Tag Ciberseguridad

ESET, advierte que actividad de grupos de ransomware en América Latina incrementó en 2023 con un aumento de ataques dirigidos a los ámbitos corporativos y gubernamentales en la región.

Ecuador – Se analiza grupos de ransomware muy activos en América Latina en el 202, explica cuáles son los principales actores y cómo deben prepararse las empresas y entidades.

Según ESET Security Report, el 96% de las organizaciones señalaron su preocupación por el ransomware como una amenaza latente, el 21% reconoce haber sufrido un ataque con este tipo de malware en los últimos dos años. De este último grupo, el 77% pudo recuperar su información gracias a las políticas de respaldos con las que cuentan, por el contrario, el 4% afirmó haber pagado para su rescate. El 84% de las organizaciones encuestadas negó estar dispuesta a negociar el pago por el rescate de sus datos.

“Uno de los principales desafíos a enfrentar en el futuro cercano será el aumento de las campañas de spearphishing (dirigidas apuntando a un objetivo específico). Deberá tenerse en cuenta el aumento de los riesgos asociados al mayor del uso de las tecnologías en el periodo pospandemia, y la necesidad de mejorar el nivel de concientización de colaboradores de las empresas en todos los niveles.”, comenta
David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.

La implementación de ciberseguridad en América Latina depende del tipo de organización, y conforme a las encuestas realizadas del ESET Security Report hay problemáticas en las que existe una convergencia sin importar el tipo de sector: El robo o fuga de información en las compañías es la que representa la mayor preocupación, con un 66%, y está asociada a un acceso indebido a sistemas, es decir, el aumento de ataques que buscan explotar alguna vulnerabilidad a través de campañas de phishing dirigido (spearphishing) o la instalación de códigos maliciosos como el ransomware o troyanos de acceso remoto.

Los grupos más activos de ransomware en lo que va del año para la región de América Latina según ESET, son:

SiegedSec: Este grupo es reconocido es por su lema de asediar la seguridad de la víctima, de ahí su nombre, en inglés siege, que puede traducirse al español como asediar o sitiar. Su modus operandi es extorsionar a la víctima a tal grado de solo dejarle la salida de pagar por el rescate de su información o, en el peor de los casos, venderla en foros de la Dark web o Telegram.

Desde el inicio de sus actividades en febrero de 2022, vinculadas con el grupo de ransomware GhostSec, ha demostrado que no tiene preferencia en sus blancos, pues ha logrado afectar a sectores en todo el mundo tales como atención sanitaria, tecnologías de la información, seguros, contabilidad, derechos y finanzas. En lo que respecta a su actividad en América Latina, SiegedSec logró obtener documentos de intranet, bases de datos, información de usuarios y detalles de las organizaciones vulneradas en varios sectores en Colombia, con entidades de gobierno y salud entre los más afectados.

SiegedSec es caracterizado porque en todos sus banners para liberación de la información integran un gato como si se tratara de su mascota oficial.

Nokoyawa: De origen ruso, e iniciada su actividad en febrero del año pasado, se caracteriza porque es el único grupo en utilizar un cifrado de amplia sofisticación (criptografía de curva elíptica, o ECC, por sus siglas en inglés), añadiendo su propia extensión de archivo homónima (NOKOYAWA). Este grupo logró conseguir una enorme cantidad de información, un laboratorio de en el sector de salud de Brasil en lo que va del tercer cuatrimestre del 2023.

Captura de pantalla en donde se puede observar el mensaje del rescate de la información. Fuente: Watchguard

ALPHV: También conocido como Blackcat; la forma en que opera este grupo desde su aparición en noviembre del2021, es a través del Ransomware-as-a-Service (RaaS, por sus siglas en inglés) debido a que sus ataques no se hacen aleatoriamente o por campañas de tipo spam, sino que, sus objetivos son determinados mediante los asociados con los que cuenta, es decir, que reúnen esfuerzos para realizar ataques a objetivos ya perfilados. Esto hace que su modus operandi sea específico para cada caso de uso, así como las técnicas empleadas durante sus ataques.

A la mitad del 2023, ALPHV publicó información confidencial de la exfiltración de datos de una de las empresas más grandes de México a través de su canal de Telegram, de igual manera el sector público no se vio exento de este ataque.

Logo del grupo ALPHV (Blackcat). Fuente: Itwarelatam.

Stormous y su alianza con GhostSec: El grupo Stormous tuvo su aparición a mitad del 2021. El grupo, de origen árabe, en un principio publicitaba a través de sus canales en Telegram y en sus foros de la Dark web, ataques hacia Estados Unidos. Debido al conflicto Rusia-Ucrania, sus objetivos se modificaron y a mediados de julio de este año declararon oficialmente asociarse con el grupo de hacktivistas GhostSec para atacar no solo a Estados Unidos, sino también a países de América Latina y entre ellos al gobierno de Cuba.

Captura de pantalla de la Dark web de cuando Stormous cambió su objetivo. Fuente: Portal.cci-entel.cl.

Vice Society: Fue uno de los grupos con mayor actividad a finales del 2022 y principios del 2023. La mayoría de las incidencias fueron hacia industrias de la educación y atención médica pero también se tiene evidencia de que otro sector al que está apuntando este grupo de ransomware es al manufacturero en países como Brasil, Argentina, Suiza e Israel. Cabe mencionar que han identificado que tienen su propio generador de ransomware personalizado optando por métodos de cifrado más sólidos, lo que significa que el grupo se está preparando para su propia operación de ransomware como servicio (RaaS).

Sitio oficial en la Dark web de Vice Society. Fuente: Tripwire.

Desde ESET Latinoamérica comparten algunas recomendaciones que pueden ayudar en la protección de la información:

• Contar con una política para realizar copias de seguridad periódicas: Esto permitirá que los datos, en caso de verse afectados por algún ransomware, puedan ser restaurados. Conforme al ESET Security Report en América Latina, el 88% de las organizaciones encuestadas han implementado este tipo de recomendación.

• Establecer una política para la actualización y parches en cada uno de los activos (operativos y de red): Al tener todos los sistemas, aplicaciones y dispositivos actualizados, la brecha para que los ciberdelincuentes puedan explotar vulnerabilidades de software o protocolos obsoletos se reduce considerablemente. En el ESET Security Report en América Latina, el 45% de las organizaciones aseguraron realizar actualizaciones de seguridad más de dos veces al año, lo que indica que aún falta mucho esfuerzo por realizar.

• Educación y concientización: La capacitación constante a colaboradores y colaboradoras en todos los niveles sobre las mejores prácticas de seguridad y  las tendencias de vectores de ataque en la región, son fundamentales para que un ciberdelincuente no lleve a cabo su cometido. Un área de oportunidad para las organizaciones, y donde muchos de los ataques de ransomware son exitosos, es que no cuentan con un programa de capacitación y concientización (solo 28% de los encuestados en el ESET Security Report de América Latina afirma contar con este programa).

