Tag hackers

A diez años de la filtración de datos más importante registrada hasta el momento, sufrida por Yahoo! en 2013, ESET, compañía de seguridad informática, que afectaron a grandes volúmenes de información confidencial en sistemas de reconocidas empresas.

A diez años de la filtración de datos más importante registrada hasta el momento, sufrida por Yahoo! en 2013, ESET, compañía líder en detección proactiva de amenazas, hace un repaso de los incidentes de brechas de datos. Desde el incidente de Equifax, que afectó a casi la mitad de la población de los Estados Unidos, y parte de Gran Bretaña y Canadá, pasando por la filtración de más de mil millones de datos de ciudadanos de la India, hasta el mayor robo de información vendida en colecciones que sumaron más de dos mil millones de registros.

A continuación, ESET comparte un detalle de las más relevantes filtraciones de datos desde 2013 a la fecha:

1.- Yahoo!: En 2013, la empresa de servicios de internet Yahoo! pasó a la historia por haber sufrido la filtración de datos más importante de los últimos 10 años. En un primer momento, la empresa había reconocido que eran 1000 millones de cuentas las afectadas, pero 4 años después, en 2017, cuando Verizon adquirió a la empresa y realizó una exhaustiva investigación con peritos forenses externos, se pudo tomar real dimensión del ciberataque: Oath, la unidad de internet de Verizon, reconoció que la cantidad usuarios afectados eran más de 3.000 millones, -la totalidad de cuentas de Yahoo! en aquel momento- y, además de enviar mails para notificar a los «nuevos» afectados, publicó en su sitio web información adicional sobre la brecha de 2013.

Ahora bien, ¿qué tipo de información se vio vulnerada con este ataque? El jefe de seguridad de la información en Yahoo!, Bob Lord, afirmó que la filtración incluyó nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash, y en algunos casos preguntas de seguridad y sus respectivas respuestas. La «buena noticia» es que los cibercriminales no lograron el acceso a los datos bancarios o de pago, ya que el sistema comprometido no alojaba este tipo de información.

2.- Marriott Internacional: La cadena hotelera Marriott Internacional fue noticia en 2018 por algo que comenzó a gestarse cuatro años antes y que implicaría casi 400 millones de registros comprometidos: El 30 de noviembre de 2018, Marriott emitió un comunicado en el que aseguraba haber recibido «una alerta de una herramienta de seguridad interna sobre un intento de acceso a la base de datos de reservas de huéspedes de Starwood en Estados Unidos». Durante la investigación se supo que «había habido accesos no autorizados a la red desde 2014».

¿En qué se tradujo esta brecha de datos que pasó totalmente desapercibida durante 4 años? 383 millones de registros resultaron comprometidos e incluían nombres, números de teléfono, detalles del pasaporte, direcciones de correo electrónico y hasta números de tarjetas de crédito encriptados.

Según el New York Times, el ataque podía atribuirse a un grupo de inteligencia chino, cuyo principal objetivo era recopilar datos sobre los ciudadanos estadounidenses. El equipo de investigación que trabajó a partir de una alerta efectuada el 8 de septiembre de 2018, precisó que los cibercriminales se valieron de un troyano de acceso remoto y de una herramienta que encuentra combinaciones de nombres de usuario y contraseñas en la memoria del sistema.

3.- Equifax: Equifax es una de las agencias de informes de crédito más importante de los Estados Unidos. Este dato es clave para entender la criticidad de la filtración que tuvo lugar en 2017 y que puso en riesgo los datos de casi la mitad de los ciudadanos estadounidenses. Durante septiembre de ese año, Equifax anunció haber sufrido una filtración que implicaba datos de 143 millones de personas aproximadamente, es decir, el 44% de la población total de los Estados Unidos. También se vieron afectados clientes de Reino Unido y Canadá. Entre la información a la cual pudieron acceder los ciberatacantes se encontraban nombres de los clientes, números de seguridad social, fechas de nacimiento, direcciones, números de licencias de conducir y también de tarjetas de crédito.

Según el propio Equifax, la filtración se produjo debido a una «vulnerabilidad de una aplicación web para acceder a determinados archivos». El sitio Bloomberg aseguró que la filtración fue posible debido a un parche no realizado a tiempo, el cual estaba disponible dos meses antes del ataque. Las consecuencias no tardaron en llegar: Richard Smith, CEO de Equifax en ese momento, dejó su cargo. La empresa debió afrontar demandas de usuarios e investigaciones de entes de regulación tanto de Estados Unidos, como Reino Unido y Canadá, y sus acciones en bolsa cayeron.

