Tag filtración

La reciente filtración de Gravy Analytics, un importante agente de datos, saca a la luz las implicaciones de la recopilación masiva de datos de localización.

Nuestros teléfonos inteligentes y otros dispositivos recopilan y transmiten cantidades masivas de datos sobre nosotros a docenas, tal vez cientos, de empresas de terceros todos los días. Esto incluye nuestra información de localización, y el mercado para esa información es enorme. Por supuesto, la compra y la venta se realizan sin nuestro conocimiento, lo que crea riesgos tenebrosos para nuestra privacidad.

El ataque reciente al agente de datos de localización Gravy Analytics ilustra claramente los peligros potenciales de estas prácticas. En este artículo, se analiza cómo operan los agentes de datos y qué puede ocurrir si se filtra la información que recopilan. También proporcionamos consejos sobre lo que puedes hacer para proteger tus datos de localización.

Qué son los agentes de datos de localización

Los agentes de datos son empresas que recopilan, procesan y venden información sobre los usuarios. Obtienen esta información de aplicaciones móviles, redes de publicidad en línea, sistemas de análisis en línea, operadores de telecomunicaciones y muchas otras fuentes, desde dispositivos inteligentes para el hogar hasta automóviles.

En teoría, estos datos solo se recopilan para análisis y publicidad dirigida. Sin embargo, en la práctica, no suelen existir restricciones de uso y, aparentemente, cualquiera puede comprarlos. Por lo tanto, en el mundo real, tus datos pueden utilizarse con casi cualquier finalidad. Por ejemplo, una investigación realizada el año pasado reveló que los agentes de datos comerciales, directamente o a través de intermediarios, pueden incluso prestar servicios a agencias de inteligencia gubernamentales.

Los agentes de datos recopilan todo tipo de información del usuario, y una de las categorías más importantes y confidenciales son los datos de localización. De hecho, hay tanta demanda que, además de los agentes de datos más generalistas, existen empresas que se dedican específicamente a esto.

Se trata de los agentes de datos de localización: organizaciones que se especializan en recopilar y vender información sobre la ubicación del usuario. Uno de los principales actores en este segmento es la empresa estadounidense de localización Gravy Analytics, que se fusionó con la noruega Unacast en 2023.

La filtración de datos de Gravy Analytics

En enero de 2025, se conoció la noticia de una filtración de datos en Gravy Analytics. Al principio se limitó a informes no oficiales basados en una publicación que apareció en un foro privado de piratas informáticos en ruso. El autor afirmó haber atacado a Gravy Analytics y haber robado los datos de localización de millones de usuarios, lo cual probó con capturas de pantalla del botín de datos.

No pasó mucho tiempo hasta que llegó la confirmación oficial. Según la legislación noruega, la empresa matriz de Gravy Analytics, Unacast, estaba legalmente obligada a notificar a la agencia de regulación nacional.

El comunicado de la empresa informó que el 4 de enero, una persona no autorizada accedió al entorno de almacenamiento en la nube AWS de Gravy Analytics “a través de una clave de acceso malversada”. El intruso “obtuvo ciertos archivos que podrían contener datos personales”.

Análisis de los datos que se filtraron en Gravy Analytics

Unacast y Gravy Analytics no se apresuraron a especificar qué datos podrían haberse visto vulnerados. Sin embargo, a los pocos días, un investigador de seguridad independiente publicó su propio análisis detallado de la información filtrada basándose en una muestra de los datos robados que había podido obtener.

La filtración de Gravy Analytics incluye datos de localización de usuarios de todo el mundo.Fuente

Resultó que el ataque a Gravy Analytics filtró un gigantesco conjunto de datos de localización de usuarios de todo el mundo, desde Rusia hasta Estados Unidos. El fragmento analizado por el investigador tenía un tamaño de 1,4 GB y estaba compuesto por alrededor de 30 millones de registros, en su mayoría recopilados en los primeros días de enero de 2025. Según el pirata informático, la base de datos robada era de 10 TB, lo que significa que podría contener más de 200 000 millones de registros.

Las aplicaciones móviles recopilaban estos datos, que Gravy Analytics adquiría para agregarlos y venderlos posteriormente a sus clientes. Como se mostró en el análisis de la filtración, la lista de aplicaciones utilizadas para recopilar datos de localización asciende a miles. Por ejemplo, la muestra estudiada contenía datos recopilados de 3455 aplicaciones de Android, incluidas aplicaciones de citas.