• Contar con una política sobre el principio del mínimo privilegio: Al establecer únicamente los privilegios suficientes para que el colaborador pueda realizar sus actividades, se limita la capacidad de que el ransomware se propague hacia otros sistemas o aplicaciones.

• Seguridad en la red: Los firewalls, la segmentación de red junto con las reglas de acceso y uso de VPN limitaría la posibilidad de que pueda extenderse cualquier malware.

• Plan de respuestas a incidentes y de continuidad del negocio: Es importante saber cómo responder ante cualquier incidente o contingencia que se pueda dar en la organización, haciendo que el impacto al negocio sea lo mínimo posible y siga funcionando. El 42% de los encuestados indicó que cuenta con un plan de respuesta a incidentes, mientras que un 38% no tienen un plan de continuidad del negocio.

• Contar con soluciones de seguridad avanzadas: La implementación de soluciones de seguridad que detecten y bloqueen comportamientos anómalos o sospechosos, como un EDR (Endpoint Detection and Response, por sus siglas en inglés) y soluciones antimalware, permitirían la continuidad del negocio obteniendo una ventaja comercial ganando la confianza de los y las clientes al saber que su información está protegida debidamente.

Fuente: Departamento de Comunicación ESET Ecuador

Ejemplos de cómo se utilizan los códigos QR en los correos electrónicos de phishing.

Cada vez hay más casos de usuarios que reciben correos electrónicos aparentemente de grandes empresas de Internet (por ejemplo, Microsoft o su servicio en la nube, Office 365) que contienen códigos QR. El cuerpo de estos correos electrónicos tiene una llamada a la acción: en pocas palabras, escanear el código QR para mantener el acceso a tu cuenta. En esta publicación, analizaremos si vale la pena reaccionar a esos correos.

Escanea el código QR o enfréntate a lo inevitable

Un correo electrónico típico de este tipo contiene una notificación que indica que la contraseña de tu cuenta está a punto de caducar y que perderás el acceso a tu buzón de correo y, por lo tanto, tendrás que cambiar la contraseña. Para cambiarla, debes escanear el código QR en el correo electrónico y seguir las instrucciones.

La contraseña se debe restablecer al escanear el código QR.

Otro correo electrónico podría advertir al destinatario que “La sesión del autenticador ha caducado hoy”. Para evitar esto, se recomienda al usuario que “escanee rápidamente el código QR a continuación con su teléfono inteligente para volver a autenticar la seguridad de su contraseña”. De lo contrario, podría perder el acceso al buzón de correo.

“La sesión del autenticador ha caducado”; escanee el código QR para obtener una solución rápida.

Otro ejemplo sería el mensaje que le informa amablemente al lector de lo siguiente: “Este correo electrónico es de una fuente fiable”. Ya hemos hablado de por qué los correos electrónicos con el sello “verificado” deben tratarse con precaución. La idea central del mensaje es que, supuestamente, “3 correos electrónicos importantes” no se pueden entregar al usuario debido a la falta de algún tipo de validación. Por supuesto, escanear el código QR a continuación solucionará el problema.

Los correos electrónicos importantes solo se pueden enviar al escanear el código QR para su “validación”.

Claramente, los autores de estos correos electrónicos quieren intimidar con palabras pretenciosas a los usuarios sin experiencia.

También es probable que esperen que el destinatario haya escuchado algo sobre las aplicaciones de autenticación, que de hecho usan códigos QR, para que el solo hecho de mencionarlo logre asociaciones en la mente.

¿Qué sucede si escaneas el código QR en el correo electrónico?

El enlace en el código QR te lleva a una réplica bastante convincente de una página de inicio de sesión de Microsoft.

Escanear el código QR te lleva a un sitio de phishing que roba las credenciales introducidas.

Por supuesto, todas las credenciales introducidas en esas páginas de phishing terminan en manos de los ciberdelincuentes. Esto pone en peligro las cuentas de los usuarios que caen en esos trucos.

Un detalle interesante es que algunos enlaces de phishing en códigos QR conducen a recursos IPFS. IPFS (InterPlanetary File System) es un protocolo de comunicación para compartir archivos que tiene mucho en común con los torrents. Te permite publicar cualquier archivo en Internet sin registro de dominio, alojamiento ni otras complicaciones.

En otras palabras, la página de phishing se encuentra directamente en el ordenador del autor de phishing y se puede acceder a ella a través de un enlace mediante una puerta de enlace IPFS especial. Los autores de phishing utilizan el protocolo IPFS porque es mucho más fácil publicar y mucho más difícil eliminar una página de phishing que bloquear un sitio web malicioso “normal”. De esa forma, los enlaces se mantienen activos durante más tiempo.

Cómo protegerte contra los códigos QR de phishing

Ningún sistema de autenticación decente sugiere escanear un código QR como su única opción. Por lo tanto, si recibes un correo electrónico que te pide confirmar algo o iniciar sesión en tu cuenta nuevamente, restablecer tu contraseña o realizar alguna acción similar, y este correo electrónico solo contiene un código QR, es probable que se trate de phishing. Puedes ignorar y eliminar de forma segura ese correo electrónico.

Para esos momentos en los que necesites escanear un código QR de una fuente desconocida, recomendamos nuestra solución de seguridad con su función de escáner de código QR seguro. La herramienta verifica el contenido de los códigos QR y te advierte si hay algo falso en el interior.

Fuente: latam.kaspersky.com

ESET, compañía de seguridad informática, acerca recomendaciones para un regreso a clases seguro

Quito, Ecuador – Con el regreso a clases presenciales, los niños y adolescentes volverán a utilizar sus dispositivos electrónicos para realizar tareas escolares, conectarse con sus amigos y acceder a contenido en línea. En este contexto, es importante que los padres y docentes tomen medidas para proteger a los estudiantes de los posibles riesgos cibernéticos.

Por esta razón, ESET, compañía líder en detección proactiva de amenazas, brinda una serie de consejos de ciberseguridad para tener en cuenta en la vuelta a clases.

