic.twitter.com/tTDOUlPubL

— NI Cyber Security Centre (@NICyberSC) August 3, 2020

 Entradas / vacaciones con descuento: Otra forma de engaño es a través de ofertas de grandes descuentos en vacaciones, vuelos, hoteles y otros paquetes. En este caso, los boletos pueden ser legítimos, pero la razón por la se compran con descuento es porque se usaron tarjetas robadas o cuentas secuestradas. Las víctimas corren el riesgo de que sus estadías se vean interrumpidas cuando se descubre el fraude. Estos engaños suelen anunciarse a través de las redes sociales, correos electrónicos no deseados o incluso llamadas automáticas.

‘Ayuda’ con documentos de viaje internacionales: Algunos sitios pretenden ayudar a las víctimas a obtener una visa de viaje, pasaporte, permiso de conducir internacional u otros documentos. Pueden hacerse pasar por sitios web del gobierno como el sitio web del Departamento de Estado de los Estados Unidos. Sin embargo, cobran tarifas extremadamente altas, incluso por servicios que generalmente son gratuitos, y es más que probable que el documento resultante sea falso.

Scam alert! The @StateDept will NOT contact you directly about your entry for DV-2024. You must use the Entrant Status Check at https://t.co/XA5VIvD8bS to see if you were selected to participate. If you receive an e-mail, text, call, or letter notification, these are scams. pic.twitter.com/PcbBmwydY5

— Travel – State Dept (@TravelGov) May 15, 2023

 Hospedajes falsos: El aumento de ofertas online de opciones de hospedaje, también es aprovechado por los estafadores. Frecuentemente insertan sus propios listados en sitios web legítimos, pero de propiedades que no existen, no están en alquiler o que existen pero no es un anuncio válido, por lo que la reserva es inválida. Es importante considerar siempre reservar hospedaje a través de sitios de buena reputación que ofrecen protección contra listados falsos.

 Estafas de vuelos privados: Los estafadores también usan paquetes de alquiler de aviones privados, combinados con alojamiento, para atraer a las víctimas. Lo mismo que en los otros casos: se quedan con el dinero, desaparecen y dejan a la víctima con las manos vacías.

Amenazas Wi-Fi: Los riesgos no terminan cuando ya se está viajando (y se ha planificado el viaje con cuidado de no caer en estafas), ni cuando se está en destino. En un aeropuerto, una cafetería u otro espacio público, es importante resistir la tentación de iniciar sesión en las cuentas bancarias u otras cuentas valiosas utilizando el Wi-Fi público gratuito. Si por algún inconveniente es necesario, es importante utilizar un servicio de red privada virtual (VPN) de buena reputación que cifre la conexión y proteja del robo de datos personales.

“¿Por qué es mejor evitar el Wi-Fi gratuito? Porque puede ser un punto de acceso falso configurado por ciberdelincuentes que buscan espiar tu sesión de navegación web para robar contraseñas y datos personales / financieros. Incluso si el punto de acceso es legítimo, los piratas informáticos pueden estar al acecho en la misma red para espiar actividad en línea. O pueden vulnerar la red para distribuir malware.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Es muy común buscar dónde cargar los dispositivos mientras se está viajando. Aquí surge una conocida amenaza: el juice jacking. Los delincuentes suelen cargar malware en estaciones de carga por USB públicas o cables que se dejan enchufados en las estaciones. El dispositivo de la víctima puede resultar comprometido con malware diseñado para secuestrar el dispositivo y / o robar datos y contraseñas

Cómo mantenerse seguro en esta temporada de vacaciones, según ESET:

• Investigar sobre compañías de viajes, hoteles, alquileres y agentes de viajes para ver si otros han sido estafados.
• Nunca responer comunicaciones no solicitadas. Ponerse en contacto directamente con la organización, y nunca a través de los datos de contacto en el correo electrónico / texto / anuncio.
• No pagar con transferencias bancarias, tarjetas de regalo, criptomonedas o aplicaciones que no ofrezcan protección para el comprador. Una vez que el dinero se ha ido, se ha ido.
• Verificar la URL de cualquier sitio que se visita para asegurarse de que no sea un sitio falsificado.
• Tener cuidado: si algo suena demasiado bueno para ser verdad, generalmente no lo es.
• No visitar sitios web oscuros que ofrecen vacaciones y boletos con grandes descuentos.
• No usar el Wi-Fi público sin una red privada virtual (VPN) y evitar usar estaciones de carga públicas.