4.- Aadhaar: Aadhaar es la base de datos de identificación más grande del mundo. La creó la Autoridad de Identificación Única de la India en 2009 para que los ciudadanos indios puedan, a través de una tarjeta, acceder a ayuda estatal, comprar una tarjeta SIM de móvil, abrir una cuenta bancaria y realizar diversos trámites burocráticos. Puntualmente, Aadhaar contenía información de más de 1.100 millones de ciudadanos indios, incluyendo también un número de identidad único de 12 dígitos, escaneos de las huellas dactilares y del iris, nombre, sexo y datos de contacto.

Durante enero de 2018 se dio a conocer públicamente el hackeo que sufrió Aadhaar: los ciberatacantes lograron vulnerarla a través del sitio web de Indane, empresa estatal de servicios públicos que estaba conectada a la base de datos gubernamental a través de una interfaz, con el objetivo de recuperar datos almacenados por otras aplicaciones o software. Indane no contaba con los controles de accesos correspondientes y así dejó expuestos los datos de la empresa y de todos los usuarios que poseían una tarjeta Aadhaar. Se convirtió en una de las filtraciones de datos gubernamentales más grandes de la historia: la gran mayoría de la población de la India (se calcula que un 90%) quedó expuesta a ser una potencial víctima de delitos como el robo de identidad y otras estafas. Una investigación que realizó el diario Tribune de la India, demostró que por 500 rupias (algo así como 6 dólares) se podía acceder a estos datos a través de un grupo de hackers que los ofrecían mediante WhatsApp.

5.- Collection #1 al #5: El caso Collection se compuso de una colección de datos que fueron extraídos de diversas brechas antiguas. Entre las cinco entregas que tuvo esta «saga», alcanzó a filtrar el impactante número de 2.200 millones de direcciones de correo y contraseñas.

Todo comenzó a mitad de enero de 2019, cuando se conoció que 773 millones de direcciones de correo únicas y también más de 20 millones de contraseñas habían sido filtradas a través de MEGA y otros foros, mediante un paquete llamado Collection#1. Hacia finales del mes se conocieron otras nuevas cuatro carpetas que formaban parte la misma recopilación. Collection#2, Collection#3, Collection#4, Collection#5 también incluían, entre otros datos, nombres de usuario, direcciones y contraseñas, alcanzando un peso total de 993.36 GB.

El instituto alemán Hasso Plattner realizó una investigación de la filtración, asegurando que el combo completo de las cinco carpetas sumaban 2.200 millones de registros en total. De hecho, en algunos foros se ofrecía el paquete completo, con el detalle del peso de cada carpeta.

“Las filtraciones de datos suelen ser más comunes y frecuentes de lo que desearíamos. Por ello, es muy importante que como usuarios conozcamos si nuestros datos se han filtrado de alguna manera, para así evitar que sean utilizados con fines maliciosos. Sitios como Have I Been Pwned, Identity Leak Checker, HackNotice son algunos de los que permiten saber si nuestra contraseña ha sido filtrada. El siguiente paso consiste en actualizar las claves, eligiendo contraseñas nuevas y más seguras, evitando reutilizar la misma contraseña en más de un servicio. Otra muy buena práctica es activar el doble factor de autenticación en todos los servicios que lo tengan disponible.”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: ESET – Ecuador

Repasamos también qué tipo de vulnerabilidades fueron las más reportadas en 2022, así como los sistemas operativos y aplicaciones que acumulan mayor número de vulnerabilidades reportadas.

Terminó el 2022 y siempre es importante hacer un balance y analizar los datos que deja el final de un año para comprender mejor lo que ha sucedido en materia de ciberseguridad y tener una idea más precisa de dónde estamos parados. En este sentido, será de gran ayuda analizar el panorama de las vulnerabilidades y comprender cuáles son los tipos de vulnerabilidades más reportadas y su impacto, qué tipo de aplicaciones concentran la mayor cantidad de vulnerabilidades reportadas y cuáles son los productos en los qué se reportaron más vulnerabilidades. Esta información nos aporta valor para comprender nuestro nivel de exposición a las amenazas informáticas, tanto a nivel usuario como de empresa, y tener un mejor panorama de cómo actúan los actores maliciosos.