1. Establecer reglas de uso responsable: Fomentar la educación de los menores y generar buenos hábitos tecnológicos mediante un control adecuado del tiempo de conexión, ayudará a enfrentar mucho mejor las situaciones de riesgo. Existen muchas herramientas disponibles para evitar la exposición excesiva de los niños y adolescentes.
2. Darle importancia a las contraseñas: Las contraseñas fuertes son la primera línea de defensa contra los ataques cibernéticos. Por ello, los padres deberán ayudar a sus hijos a crear contraseñas sólidas y seguras, evitando así poner en riesgo su información.
3. Actualizar las aplicaciones: Es necesario revisar constantemente si los sistemas operativos, software y aplicaciones de todos los dispositivos a los que los menores tienen acceso se encuentran actualizados. Esto porque las actualizaciones brindan acceso a las funciones más nuevas y mejoran la seguridad y estabilidad del sistema y las apps, dando una mayor protección frente al desarrollo de las tareas o proyectos escolares.
4. Conversar sobre los riesgos del internet: Puede parecer evidente, pero es de vital importancia tener una conversación con niños y adolescentes sobre las amenazas que se pueden encontrar en internet, en redes sociales y aplicaciones. Esta conversación debe ser abierta y honesta sobre los riesgos que implica su uso.
5. Contar con una solución de seguridad: Para reducir la posibilidad de que cualquier dispositivo electrónico se infecte, se recomienda instalar una solución de seguridad confiable que permita escanear constantemente los dispositivos de tus hijos.

“Desde ESET creemos que los padres, los docentes y los propios alumnos tienen que comprender la importancia de acceder de forma segura a Internet, considerando que esto requiere de un uso consciente, responsable y seguro, sobre todo si se trata de la vuelta a clases, que implica un mayor tiempo de conexión. Aunque muchas recomendaciones y soluciones parezcan obvias, son los que muchas veces suelen pasarse por alto”, indicó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: ESET – Ecuador

El equipo de investigación de ESET identificó AhRat, un nuevo troyano de acceso remoto (RAT) para Android que permite exfiltrar archivos y grabar audio.

Ecuador – El equipo de investigación de ESET, descubrió una aplicación troyanizada para Android que había estado disponible en la tienda Google Play y contaba con más de 50,000 instalaciones. La aplicación, llamada iRecorder – Screen Recorder, se cargó inicialmente en la tienda sin funcionalidad maliciosa el 19 de septiembre de 2021. Sin embargo, la funcionalidad maliciosa se implementó más tarde, probablemente en la versión 1.3.8, que estuvo disponible en agosto de 2022.

Es raro que un desarrollador cargue una aplicación legítima, espere casi un año y luego la actualice con un código malicioso. El código malicioso que se agregó a la versión limpia de iRecorder se basa en el código abierto del RAT (troyano de acceso remoto) para Android AhMyth y ha sido personalizado en lo que llamamos AhRat.

Además de este caso puntual, no hemos detectado actividad de AhRat en ningún otro lugar. Sin embargo, no es la primera vez que detectamos malware para Android basado en AhMyth disponible en Google Play, ya que en 2019 también publicamos una investigación sobre una aplicación troyanizada basada en el código de AhMyth. En ese entonces, se trataba de un spyware que logró eludir dos veces el proceso de verificación de aplicaciones de Google enmascarándose como una aplicación de streaming de radio.

Descripción general de la app

Además de proporcionar una funcionalidad de grabación de pantalla legítima, la app maliciosa iRecorder puede grabar el audio circundante desde el micrófono del dispositivo y cargarlo en el servidor de comando y control (C&C) del atacante. También puede exfiltrar desde el dispositivo archivos con extensiones que representan páginas web guardadas, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. El comportamiento malicioso específico de la aplicación (exfiltración de grabaciones de micrófonos y robo de archivos con extensiones específicas) tiende a sugerir que es parte de una campaña de espionaje. Sin embargo, no pudimos atribuir la aplicación a ningún grupo malicioso en particular.

Como socio de Google App Defense Alliance, ESET identificó la versión más reciente de la aplicación como maliciosa y rápidamente compartió sus hallazgos con Google. Luego de nuestro reporte la aplicación fue eliminada de Google Play.

Distribución

La aplicación iRecorder se llegó a la tienda Google Play el 19 de septiembre de 2021 ofreciendo la función de grabación de pantalla, pero no contenía características maliciosas. Sin embargo, alrededor de agosto de 2022 detectamos que el desarrollador de la aplicación incluyó una funcionalidad maliciosa en la versión 1.3.8. Como se observa en la Figura 1, para marzo de 2023, la aplicación había acumulado más de 50 000 instalaciones.

Figura 1. La app troyanizada iRecorder

Sin embargo, los usuarios de Android que habían instalado una versión anterior de iRecorder (anterior a la versión 1.3.8), que carecía de funciones maliciosas, sin saberlo, podrían haber expuesto sus dispositivos a AhRat si posteriormente actualizaron la aplicación de forma manual o automática, incluso sin otorgar cualquier otra aprobación de permiso de la aplicación.

Después de reportar el comportamiento malicioso de iRecorder, el equipo de seguridad de Google Play eliminó la app de la tienda. Sin embargo, es importante tener en cuenta que la aplicación también puede estar disponible en mercados de Android alternativos y no oficiales. El desarrollador de iRecorder también proporciona otras aplicaciones en Google Play, pero no contienen código malicioso.

Atribución

Anteriormente, el malware de código abierto AhMyth fue empleado por Transparent Tribe, también conocido como APT36, un grupo de ciberespionaje conocido por su uso extensivo de técnicas de ingeniería social y por apuntar a organizaciones gubernamentales y militares en el sur de Asia. Sin embargo, no podemos atribuir las muestras de malware actuales a ningún grupo específico, y no hay indicios de que hayan sido desarrolladas por un grupo conocido de amenazas persistentes avanzadas (APT).

Análisis

Durante nuestro análisis, identificamos dos versiones de código malicioso basadas en AhMyth RAT. La primera versión maliciosa de iRecorder contenía partes del código malicioso de AhMyth RAT que habían sido copiadas sin modificaciones. La segunda versión maliciosa, a la que llamamos AhRat, también estaba disponible en Google Play pero el código de AhMyth había sido personalizado, inclusive el código y la comunicación entre el backdoor el servidor C&C. Al momento de escribir esta publicación no hemos observado AhRat en ninguna otra aplicación de Google Play ni en ningún otro lugar, siendo iRecorder la única aplicación que contiene este código personalizado.

AhMyth RAT es una herramienta potente que ofrece varias funciones maliciosas, incluida la extracción de registros de llamadas, contactos y mensajes de texto, la obtención de una lista de archivos en el dispositivo, el seguimiento de la ubicación del dispositivo, el envío de mensajes SMS, la grabación de audio y la toma de fotografías. Sin embargo, en las dos versiones analizadas en esta publicación solo observamos un conjunto limitado de características maliciosas derivadas de la versión original de AhMyth RAT. Estas funcionalidades maliciosas parecían encajar dentro del modelo de permisos ya definido que utilizaba la aplicaciones, el cual otorga acceso a archivos en el dispositivo y permite la grabación de audio. Algo a destacar es que la aplicación maliciosa proporcionó la función de grabación de video, por lo que se esperaba que pidiera permiso para grabar audio y almacenarlo en el dispositivo, como se muestra en la Figura 2. Tras la instalación de la aplicación maliciosa, se comportó como de costumbre, sin solicitar ningún permiso extra que pudiera revelar sus intenciones maliciosas.