Los datos de localización de los usuarios británicos de Tinder son un ejemplo de lo que se puede encontrar en los datos filtrados de Gravy Analytics. Fuente

Seguimiento y desanonimización de usuarios con los datos filtrados de Gravy Analytics

Lo más desagradable del ataque a Gravy Analytics es que la base de datos filtrada está vinculada a identificadores de publicidad: IDFA para iOS y AAID para dispositivos Android. En muchos casos, esto permite rastrear los movimientos de los usuarios a lo largo del tiempo. A continuación, por ejemplo, se muestra un mapa de este tipo de movimientos en las inmediaciones de la Casa Blanca en Washington, D. C. (hay que recordar que esta visualización utiliza solo una pequeña muestra de los datos robados; la base de datos completa contiene muchos más):

Los datos filtrados de Gravy Analytics vinculados a los identificadores de publicidad se pueden usar para rastrear los movimientos de los usuarios a lo largo del tiempo.Fuente

Peor aún, algunos datos pueden desanonimizarse. Por ejemplo, el investigador pudo rastrear los movimientos de un usuario que visitó la plataforma de lanzamiento de Blue Origin:

Un ejemplo de desanonimización de datos de usuarios utilizando los datos de localización filtrados de Gravy Analytics. Fuente

Otro ejemplo: el investigador pudo rastrear los movimientos de un usuario desde el monumento en Columbus Circle, ubicado en Manhattan, ciudad de Nueva York, hasta su casa en Tennessee, y luego a la casa de sus padres al día siguiente. Basándose únicamente en datos de inteligencia de código abierto (OSINT, Open Source Intelligence), el investigador obtuvo mucha información sobre esta persona, incluido el nombre de su madre y el hecho de que su difunto padre fue un veterano de la Fuerza Aérea de los Estados Unidos.

Otro ejemplo de desanonimización de datos de usuarios utilizando los datos de localización filtrados de Gravy Analytics. Fuente

La filtración de datos de Gravy Analytics demuestra los grandes riesgos asociados a la industria de los agentes de datos, y a la de datos de localización en particular. Como resultado del ataque, un enorme volumen de registros de localización de usuarios recopilados por aplicaciones móviles se convirtió en dominio público.

Estos datos permiten rastrear los movimientos de una gran cantidad de personas con bastante exactitud. Aunque la base de datos filtrada no contiene identificadores personales directos como nombres y apellidos, números de identificación, direcciones o números de teléfono, la vinculación con identificadores de publicidad puede, en muchos casos, conducir a la desanonimización. Así, a partir de varios cuasidentificadores, es posible establecer la identidad de un usuario, averiguar dónde vive y trabaja, así como rastrear sus conexiones sociales.

¿Cómo proteger tus datos de localización?

Lamentablemente, la recopilación de datos sobre la ubicación de los usuarios ahora es una práctica tan extendida que no es una pregunta fácil de responder. Por desgracia, no hay ningún interruptor que puedas activar para impedir que todas las empresas de Internet del mundo recopilen tus datos.

Dicho esto, al menos puedes minimizar la cantidad de información de localización que cae en manos de los agentes de datos. A continuación, te explicamos cómo:

• Sé firme con las aplicaciones que solicitan acceso a los datos de localización. A menudo, funcionan bien sin él, así que, a menos que haya una razón convincente para que la aplicación conozca tu localización, simplemente di que no.
• Configura cuidadosamente la privacidad en las aplicaciones que realmente necesitan tu geolocalización para funcionar.
• No permitas que las aplicaciones rastreen tu localización en segundo plano. Al conceder permisos, elige siempre la opción “Solo mientras se usa la aplicación”.
• Desinstala las aplicaciones que ya no utilizas. En general, intenta mantener al mínimo las aplicaciones de tu teléfono inteligente, así reducirás la cantidad de posibles recopiladores de datos en tu dispositivo.
• Si usas dispositivos Apple iOS, iPadOS o tvOS, desactiva el seguimiento de aplicaciones. Esto evitará la desanonimizacion de los datos recopilados sobre ti.
• Si usas Android, elimina el identificador de publicidad del dispositivo. Si esta opción no está disponible en la versión de tu sistema operativo, restablece el identificador de publicidad periódicamente.
• Instala una solución de seguridad resistente capaz de bloquear el seguimiento de anuncios en todos tus dispositivos.