En 2022 se registró un récord histórico de vulnerabilidades reportadas

El siguiente gráfico muestra que en 2022 se alcanzó un pico histórico con 25226 vulnerabilidades reportadas en distintos productos y fabricantes. Esta cifra representa un crecimiento de 26,5% en el número de vulnerabilidades reportadas en comparación con 2021 y equivale a unas 70 vulnerabilidades por día, situación que demuestra que si el promedio diario se mantiene se puede proveer un aumento de detecciones para este 2023 respecto a 2022.

Imagen 1. Vulnerabilidades reportadas por año desde 1999 hasta 2022. Fuente: CVE Details.

Otro dato relevante sobre la cantidad de vulnerabilidades reportas es que solo el 3,4% de vulnerabilidades son de carácter crítico. Esto representa una caída con respecto a 2021 donde el porcentaje de vulnerabilidades criticas reportadas fue del 5,81%. Por lo tanto, si bien durante 2022 se descubrieron más vulnerabilidades que otros años, la severidad de las mismas fue menor.

Aplicaciones con mayor número de vulnerabilidades reportadas en 2022

En la siguiente tabla se puede apreciar cuáles fueron las 10 aplicaciones sobre los cuales se reportó un mayor número de vulnerabilidades el último año. Es importante estar atento a las nuevas vulnerabilidades que se detectan sobre un determinado software o aplicación web para actualizar e instalar a tiempo los parches de seguridad para no ser victimas de ataques que busquen explotar estos fallos.

Fuente: CVE Details

Como se puede apreciar, dentro del Top 10 de aplicaciones con mas fallos reportados aparecen varios navegadores web. El primero en la lista es de hecho el navegador Google Chrome, el cual es utilizado por millones de usurios. El segundo lugar lo ocupa su colega, el navegador Firefox, que tambien es de uso masivo. En tercer puesto aparece el gestor de bases de datos Mysql, que también es muy utilizado tanto en infraestructuras de tecnologia como por usuarios finales.

Si pensamos en terminos de rédito, para los ciberatacantes las aplicaciones más utilizadas siempre seran las más propensas a ser explotadas, ya que generalmente los actores maliciosos buscan llegar a la mayor cantidad de personas/víctimas posibles. En 2022 solamente Google lanzó varias actualizaciones de Chrome en las que reparó nueve vulnerabilidades zero-day que afecaban al navegador y la propia compañía aseguró estar al tanto de reportes que indican que estaban siendo explotadas por actores maliciosos al momento de su hallazgo.

Sistemas Operativos con mayor número de vulnerabilidades

Si bien Debian Linux se presenta como el sistema operativo con mayor número de fallos de seguridad reportados en el histórico hasta 2022, es importante aclarar que no necesariamente hablamos vulnerabilidades críticas.

Fuente: CVE Details

Teniendo esto claro, en el caso de Debian Linux el histórico de vulnerabilidades reportadas desde 1999 hasta 2022 es de 7489. En 2022 se reportaron 720 vulnerabilidades, siendo 2018 el año en que se registró el mayor número con 1407. Con respecto a la severidad, de los 720 fallos reportados en 2022 solo 14 eran críticos y 109 permitían la ejecución de código.

Para el sistema Android se llegó a un récord histórico en 2022 con 899 vulnerabilidades reportadas, superando a 2020, que hasta ahora era el año en el que más vulnerabilidades se habían reportado con 859. De las vulnerabilidades reportadas en 2022, 43 de ellas fueron consideradas de alta criticidad y 102 permitían ejecutar código. En el acumulado desde 2009 a 2022 se reportaron un total de 4902 vulnerabilidades en Android.

En el caso de Fedora es el tercer sistema operativo con más vulnerabilidades reportadas desde 2007 a 2022 con un total de 4108. En 2022 se reportaron un total de 906 vulnerabilidades de las cuales 84 son de ejecución de código.