Después de la instalación, AhRat comienza a comunicarse con el servidor de C&C enviando información básica del dispositivo y recibiendo claves de cifrado y un archivo de configuración cifrado, como se ve en la Figura 3. Estas claves se utilizan para cifrar y descifrar el archivo de configuración y algunos de los datos extraídos, como la lista de archivos en el dispositivo.

Figura 3. Comunicación inicial de AhRat con el servidor de C&C

Después de la comunicación inicial, AhRat hace contacto con el servidor de C&C cada 15 minutos y solicita un nuevo archivo de configuración. Este archivo contiene una serie de comandos e información de configuración que se ejecutarán y configurarán en el dispositivo de destino, incluida la ubicación del sistema de archivos para obtener los datos del usuario, los tipos de archivos con extensiones particulares a extraer, un límite de tamaño de archivo, la duración de las grabaciones del micrófono (según lo establecido por el servidor de C&C; durante el análisis se estableció en 60 segundos) y el intervalo de tiempo de espera entre grabaciones (15 minutos), que es también cuando se recibe el nuevo archivo de configuración del servidor de C&C.

Curiosamente, el archivo de configuración descifrado contiene más comandos de los que AhRat es capaz de ejecutar, ya que no se han implementado ciertas funcionalidades maliciosa. Esto puede indicar que AhRat es una versión liviana similar a la versión inicial que contenía solo código malicioso sin modificar de AhMyth RAT. A pesar de esto, AhRat todavía es capaz de extraer archivos del dispositivo y grabar audio usando el micrófono del dispositivo.

De acuerdo a los comandos recibidos en la configuración del servidor C&C, AhRat debería ser capaz de ejecutar 18 comandos. Sin embargo, este RAT solo puede ejecutar los seis comandos marcados en negrita y con un asterisco de la siguiente lista:

• RECORD_MIC*
• CAPTURE_SCREEN
• LOCATION
• CALL_LOG
• KEYLOG
• NOTIFICATION
• SMS
• OTT
• WIFI
• APP_LIST
• PERMISSION
• CONTACT
• FILE_LIST*
• UPLOAD_FILE_AFTER_DATE*
• LIMIT_UPLOAD_FILE_SIZE*
• UPLOAD_FILE_TYPE*
• UPLOAD_FILE_FOLDER*
• SCHEDULE_INTERVAL

La implementación de la mayoría de estos comandos no está incluida en el código de la aplicación, pero la mayoría de sus nombres se explican por sí mismos, como se muestra también en la Figura 4.

Figura 4. Archivo de configuración descifrado con una lista de commandos

Durante nuestro análisis, AhRat recibió comandos para exfiltrar archivos con extensiones relacionadas a páginas web, imágenes, archivos de audio, video y documentos, y formatos de archivo utilizados para comprimir varios archivos. Las extensiones de archivo son las siguientes: zip, rar, jpg, jpeg, jpe, jif, jfif, jfi, png, mp3, mp4, mkv, 3gp, m4v, mov, avi, gif, webp, tiff, tif, heif, heic, bmp, dib, svg, ai, eps, pdf, doc, docx, html, htm, odt, pdf, xls, xlsx, ods, ppt, pptx, and txt.

Estos archivos estaban limitados a un tamaño de 20 MB y estaban ubicados en el directorio de descargas /storage/emulated/0/Download.

Luego, los archivos localizados se cargaron en el servidor de C&C, como se ve en la Figura 5.

Figura 5. Exfiltración de archivos al servidor C&C

Conclusión

La investigación de AhRat sirve como un buen ejemplo de cómo una aplicación inicialmente legítima puede transformarse en una maliciosa, incluso después de muchos meses, espiando a sus usuarios y comprometiendo su privacidad. Si bien es posible que el desarrollador detrás de esta aplicación haya tenido la intención de crear una base de usuarios antes de comprometer sus dispositivos Android mediante una actualización o que haya sido un actor malicioso el que introdujo este cambio en la aplicación; hasta ahora, no tenemos evidencia para confirmar ninguna de estas hipótesis.

Afortunadamente, las medidas preventivas contra este tipo de acciones maliciosas ya se han implementado en Android 11 y versiones superiores mediante la hibernación de aplicaciones. Esta característica coloca las aplicaciones que han estado inactivas durante varios meses en un estado de hibernación, reestableciendo sus permisos de ejecución y evitando que las aplicaciones maliciosas funcionen según lo previsto. La aplicación maliciosa se eliminó de Google Play después de que la reportamos, pero confirma lo importante que es contar con una protección a través de múltiples capas en nuestros dispositivos para protegerlos contra posibles filtraciones, como las que ofrece ESET Mobile Security.

El malware AhRat es una versión personalizada del malware de código abierto AhMyth RAT, lo que significa que los autores de la aplicación maliciosa invirtieron un esfuerzo significativo para comprender el código tanto de la aplicación como del backend, y finalmente lo adaptaron para satisfacer sus propias necesidades.

El comportamiento malicioso de AhRat, que incluye grabar audio usando el micrófono del dispositivo y robar archivos con extensiones específicas, podría indicar que era parte de una campaña de espionaje. Sin embargo, todavía tenemos que encontrar evidencia concreta que nos permita atribuir esta actividad a una campaña o grupo APT en particular.

Indicadores de Compromiso

Archivos

Red

Técnicas de MITRE ATT&CK

Esta tabla fue creada utilizando la versión 12 del framework de MITRE ATT&CK.

Fuente: www.welivesecurity.com

La selección de metodologías para la gestión de riesgos en ciberseguridad puede representar una tarea complicada entre todas las opciones disponibles, por ello ENISA ofrece un documento para facilitar y orientar en esta tarea.

La gestión de riesgos es fundamental en el proceso de gestión de seguridad de la información de una organización, ya que permite identificar, evaluar y reducir los peligros identificados hasta un nivel aceptable y enmarcarlos en un modelo de mejora continua. La gestión de los riesgos determina la propensión o aversión a los eventos inesperados e indeseados en las organizaciones.

En un segundo nivel de granularidad se encuentra la evaluación de riegos, que es una fase del proceso de gestión de riesgos y que generalmente son utilizadas como base para la elaboración de estrategias de protección a partir de metodologías que permiten categorizar dichos riesgos y los criterios de aceptación de estos.