Fuente: www.latam.kasperski.com

Se advierte sobre un fallo en una librería de código abierto expuso el historial de preguntas de otros usuarios, además de información de pago de suscriptores a ChatGPT Plus.

ECUADOR – ESET, analiza el fallo que permitió por un lapso de tiempo que usuarios puedan ver preguntas del historial de búsqueda de otros usuarios de ChatGPT y expuso información personal de un pequeño porcentaje de suscriptores al plan pago de este servicio, como nombre y apellido, dirección de correo asociada al pago, los últimos cuatro dígitos de la tarjeta de crédito y la fecha de expiración.

Todo comenzó el pasado 20 de marzo cuando usuarios a través de Twitter y Reddit comenzaron a reportar que en su historial preguntas aparecían consultas realizadas por otros usuarios. En algunos casos en otros idiomas. Según confirmó OpenAI en un comunicado, todo esto provocó que se suspendiera el servicio de ChatGPT por un tiempo hasta que se corrigió el fallo y luego el servicio se reestableció.

Todo comenzó el pasado 20 de marzo cuando usuarios a través de Twitter y Reddit comenzaron a reportar que en su historial preguntas aparecían consultas realizadas por otros usuarios. En algunos casos en otros idiomas.

@OpenAI why are you giving me foreign languages in my chat history side column this morning?

Have you been hacked?#ChatGPT pic.twitter.com/UdhVQxSKzK

— Joseph Hollak (@jhollak) March 20, 2023

Además del historial de consultas, algunas personas también reportaron que en la página de pagos para ChatGPT Plus aparecía la dirección de correo de otros usuarios:

@OpenAI on payment page for ChatGPT Plus, it originally stated it had sent an SMS to a number I did not recognise. Then when selecting to send an email instead, it is showing an email address that I have never heard of. Form field is also pre-filled with the unknown email address pic.twitter.com/B4X5cZv2kn

— Elliot (@elliotm_95) March 20, 2023

En el caso de los datos de pago, según explicó OpenAI, el fallo afectó al 1.2% de suscriptores activos a ChatGPT Plus y si bien confirmó que parte de la información expuesta incluía los últimos cuatro dígitos de las tarjetas de crédito, en ningún caso quedaron expuestos los números completos.

La compañía detrás de ChatGPT aseguró que se contactó con los usuarios afectados por la exposición de esta información y confía en que los datos personales de los usuarios ya no está en riesgo.

En cuanto a la corrección del fallo, OpenAI no solo confirmó que lo que provocó esta exposición de información fue un fallo que radicaba en el cliente de la librería Redis, sino que envió un parche al equipo de mantenimiento de Redis que corrigió el error.

Corrigen vulnerabilidad en ChatGPT que permite el secuestro de cuentas

Además del fallo que permitió la exposición de información, Gal Nagli reportó a OpenAI una vulnerabilidad que permite realizar ataques de Web Cache Deception. Según explicó en Twitter, la vulnerabilidad, que ya fue corregida, permitía robar cuentas de terceros, ver el historial de consultas y acceder a los datos de pago de las cuentas.

The team at @OpenAI just fixed a critical account takeover vulnerability I reported few hours ago affecting #ChatGPT.

It was possible to takeover someone's account, view their chat history, and access their billing information without them ever realizing it.

Breakdown below 👇 pic.twitter.com/W4kXMNy6qI

— Nagli (@naglinagli) March 24, 2023

ChatGPT es el blanco de cibercriminales

Recientemente alertamos sobre distintas estafas y engaños que han estado circulando aprovechando el éxito de ChatGPT. Entre los ejemplos mencionamos lo que fue el hallazgo reciente de una falsa extensión para Google Chrome llamada “Quick access to Chat GPT” que los cibercriminales estuvieron utilizando para robar cuentas de Facebook, las cuales eran a su vez utilizadas para crear bots y desplegar publicidad maliciosa. Sin embargo, esta no fue la única extensión maliciosa que se descubre aprovechando el nombre de ChatGPT, ya que investigadores de Guardio revelaron la semana pasada que descubrieron una nueva variante de la misma extensión maliciosa que roba cuentas de la red social. En este caso se trata de una versión troyanizada de una extensión legítima llamada “ChatGPT for Google”.