Fuente: Departamento de Comunicación y Prensa. ESET, Ecuador

Imagina un mundo en el que los archivos secretos cifrados se abren repentinamente, algo conocido como «el apocalipsis cuántico».

En pocas palabras, las computadoras cuánticas funcionan de manera completamente diferente a las computadoras desarrolladas durante el siglo pasado. En teoría, eventualmente podrían volverse mucho más rápidas que las máquinas actuales.

Eso significa que frente a un problema increíblemente complejo y lento, como tratar de descifrar datos, donde hay múltiples permutaciones que llegan a los miles de millones, una computadora normal tardaría muchos años en descifrar esos cifrados, si es que alguna vez lo logra.

Pero una futura computadora cuántica, en teoría, podría hacer esto en solo segundos.

Ladrones de datos

Varios países, incluidos EE.UU., China, Rusia y Reino Unido, están trabajando arduamente e invirtiendo enormes sumas de dinero para desarrollar estas computadoras cuánticas superrápidas con miras a obtener una ventaja estratégica en la ciberesfera.

Todos los días, grandes cantidades de datos cifrados, incluidos los suyos y los míos, se recopilan sin nuestro permiso y se almacenan en bancos de datos, listos para el día en que las computadoras cuánticas de los ladrones de datos sean lo suficientemente potentes como para descifrarlos.

«Todo lo que hacemos a través de internet hoy, desde comprar cosas en línea, transacciones bancarias, interacciones en redes sociales, todo lo que hacemos está encriptado», dice Harri Owen, director de estrategia de la empresa PostQuantum.

«Pero una vez que aparece una computadora cuántica en funcionamiento que sea capaz de romper este cifrado… puede crear casi instantáneamente la capacidad para que quien la haya desarrollado pueda borrar cuentas bancarias, cerrar por completo los sistemas de defensa del gobierno, agotar billeteras de bitcoin».

Es un pronóstico del que se hace eco Ilyas Khan, director ejecutivo de la empresa Quantinuum, con sede en Cambridge y Colorado. «Las computadoras cuánticas volverán inútiles la mayoría de los métodos de encriptación existentes», dice.

«Son una amenaza para nuestra forma de vida».

Prueba cuántica

Esto suena completamente apocalíptico. Entonces, ¿por qué no hemos escuchado más sobre esto?

La respuesta que este sería de hecho el caso si no se tomaran precauciones. «Si no hiciéramos nada para combatirlo sucederían cosas malas», dice un funcionario de Whitehall que pidió no ser identificado.

En la práctica, los esfuerzos de mitigación ya están en marcha y lo han estado durante algunos años.

En Reino Unido, todos los datos del gobierno clasificados como «ultrasecretos» ya son «poscuánticos», es decir, utilizan nuevas formas de cifrado que los investigadores esperan que sean a prueba de cuánticos.

Gigantes tecnológicos, como Google, Microsoft, Intel e IBM, están trabajando en soluciones, así como empresas más especializadas como Quantinuum y Post Quantum.

Lo que es más importante, actualmente se está llevando a cabo una especie de «desfile de belleza» de criptografía post-cuántica en el Instituto Nacional de Ciencia y Tecnología de EE.UU. en las afueras de Washington DC.

El objetivo es establecer una estrategia de defensa estandarizada que proteja a la industria, al gobierno, a la academia y a la infraestructura nacional crítica contra los peligros del apocalipsis cuántico.

Nada de esto será barato.

La computación cuántica es costosa, laboriosa y genera grandes cantidades de calor. El desarrollo de algoritmos cuánticos seguros es uno de los principales desafíos de seguridad de nuestro tiempo.

Pero los expertos dicen que no hacer nada simplemente no es una opción.