Objetivos de la evaluación de riesgos

La evaluación de riesgos tiene como objetivo la determinación del valor cualitativo o cuantitativo de los riesgos relacionados con la información; por ello, la metodología de evaluación de riesgos utilizada debe permitir la identificación de vulnerabilidades, amenazas y el impacto de las mismas sobre la confidencialidad, integridad y disponibilidad de nuestros activos. Por lo general, incluye actividades como:

• Identificación de activos de información críticos.
• Identificación de vulnerabilidades.
• Identificación de amenazas.
• Identificación de impacto y probabilidad de ocurrencia.
• Cálculo de riesgos identificados.
• Definición de opciones de tratamiento de riesgos.

Existen múltiples metodologías y herramientas para llevar a cabo la evaluación de riesgos; algunas de estas metodologías son de aplicación general (para cualquier tipo de organizaciones), para regiones específicas, para sectores o industrias específicos, basadas en activos o incluso con elementos más estructurados para implementar el proceso de gestión de riesgos.

Ante este abanico de posibilidades, las organizaciones pueden utilizar la metodología que mejor se adapte a sus necesidades, características o condiciones.

¿Qué metodología se puede utilizar para la gestión de riesgos de seguridad?

La Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés), publicó en enero de 2022 el documento “Compendio de marcos de gestión de riesgos con interoperabilidad potencial”, sobre marcos de gestión de riesgos. Este trabajo incluye estándares conocidos y ampliamente utilizados que describen las principales características de cada uno de los marcos y metodologías.

La selección de los marcos y metodologías de gestión de riesgos se realizó sobre la base de una encuesta realizada en diferentes sectores y que consideró criterios como: mejores prácticas en la industria; marcos de trabajo propuestos por organismos de normalización nacionales e internacionales, como pueden ser normas y directrices; y también marcos de trabajo propuestos por la academia.

Para este documento fueron excluidos los marcos y metodologías de gestión de riesgos obsoletos. Es decir, aquellos que no habían sido actualizados en más de diez años, los que no incluían los procesos fundamentales de la gestión de riesgos, y los que no brindan la orientación específica para su implementación. Por lo tanto, más que una lista exhaustiva se consideraron marcos y metodologías de gestión de riesgos avanzados que se adaptan a la teoría definida para la gestión de riesgos.

En la segunda etapa, se identificaron fuentes de búsqueda (incluidos repositorios de recursos relevantes); sitios, revistas comerciales y de negocios; y literatura académica. Luego de varias iteraciones de búsqueda y revisión, se generó un listado de alrededor de 30 marcos y metodologías de gestión de riesgos.

La descripción de los estándares seleccionados incluye características como: nombre completo, enlace al sitio Web, proveedor y origen, ámbito geográfico de uso, si apoyan necesidades de gestión de riesgos genéricas o sectoriales, si están disponibles gratuitamente o no, si están respaldados por una herramienta automatizada u otro material, idiomas admitidos, entre otros elementos que pueden resultar clave a la hora de tomar decisiones.

Interoperabilidad de marcos y metodologías de gestión de riesgos

En la etapa final de este trabajo se identificaron un conjunto de características para su potencial interoperabilidad. Si bien, este análisis no está incluido en el informe, existen varias características que permiten (o limitan) el potencial de interoperabilidad entre marcos de trabajo o frameworks.

Estas características comprenden aspectos como: cumplimiento o apoyo a estándares de gestión de riesgos (ISO, NIST, etc.); proceso de gestión de riesgos (identificación, evaluación, tratamiento y monitoreo de riesgos); enfoque para la identificación de riesgos (basado en activos o basado en escenarios); enfoque para la evaluación de riesgos (cuantitativo o cualitativo); método de cálculo del riesgo; uso de catálogos o bibliotecas específicos; idiomas soportados; costos de licencias; entre otros.

El resultado de este trabajo nos permite tener un panorama amplio de las posibilidades que tienen las organizaciones para implementar un proceso de gestión de riesgos de acuerdo a las mejores prácticas de la industria, con metodologías actualizadas y robustas. Además, ofrece un compendio de marcos de trabajo que son muy útiles para poder cumplir los objetivos: mitigar los ciberataques a gran escala y mantener una sólida postura de ciberseguridad en las organizaciones.

Fuente: www.welivesecurity.com

Imagen 3

En esta segunda parte revisamos los últimos cuatro pasos del método OCTAVE Allegro para hacer una evaluación de riesgos de ciberseguridad.

En la primera parte de esta serie de dos artículos que llamamos “8 pasos para la evaluación de riesgos de ciberseguridad”, revisamos los primeros cuatro pasos para hacer la evaluación de riesgos de una empresa según el método OCTAVE Allegro. Una guía útil para llevar a cabo un análisis de posibles riesgos de seguridad y definir opciones de tratamiento de los mismos, como una forma de prevenir la materialización de amenazas. En esta segunda parte, continuamos con los últimos cuatro pasos que propone esta metodología.

5. Identificar escenarios de amenaza

En el quinto paso las áreas de preocupación son extendidas a escenarios de amenaza, lo que significa la identificación de otras preocupaciones para la organización que están relacionadas con sus activos de información críticos y que no son visibles a primera vista, como en el paso anterior.

Para lograrlo, se puede utilizar un cuestionario por cada tipo de contenedor del paso 3 (técnico, físico o humano), que contiene un conjunto de condiciones y preguntas diseñadas para detallar la identificación de amenazas.

Otra manera de identificar condiciones de riesgo es a través de árboles de amenaza, que son estructuras lógicas para visualizar combinaciones de eventos y que consideran amenazas a través de medios técnicos y físicos, con actores internos o externos, por motivos accidentales o intencionales, que pueden provocar alguna consecuencia como la divulgación, modificación, interrupción o destrucción de un activo de información, como se muestra en la siguiente imagen:

Imagen 1.

Otros árboles de amenaza consideran problemas técnicos como defectos a nivel de software y hardware, fallas en sistemas o incidentes por códigos maliciosos. También, fallas de suministro eléctrico, telecomunicaciones, relacionados con terceros, incluso por desastres naturales que pueden afectar los activos.

Es importante mencionar que no todas las combinaciones representan una amenaza real en la organización, por lo que algunas pueden ser descartadas.

6. Identificar riesgos

Aquí se calcula el riesgo a través de la siguiente ecuación:

Riesgo = Amenaza (condición) + Impacto (consecuencia)

Se puede elaborar un enunciado de impacto en los que se describe detalladamente la manera en que se puede ver afectada una organización, pero para ello es necesario identificar las áreas de preocupación (punto 4) y los escenarios de amenaza (punto 5). A su vez, se deberá tomar como referencia cada uno de los criterios definidos en el paso 1 que explica cómo establecer criterios de medición de riesgo.