“Como podemos ver, ChatGPT es atractiva para los actores maliciosas, ya sea para utilizar la herramienta con fines maliciosos, así como también para suplantar su identidad y engañar a personas desprevenidas. Probablemente esta tendencia continuará y seguiremos viendo casos donde se intente explotar vulnerabilidades o realizar fraudes en su nombre”, agrega Camilo Gutiérrez Amaya, Jefe del Laboratorio de investigación de ESET Latinoamérica.

Fuente: www.welivesecurity.com

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

El cibercrimen es una máquina bien aceitada que vale billones de dólares al año. Ocultos de las fuerzas de seguridad y de la mayoría de los consumidores, los ciberdelincuentes frecuentan sitios de la dark web donde compran y venden grandes cantidades de datos robados, así como las herramientas necesarias para obtenerlos. Se cree que hay hasta 24 mil millones de nombres de usuario y contraseñas obtenidos ilegalmente que circulan actualmente en dichos sitios. Entre los más buscados se encuentran los datos de tarjetas nuevos, que luego los estafadores compran a granel para cometer fraude de identidad.

En los países que han implementado sistemas de chip y PIN (también conocidos como EMV), es un desafío convertir estos datos en tarjetas clonadas. Por eso son más comunes los ataques en línea dirigidos a transacciones sin tarjeta (CNP). Los estafadores podrían usarlos para comprar artículos de lujo para su posterior venta, o potencialmente podrían comprar tarjetas de regalo a granel, que es otra forma popular de lavar fondos obtenidos ilícitamente. La escala del mercado de tarjetas es difícil de estimar. Pero los administradores de la tienda clandestina más grande del mundo se retiraron recientemente después de ganar aproximadamente 358 millones de dólares.

Con esto en mente, a continuación explicamos cuáles son las cinco formas más comunes en que los ciberdelincuentes buscan obtener los datos de tarjetas de crédito de las personas y cómo detenerlos:

1. Phishing

El phishing es una de las técnicas más utilizadas por los ciberdelincuentes para robar datos. En su forma más simple, es un engaño en el que el cibercriminal se hace pasar por una entidad legítima (por ejemplo, un banco, un proveedor de comercio electrónico o una empresa de tecnología) para engañar a un usuario y convencerlo para que ingrese sus datos personales o descargue malware sin darse cuenta. Estos correos o mensajes de phishing suelen alentar a las personas a hacer clic en un enlace o abrir un archivo adjunto. A veces, hacerlo lleva al usuario a una página falsa que parece legítima, donde se solicitará que ingrese información personal y financiera. Para tener en cuenta la vigencia que tiene pese a ser una forma de ataque muy conocida, el phishing alcanzó el máximo histórico en el primer trimestre de 2022, algo que ya había sucedido en 2021.

Repasamos cuáles son las formas más comunes en que los ciberdelincuentes pueden obtener los datos de nuestra tarjeta de crédito, y cómo protegerlos.

Con los años el phishing ha ido evolucionado dando lugar a formas de ataque similares. En lugar de un correo electrónico, las víctimas puede también recibir un mensaje texto (SMS) malicioso, conocido como smishing, donde un ciberdelincuente se puede hace pasar, por ejemplo, por una empresa de entrega de paquetería, una agencia gubernamental u otra organización de confianza. Los estafadores pueden incluso llamarlo telefónicamente, en una forma de ataque conocida como vishing, donde nuevamente fingen ser una fuente confiable con el objetivo de convencer al individuo para que comparta los detalles de su tarjeta. El smishing se duplicó en 2021, mientras que el vishing también aumentó.

2. Malware

El mercado clandestinidad del cibercrimen es enorme, y no solo se comercializan datos, sino también malware. A lo largo de los años se han desarrollado diferentes tipos de códigos maliciosos diseñados para robar información. Algunos de estos códigos lo que hacen es registran las pulsaciones del teclado de la víctima; por ejemplo, mientras escribe los detalles de la tarjeta en un sitio de comercio electrónico o bancario. ¿Cómo hacen los cibercriminales para colocar estos programas maliciosos en nuestras máquinas?

Los correos de phishing o mensajes de texto son un método muy común. También los anuncios maliciosos. En otros casos pueden comprometer un sitio web que recibe muchas visitas y esperar a que los usuarios lleguen al sitio para infectarlos. Ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio comprometido. El malware que roba información también suele estar oculto dentro de aplicaciones móviles maliciosas que parecen legítimas.

3. Web skimming

A veces, los ciberdelincuentes también instalan malware en páginas de pago de sitios de comercio electrónico legítimos. Estos códigos maliciosos son invisibles para el usuario, pero sustraerán los detalles de la tarjeta a medida que son ingresados. No hay mucho que los usuarios puedan hacer para mantenerse seguros, aparte de comprar en sitios confiables y que utilicen aplicaciones de pago de renombre, que probablemente sean más seguros. Las detecciones de web skimmers aumentaron un 150% entre mayo y noviembre de 2021.

4. Filtraciones de datos

A veces, los datos de las tarjetas se obtienen no de los usuarios, sino directamente de empresas con las que se hace algún tipo de transacción o negocio. Podría ser desde un proveedor de atención médica, una tienda en línea o una empresa de viajes. Esta forma de obtener datos es más rentable desde la perspectiva de los delincuentes, porque a través de un ataque se obtiene acceso a una gran cantidad de datos.

Por otro lado, con las campañas de phishing, si bien son ataques se lanzan de forma automatizada, tienen que robar a los individuos uno por uno.

5. Redes Wi-Fi públicas

Cuando estás fuera de casa es tentador puede resultar tentador navegar por la web utilizando puntos de acceso Wi-Fi públicos: ya sea en aeropuertos, hoteles, cafeterías y otros espacios compartidos. Incluso si tienes que pagar para unirte a la red, es posible que no sea seguro si los delincuentes han hecho lo mismo. Pueden usar el acceso a una red para espiar los datos de terceros a medida que son ingresados.

Cómo proteger los datos de la tarjeta de crédito

Afortunadamente, hay muchas maneras de minimizar los riesgos de que los datos de la tarjeta de crédito caigan en manos equivocadas. Considere las siguientes recomendaciones como un punto de partida:

• Esté alerta: si recibe un correo electrónico inesperado o no solicitado, nunca responda, haga clic en enlaces ni abra archivos adjuntos. Podría tratarse de un engaño que busca infectarlo con malware. O podrían llevarlo a páginas de phishing que parecen legítimas donde se solicitará que ingrese sus datos.
• No divulgue ningún detalle por teléfono, incluso si la persona al otro lado suena convincente. Pregunte de dónde están llamando y luego vuelva a llamar a esa organización para verificar. No utilice los números de contacto que le proporcionaron.
• No use Internet si está conectado a una red Wi-Fi pública, especialmente si no utiliza una VPN. No realice ninguna acción que implique ingresar los detalles de la tarjeta (por ejemplo, compras en línea).
• No guarde los detalles de la tarjeta de crédito o débito en el navegador, aunque esto le permita ahorrar tiempo la próxima vez que realice una compra. De esta manera reducirá considerablemente las posibilidades de que obtengan los datos de su tarjeta si la empresa o plataforma sufre una filtración o si un atacante logra secuestrar su cuenta.
• Instale una solución antimalware de un proveedor confiable en cada una de sus computadoras y dispositivos conectados a Internet.
• Active la autenticación en dos pasos en todas las cuentas que tengan información sensible. La autenticación en dos pasos reduce las posibilidades de que los atacantes puedan acceder a sus cuentas incluso si obtuvieron sus credenciales de acceso.
• Solo descargue aplicaciones de tiendas oficiales, como la App Store o Google Play.
• Si está haciendo alguna compra en línea, solo hágalo en sitios con HTTPS (debería mostrar un candado en la barra de direcciones del navegador junto a la URL). Esto significa que hay menos posibilidades de que los datos puedan ser interceptados.

Finalmente, una práctica siempre recomendable es monitorear los movimientos de nuestras cuentas bancarias y de nuestras tarjetas. Si detecta alguna transacción sospechosa, informe de inmediato al equipo de fraude de su banco/proveedor de tarjeta. Algunas aplicaciones ahora permiten “congelar” todos los gastos en tarjetas específicas hasta determinar si ha habido una violación de seguridad. Hay muchas formas en que los malos obtienen los datos de nuestra tarjeta, pero también podemos hacer muchas cosas para mantenerlos lejos.

Fuente: www.welivesecurity.com

Si bien el ransomware es una de las amenazas informáticas qué más preocupación genera a las empresas y organizaciones a nivel global, lejos está de ser la única.