De manera opcional se puede definir la probabilidad realista de ocurrencia de la amenaza, algo altamente recomendable. Hacer esto permitirá priorizar los riesgos a tratar y requiere de un conocimiento amplio sobre los problemas de seguridad que ha padecido la organización. Para ello se puede utilizar información estadística como los registros de incidentes. Si la probabilidad de ocurrencia es alta se asigna un valor de 3, si es media un valor de 2, y si la probabilidad es baja una valor de 1.

7. Analizar riesgos

En este paso se mide de forma cualitativa el grado en el que la organización es afectada por una amenaza y se calcula una puntuación para cada riesgo de cada activo de información. Para ello, se comparan las áreas de impacto de cada una de las categoría detalladas en el Paso 1, con el escenario de amenaza.

Se debe calcular un puntaje para cada escenario de amenaza generado. En este caso se considera un incidente de seguridad que se conoce públicamente, por lo que el valor de impacto es alto (correspondiente a un  3). Para cada criterio puede existir más de un área de impacto, por lo que en el cálculo se considera el impacto de mayor valor. Luego se multiplica el valor de impacto del área con la prioridad definida en el Paso 1:

Imagen 2

El resultado final o puntaje total, es la suma de los productos de la puntuación. El resultado es un valor cuantitativo que puede ir de 0 a 45. Cuanto más grande sea el valor, mayor será el impacto sobre los activos de la empresa.

8. Seleccionar un enfoque de mitigación

El último paso consiste en determinar las opciones de tratamiento de los riesgos con base en los resultados del análisis; es decir, utilizando los valores de impacto y probabilidad calculados en los pasos anteriores. Este criterio puede variar de una organización a otra, pero en general, se busca mitigar aquellos riesgos que resulten con un valor alto (cercano a 45) y con una probabilidad de ocurrencia alta.

Con el método de OCTAVE Allegro se puede hacer uso de la matriz de riesgo relativo, un elemento que permite visualizar los riesgos a tratar sobre tomando como base la probabilidad y el puntaje de riesgo. Se categorizan grupos de escenarios de amenazas para su tratamiento con base en estos resultados, como se muestra en la siguiente imagen. Los riesgos que pertenecen al grupo 1 deberían ser tratados con mayor prioridad:

Imagen 3

Los enfoques de tratamiento para este método son mitigar, postergar, transferir o aceptar. Estas opciones pueden variar de una metodología a otra, aunque generalmente coinciden. Finalmente, es conveniente priorizar los riesgos para identificar aquellos que deban tratarse primero.

Con este método es posible que a partir de criterios cualitativos se pueda obtener un resultado numérico; es decir, un valor cuantitativo que permite priorizar los riesgos a partir de un puntaje y su probabilidad de ocurrencia.

El método OCTAVE Allegro puede ser de mucha utilidad, ya que se enfoca en los activos de información y ofrece opciones para crear los escenarios de amenaza, que permiten tener un mayor alcance para la identificación a la hora de hacer un análisis de riesgos y prevenirlos basados en cuán propensa es la organización y los criterios que definan los tomadores de decisiones.

Fuente: www.welivesecurity.com

¿Qué es un ataque man-on-the-side y en qué se diferencia de un ataque man-in-the-middle?

Hay ataques de los que todo el mundo ha oído hablar, como los ataques de denegación de servicio distribuido (DDoS); otros que solo suelen conocer los profesionales, como los ataques man-in-the-middle (MitM), y luego están los más raros y exóticos, como los ataques man-on-the-side (MotS). En esta publicación, hablaremos sobre este último en profundidad y debatiremos cómo se diferencian de los ataques man-in-the-middle.

¡¿Un ataque cómo?!

Entonces, ¿cómo funciona un ataque man-on-the-side? Básicamente, un cliente envía una solicitud a un servidor a través de un canal de transferencia de datos comprometido. Los ciberdelincuentes no tienen controlado este canal, pero sí pueden “escucharlo”. En la mayoría de los casos, un ataque de este tipo requiere el acceso al hardware del proveedor de Internet, algo muy raro, por ello son ataques muy poco comunes. Pero, una vez ejecutado, pueden monitorizar las solicitudes del cliente y generar sus propias respuestas maliciosas.

Los ataques man-in-the-middle funcionan de forma similar: los atacantes también aprovechan el proceso de transferencia de datos entre el cliente y el servidor. La principal diferencia entre estos dos tipos de ataques es que en el man-on-the-side la solicitud del cliente llega al destinatario (el servidor). Por tanto, el objetivo de los atacantes es responder lo más rápido posible a la solicitud del cliente.

En cuanto al man-in-the-middle, los atacantes tienen un mayor nivel de control sobre el canal de transferencia de datos. Interceptan la solicitud y pueden modificar o eliminar los datos enviados por otros usuarios en la misma la red. Por tanto, no tienen por qué ser más rápidos que la respuesta del servidor.

Sin embargo, el man-in-the-middle es un ataque mucho más invasivo que el man-on-the-side, lo que significa que es más fácil de detectar. Ya describimos con más detalle cómo funciona un ataque man-in-the-middle poniendo como ejemplo el clásico cuento de Caperucita Roja en esta publicación.

OK, pero ¿cómo funciona un ataque man-on-the-side?

Un ataque man-on-the-side exitoso permite enviar respuestas falsas a varios tipos de solicitudes al ordenador de la víctima de esta forma:

• Reemplazando un archivo que el usuario desea descargar. Por ejemplo, en el 2022 el grupo de APT LuoYu entregó el malware WinDealer a los dispositivos de sus víctimas, la mayoría diplomáticos, científicos o empresarios de China. Se envió una solicitud al servidor para actualizar el software legítimo, pero los atacantes lograron enviar su propia versión del parche que, como era de esperar, incluía el malware.
• Ejecutando un script malicioso en el dispositivo. De acuerdo con Electronic Frontier Foundation, así es cómo el gobierno chino intentó censurar a GitHub, la conocida comunidad de código abierto, en el 2015. Los atacantes usaron un man-on-the-side para entregar JavaScript malicioso a los navegadores de los usuarios. Como resultado, estos navegadores cargaban una y otra vez las páginas de GitHub. Este ataque DDoS duró más de cinco días y obstaculizó significativamente el servicio.
• Redireccionando a la víctima al sitio web.

Como dato curioso, se sospecha que las agencias de inteligencia de varios países también usen este tipo de ataque.