En la última edición del ESET Security Report las empresas de América Latina manifestaron que sus principales preocupaciones a nivel de ciberseguridad son el robo de información y el acceso indebido a sus sistemas, además de los códigos maliciosos. Lo cierto es que los cibercriminales se valen de distintas alternativas para realizar estas actividades maliciosas, desde aprovechar bases de datos mal configuradas, técnicas de ingeniería social para engañar a empleados y obtener información o acceso, vulnerabilidades en tecnologías que utiliza la organización o algún proveedor, o el uso de credenciales débiles y fáciles de descifrar, etc. Por lo tanto, si bien el ransomware es un tipo en particular de malware que despierta preocupación a las organizaciones por el impacto económico y a la reputación, no es la única forma de amenaza informática dirigida a las organizaciones.

No nos olvidemos que salvo los ataques que tienen como objetivo realizar tareas de espionaje, la principal motivación de los actores de amenazas es obtener un beneficio económico, por lo que buscarán la forma de monetizar sus ataques, ya sea mediante la extorsión, venta de datos en el mercado clandestino de la dark web u otra forma.

1. Filtración o exposición de datos

La filtración de datos se da como consecuencia de un acceso indebido a los sistemas de una organización. Una vez dentro de la red algunos actores de amenazas más sofisticados logran permanecer lejos de los radares de detección para realizar tareas de reconocimiento, buscando información sensible para robar o incluso intentando escalar privilegios para acceder a información más crítica y de mayor valor. Las formas de acceso inicial a los sistemas de la víctima varían, ya que los atacantes pueden utilizar distintos vectores para su cometido.

Más allá de que la filtración o exposición de información sea como consecuencia de algunas de las amenazas que describiremos más abajo en este artículo, como puede ser un ataque de phishing que descargue un malware o mediante ataques de fuerza bruta, las filtraciones se dan también por errores humanos, como configuraciones indebidas de bases de datos o debido al acceso de alguien interno a la organización que tenía permisos innecesarios y que por error o deliberadamente compartió información sensible. Algo similar ocurre con los dispositivos físicos robados que contienen información sensible o accesos.

Por otra parte, un ataque a un proveedor podría provocar la exposición de datos de la organización, y la seguridad de este proveedor es algo que está más allá del control de la empresa, pero es un riesgo que se debería tener presente a la hora de evaluar la seguridad de la organización.

2. Ataques de fuerza bruta

Como mencionamos en el punto anterior, una de las formas más comunes que utilizan los cibercriminales de acceder a los sistemas de una empresa es a través de ataques de fuerza bruta. Los actores maliciosos utilizan esta modalidad con el objetivo de descifrar credenciales débiles de servicios expuestos a Internet para así lograr acceso a la red de la víctima y luego llevar adelante otra acción maliciosa, como robar información o desplegar malware.

Existen distintos tipos de ataque de fuerza bruta, como los ataques de password spraying o de credential stuffing, entre otros. Para ello los ciberdelincuentes se valen de software, hardware y de bases de datos (desde diccionarios, contraseñas más comunes, hasta credenciales filtradas en brechas pasadas) que les permiten de manera automatizada probar combinaciones de usuarios y contraseñas hasta dar con credenciales válidas para determinados servicios. Es importante tener presente que el uso de contraseñas débiles es una práctica común y difícil de erradicar, y esto es algo que los atacantes lo saben y por eso a lo primero que apuntan es a descifrar contraseñas cortas de entre entre uno y siete caracteres.

Por otro lado, con la adopción del trabajo remoto e híbrido a raíz de la pandemia los ataques de fuerza bruta crecieron exponencialmente, principalmente por grupos de ransomware, pero también por actores maliciosos que buscan desplegar otro tipo de malware o incluso backdoors, los cuales permiten la comunicación remota del atacante con el sistema comprometido.

3. Ataques a la cadena de suministro

Otra amenaza que debe ser considerada por las organizaciones, sobre todo a la hora de evaluar la capacidad de resiliencia, es la cadena de suministro; es decir, si están lo suficientemente preparadas para enfrentar las consecuencias de un ataque a un proveedor cuya gestión de la seguridad está más allá de su perímetro.