Cómo protegerte

Como ya hemos dicho, los ataques man-on-the-side son bastante inusuales, dado que necesitan el acceso al hardware del proveedor para poder llevarse a cabo. Por tanto, los viajes de negocios, las conferencias de trabajo o cualquier otra ocasión en la que tus empleados puedan conectarse a redes wifi sin protección son situaciones de alto riesgo. Para mantenerte a salvo, te recomendamos trabajar siempre a través de una VPN y usar una solución de seguridad sólida en todos los dispositivos corporativos de los empleados.

Fuente: www.latam.kaspersky.com

Seis sencillos pasos hacia la seguridad digital personal en 2023.

Con todos los eventos dramáticos del 2022, se te perdona si no notaste que durante el año se establecieron récords no deseados de filtraciones de información, graves incidentes de seguridad informática y otros problemas del mundo digital. En Kaspersky deseamos que el 2023 sea más tranquilo y mejor, por ello, queremos sumar nuestro granito de arena. ¡Y tú también puedes! Solo debes adoptar los siguientes propósitos para aumentar tu seguridad personal online de manera drástica y hacer de la web un lugar más seguro.

1. Dile adiós a las contraseñas

El año pasado trajo una importante mejora en la seguridad de la red: los gigantes de Apple, Google y Microsoft introdujeron inicios de sesión sin contraseña de forma simultánea. En lugar de una contraseña, tu dispositivo almacena una clave cifrada única para cada sitio. No necesitas escribir y es muy difícil de robar. Para más información sobre esta interesante tecnología, puedes leer nuestro artículo, ahora solo compartiremos este GIF publicado recientemente que ilustra el proceso de inicio de sesión:

A la fecha, no hay muchos sitios que admitan la autenticación sin contraseña, pero deberías intentar migrar a todos aquellos que te lo ofrezcan. Después de todo, esto reducirá el riesgo de que tu cuenta acabe secuestrada de forma drástica. Además, es más práctico, dado que así no tienes que pensar en una contraseña, memorizarla (o, Dios no lo quiera, ¡escribirla en algún sitio!) y luego introducirla.

Chrome, Edge y Safari ya son compatibles con esta tecnología tanto en plataformas de escritorio como en móvil.

2. Apuesta por lo desechable

Uno de los mayores riesgos digitales para todos siguen siendo las filtraciones de datos. Los ciberdelincuentes roban la información de los usuarios de los proveedores de servicios de internet, las compañías de seguros, los servicios de mensajería, las redes sociales y hasta las bases de datos escolares. Para después usar esta información para llevar a cabo sus estafas.

Desgraciadamente esa poco lo que los usuarios podemos hacer para evitar dichas filtraciones. Pero sí podemos asegurarnos de que exista menos información sobre nosotros y dificultar así su vinculación: o sea, comparar los nombres y números de teléfono de dos bases de datos robadas no permitiría que un atacante consiga más información sobre nosotros. Para ello, recomendamos facilitar la menor información posible a los servicios no críticos (en especial tiendas online y servicios digitales comerciales) al no especificar tu apellido o cuentas de redes sociales y, en general, omitir campos opcionales. También puedes usar como información de contacto direcciones de correo electrónico y números de teléfono desechables. Muchos servicios proporcionan números telefónicos temporales para recibir mensajes de texto de confirmación, así como direcciones de correo electrónico únicas; solo busca en Google “número de teléfono/dirección de correo electrónico desechable/temporal”. Existen servicios de pago de este tipo que hasta ofrecen números de tarjetas de crédito desechables, lo que hace aún más segura la experiencia de compra en línea.

3. Aléjate de las redes sociales tóxicas

El año pasado hubo demasiados eventos negativos, lo que generó que las oleadas de odio en redes sociales superaran los límites. Algunas redes sociales se cayeron por razones técnicas, como pasó con Twitter. Si las redes sociales consiguieron ponerte nervioso en 2022, este año mejor despídete de ellas para siempre. Por cierto, recopilamos una lista de consejos sobre cómo alejarte de ellas sin perder tus valiosos datos.

Dicho esto, hay quien prefiere no migrar en lugar de rendirse, por ejemplo, a Telegram o Mastodon.

4. Deja el doomscrolling

Las redes sociales y noticias pueden consumir nuestros nervios y horas. Para evitar la interminable revisión de noticias y publicaciones, marca un límite de tiempo en tu teléfono para las redes sociales y apps de noticias. Comienza con una hora al día y trata de cumplirla. Varios proveedores ofrecen esta opción: en Apple es Tiempo de uso, en Google es Bienestar digital y en Huawei es Equilibrio Digital. Y, si tus hijos pasan demasiado tiempo en las redes sociales, Kaspersky Safe Kids puede ser de ayuda.

Aquellos que intenten engañarse y recuperar el tiempo perdido en sus dispositivos deberían habilitar herramientas adicionales de autocontrol en la configuración de la propia red social. Por ejemplo, YouTube tiene también una función así, llamada Recordatorio de descanso.

5. Separa tu trabajo de tu vida privada

Separar el trabajo y la vida privada es bueno por muchas razones. Ayuda tanto a la salud física como mental, ya que así el trabajo no interfiere con el tiempo que dedicas a tu familia y amigos, y los asuntos domésticos no te distraerán durante tu jornada laboral. Además, mejorará la ciberseguridad en tu trabajo, ya que no mezclarás información personal y laboral, aplicaciones, etc. Que esta separación también fuera física sería lo ideal, lo que supondría contar con distintos teléfonos y computadoras para el trabajo y la vida privada. Solo queda recordarte que no utilices sitios personales, correo electrónico y redes sociales en tu dispositivo corporativo, y viceversa.

6. Cuida tu higiene digital

Usa un software de seguridad en todas tus computadoras y teléfonos y crea contraseñas únicas en aquellos sitios que aún las necesiten. Actualiza todas las aplicaciones y el sistema operativo de forma regular. Estos consejos no son nada nuevo, no obstante, millones de personas siguen sin implementarlos, unos por ignorancia, otros por flojera. Puedes evitar todas estas molestas actividades confiándolas a una única solución integral de Kaspersky. Entre sus muchas características, se encuentran la actualización automática de aplicaciones obsoletas, la corrección de configuraciones inseguras de Windows, un gestor de contraseñas para todas las plataformas y, claro, la mejor protección antispam, antiphishing y antimalware del sector; todo en un solo paquete con una interfaz fácil de usar. Visita nuestro sitio web para más información.

Fuente: latam.kaspersky.com

¿Qué activos corporativos deberían ser los primeros en protegerse ante los ataques cibernéticos?

Pase lo que pase, si extraños ingresan de alguna manera a tu red, no será agradable,. Sin embargo, puedes minimizar el daño potencial de una violación de este tipo anticipando qué activos podrían interesarle más a un atacante y luego reforzando su seguridad. Esto es en lo que hay que poner atención:

1. Datos personales

Este es uno de los tipos de información más buscados por los cibercriminales. Primero, los datos personales (ya sean de clientes o empleados) brindan una gran ventaja para la extorsión. El publicar dicha información puede llevar no solo a la pérdida de reputación y demandas judiciales de las víctimas, sino también a problemas con organismos reguladores (quienes, en regiones con leyes estrictas sobre el procesamiento y almacenamiento de PII, pueden imponer fuertes multas). Segundo, el mercado de la dark web para datos personales es considerable, lo que permite a los hackers tratar de monetizarlos allí.

Para minimizar las posibilidades de que estos datos caigan en manos equivocadas, recomendamos almacenarlos de forma cifrada, otorgar acceso a ellos solo a los empleados que en verdad lo ocupan e, idealmente, mantener la cantidad de información recopilada lo más baja posible.

2. Apps de finanzas

Se utiliza toda clase de malware para aprovecharse de los dispositivos en los que están instalados los sistemas de pago electrónico y demás aplicaciones financieras. Estos ofrecen acceso directo a los fondos de la empresa, por lo que una sola sustitución del beneficiario de la transacción podría tener terribles consecuencias. Recientemente, este tipo de software, particularmente en pequeñas empresas,  se está utilizando cada vez más en dispositivos móviles.

Para evitar pérdidas monetarias, el uso de aplicaciones financieras debe prohibirse en dispositivos que no cuenten con soluciones de seguridad confiables.

3. Credenciales de la empresa

Un solo dispositivo corporativo no resulta muy interesante para un atacante promedio. Es por eso que cuando comprometen uno, suelen buscar varias credenciales para recursos de red, servicios corporativos o herramientas de acceso remoto, ya que esto les permite extender el ataque y recuperar el acceso si el intento inicial es detectado y bloqueado. También pueden interesarse en las cuentas de redes sociales, el correo electrónico de la empresa objetivo, o en el panel de control del sitio web corporativo, lo cual puede ser usado para atacar a los compañeros de la víctima inicial, o a los clientes y socios.

Primero, cualquier dispositivo en el que los empleados utilicen servicios o recursos corporativos debe tener protección antimalware. En segundo lugar, vale la pena recordar de forma periódica a los empleados cómo almacenar correctamente las contraseñas (y, si es posible, proporcionarles la aplicación necesaria).

4. Copia de seguridad de datos

Si un atacante obtiene acceso a la red de una empresa, puede pasar algo de tiempo antes de que encuentre algo de lo que alimentarse, pero cuanto más busque, mayor será la probabilidad de que lo detecten y detengan. Así que no hagas fácil su trabajo dejando una carpeta llamada “Copia de seguridad” en un lugar visible. Después de todo, las copias de seguridad suelen contener información que la empresa teme perder y, por ende, es de mayor interés para los cibercriminales.

Las copias de seguridad deben guardarse en medios no conectados a la red principal de la empresa o en servicios especializados en la nube. Al hacerlo, también se le otorga protección adicional de datos en caso de ataques de ransomware.

5. Entorno de compilación de software

Claro, este consejo no aplica para todos: no todas las empresas desarrollan software. Por otro lado, hay varias pequeñas y nuevas empresas que crean aplicaciones. Si la tuya es una de ellas, te recomendamos prestar atención especial a la protección del entorno de compilación. En la actualidad, no es necesario ser una gran empresa para vivir un ataque dirigido. Basta con hacer una aplicación utilizada por grandes empresas, o simplemente aplicaciones populares. Los ciberdelincuentes pueden intentar infiltrarse en tu entorno de desarrollo y convertirlo en un eslabón para un ataque mediante la cadena de suministro. Y los métodos que implementan en dichos ataques pueden ser muy ingeniosos.

Elabora tu estrategia de protección del entorno de desarrollo con anticipación e integra herramientas de seguridad especiales que no afecten el rendimiento en el proceso de desarrollo.

Fuente: latam.kaspersky.com/

Estafadores en Argentina siguen haciéndose pasar por centros oficiales de vacunación y llaman por teléfono para solicitar un código de seis dígitos que les permite robar la cuenta de WhatsApp.

Al igual que reportamos el año pasado, los estafadores continúan utilizando el mismo modus operandi para robar cuentas de WhatsApp de las personas. Luego, se hacen pasar por los titulares de las cuentas y escriben a sus contactos para intentar engañarlos haciéndoles creer que tienen una urgencia y solicitan un préstamo o que haga una transferencia. Muchas veces, las personas contactadas, creyendo que están hablando con el titular de la cuenta, caen en la trampa y realizan la transferencia.

Cuando alertamos a los usuarios en 2021 sobre esta forma de actuar los delincuentes, supimos casos en los que se estaban haciendo pasar por el Gobierno de la Ciudad de Buenos Aires. En los últimos meses hemos visto varias denuncias donde las personas alertan que son contactados por un teléfono con la imagen del Ministerio de Salud de la Provincia de Buenos Aires.

Usuarios alertan en octubre de 2022 a través de Twitter sobre este modus operando haciéndose pasar por una persona del Ministerio de Salud.

Como hemos explicado antes, en un momento de la conversación los estafadores solicitan a la víctima que les envíe un código de seis dígitos que recibirá a través de SMS. Supuestamente este código es para acceder al turno de la vacunación. Sin embargo, se trata del código que envía WhatsApp al número de teléfono asociado a la app para corroborar que es verdadero propietario de la línea quien está intentando abrir una cuenta de WhatsApp en un teléfono.

Algunos usuarios han reportado que los ciberdelincuentes han ido un paso más e incluso han estado aprovechando la opción de enviar el código por buzón de voz, robando la cuenta de personas que en ningún momento enviar el código de verificación, tal como explica la siguiente persona en Twitter.

Sin embargo, según afirman algunos medios, WhatsApp está preparando ciertos cambios para proporcionar el código de verificación y reducir el robo de cuentas a través de todas estas modalidades.

Una vez que los atacantes ingresan a la cuenta de WhatsApp tienen acceso a la lista de contactos de las víctimas. Entonces lo que hacen es comunicarse con ellos y solicitar una transferencia de dinero. Lamentablemente, muchas personas caen en la trampa, por lo que es importante estar atentos y alertar a las demás personas.

Para evitar que roben tu cuenta de WhatsApp por esta vía, las personas pueden comunicarse con la compañía de telefonía móvil y cambiar la clave de seguridad para acceder a la casilla del buzón de voz, que generalmente viene por defecto, o solicitar que den de baja el buzón de voz para tu línea.

Quienes necesitan recuperar su cuenta, pueden comunicarse con soporte de WhatsApp a través de la dirección de correo support@support.whatsapp.com

Fuente: www.welivesecurity.com