En 2021 se registró un crecimiento de los ataques a la cadena de suministro. Muchas veces estos ataques se realizan aprovechando vulnerabilidades existentes en proveedores de software que utilizan las compañías y los actores maliciosos distribuyen, por ejemplo, una actualización maliciosa o una app que deriva en el compromiso de los clientes de este proveedor. Esto les permite a los atacantes tener un alcance mayor en comparación con un ataque dirigido a una sola organización y comprometer a muchas compañías a partir de una misma campaña.

Uno de los ataques de cadena de suministro qué más repercusión tuvo en el último tiempo fue el que sufrió Kaseya, proveedor de servicios administrados, que se vio afectado por la distribución de una actualización automática maliciosa del software de gestión de IT, Kaseya VSA, que aprovechaba una vulnerabilidad zero-day y que permitió a los cibercriminales distribuir un ransomware en los sistemas de miles de clientes de Kaseya a nivel global.

4. RAT: Troyanos de acceso remoto

Un tipo de malware muy peligroso para las organizaciones por sus capacidades para espiar y robar información son los RAT o troyanos de acceso remoto. Este tipo de malware permite a los atacantes realizar una gran cantidad de acciones en el equipo comprometido. A través de comandos enviados remotamente pueden: robar credenciales almacenadas en el navegador y de apps de mensajería, ejecutar keyloggers que registran las pulsaciones de teclado, realizar capturas de pantalla, tomar fotografías, registrar audio, interceptar comunicaciones, o descargar otro malware en el equipo, entre otras.

Existen varios RAT en actividad, y muchos son variantes creadas a partir de la compra de malware en foros clandestinos. Algunos de los más utilizados por los cibercriminales son Agent Tesla, njRAT, WSHRAT, Remcos, entre otros.

Suelen distribuirse a través de campañas de phishing que incluyen correos adjuntos o enlaces maliciosos, mediante falsas aplicaciones o instaladores de programas, entre otras.

5. Ingeniería Social

Las técnicas de ingeniería social evolucionaron, sobre todo a medida que se fue ampliando la superficie de ataque con los procesos de digitalización. Hoy hablamos de ataques de ingeniería social que utilizan bots de voz para robar los códigos de verificación, campañas de vishing mediante apps de mensajería como WhatsApp para hacer llamar a las potenciales víctimas, pero también a través de mensajes. Lo mismo ocurre en redes sociales, donde los atacantes no solo utilizan perfiles falsos suplantando la identidad de amigos, contactos profesionales u organizaciones, sino que también utilizan técnicas como el scraping de seguidores para captar determinado perfil de usuarios.

Todo esto se potenció con el trabajo remoto e híbrido, ya que se borraron los limites entre el uso laboral y personal de la tecnología, lo que expone a las organizaciones a ser víctimas por el uso personal de la tecnología que hacen sus empleados.

Las estafas del tipo Business Email Compromise (BEC), que en español significa compromiso de cuentas de correo de empresas, es un tipo de fraude que se vale de la ingeniería social dirigido generalmente al área de administración y finanzas de una organización. Los atacantes se hacen pasar por un ejecutivo o el propio CEO de la compañía y solicitan una transferencia urgente a un proveedor, por ejemplo. Las BEC representan para las organizaciones más pérdidas que cualquier otro tipo de delito informático. En Estados Unidos, por ejemplo, el último año se registraron cerca de 20.000 denuncias de estafas del tipo BEC que derivaron en 2.4 mil millones en ganancias para los cibercriminales.

También han comenzado a reportarse en los últimos años ataques de deep fake y deep voice, en los cuales los atacantes utilizan software que se apoya en inteligencia artificial para suplantar a través de la imagen y/o la voz a personas reales. Como le ocurrió al gerente de la sede de una multinacional que fue víctima de este ataque de ingeniería social y transfirió a los atacantes 220 mil euros.

Conclusión

El ransomware es una de las amenazas que más preocupación genera a las empresas, sobre todo por su actividad en los últimos años, pero está claro que no es la única amenaza que apunta a empresas y organizaciones de América Latina y del mundo. Como explicamos en este artículo, existe otro tipo de amenazas que también representan un riesgo imporante que deben ser contemplados en las estrategias de prevención que cada compañía lleve adelante.

A continuación, compartimos una infografía en la cual resumimos cuáles son las 5 amenazas informáticas más peligrosas para las organizaciones más allá del ransomware.

Fuente: www.welivesecurity.com