Fabricantes con más vulnerabiliudades reportadas en sus productos

Fuente: CVE Details

Con respecto a las compañías tecnológicas que desarrollan los software y aplicaciones dirigidas a usuarios y empresas, si bien vemos en el primer puesto a Microsoft como el fabricante que acumula mayor número de vulnerabilidades reportadas desde sus inicios, para sacar mejores conclusiones es importante considerar otras variables, como la evolución histórica, la cantidad de productos en los que se han reportado fallos y la criticidad de los mismos. Solo así es posible tener un panorama más completo sobre los riesgos a los que se exponen las personas y organizaciones según los productos que utilizan. Microsoft, por ejemplo, registra el mayor número de vulnerabilidades, pero sobre una base de 719 productos, mientras que Fedora, por ejemplo, es sobre la base de 22 productos, lo que da un promedio de 190 vulnerabilidades por producto.

Tipo de vulnerabilidades más reportadas en 2022

Las vulnerabilidades de ejecución remota de código fueron las más reportadas en 2022. Fuente: CVE Details

Con respecto al tipo de amenazas detectadas vemos que el escenario es variado, pero se destacan las vulnerabilidades que permiten la ejecución de código con el 22% de las vulnerarbilidades reportadas. Es importante mencionar que este tipo de vulnerabilidad es de alta criticidad y riesgo. 

Vulnerabilidades más utilizada por cibercriminales durante 2022 en la región

Siempre es importante recordar que no todas las vulnerabilidades son críticas y que no existe para todas las vulnerabilidades exploits disponibles que permitan su explotación por un atacante. Pero es interesante y a la vez preocupante que entre las cinco vulnerabilidades más utilizadas por cibercriminales durante 2022 en América Latina hay dos que fueron descubiertas hace 10 años y afectan a servicios de uso masivo. Una de ellas es la CVE-2012-0143 cuyo exploit asociado aprovecha de una vulnerabilidad de Microsoft Windows que permite la ejecución remota de código arbitrario, y la segunda es la CVE-2012-0159 cuyo exploit abusa de una vulnerabilidad en Microsoft Windows que también permite acceder remotamente y sin necesidad de autenticación a un sistema vulnerable.

La vigencia de estas vulnerabilidades sin dudas habla de que aún existe una falta concientización por parte de los usuarios y debería despertar las alarmas para que aboguen por implementar buenas practicas de seguridad que contemplen la instalación de actualizaciones y parches de seguridad a fin de evitar posibles incidentes.

Es un hecho que las aplicaciones de uso masivo siempre estarán en la mira de los atacantes para buscar vulnerabilidades y en este sentido no es casual que las aplicaciones de uso masivo siempre tengan más vulnerabilidades asociadas que el resto para las que los cibercriminales se esfuerzan en desarrollar exploits y desplegar sus ataques.

Fuente: www.welivesecurity.com

Investigadores encontraron una nueva forma de rastrear la ubicación de los dispositivos wifi inalámbricos.

En noviembre de 2022, investigadores de universidades de EE. UU. y Canadá demostraron un método de localización de dispositivos wifi utilizando equipos económicos y fáciles de conseguir. La prueba de concepto del ataque se denominó Wi-Peep, ya que se puede usar para espiar (peep en inglés) dispositivos que se comunican entre sí mediante wifi. Esta investigación arrojó nuevos conocimientos sobre ciertas características de las redes wifi y los potenciales riesgos de la localización de dispositivos. Empezaremos diciendo que los riesgos no son tan altos: el ataque parece sacado de una película de James Bond. Pero esto no vuelve menos interesante la investigación.

Las funciones del ataque Wi-Peep

Antes de entrar de lleno al informe, imaginemos un posible ataque en la vida real. Los atacantes vuelan alrededor de un edificio un minicuadricóptero con la microcomputadora más económica a bordo, recopilando datos para generar un mapa de los dispositivos inalámbricos en el interior con gran precisión (±1,5 metros en óptimas condiciones). ¿Para qué? Bueno, supongamos que se trata de un banco o un laboratorio secreto cuyos sistemas de seguridad están equipados con módulos wifi. Ese es el “por qué”: su ubicación podría ser de gran interés práctico para los atacantes que planean una penetración física.

Esquema de un ataque Wi-Peep simplificado

¿Y cómo es que los investigadores emulan algo así?…

El ataque Wi-Peep explota dos importantes características que cualquier dispositivo con conexión wifi posee, desde los antiguos módulos inalámbricos de hace 20 años, hasta los más modernos. El primero es el mecanismo de ahorro de energía. Por ejemplo, el módulo wifi de un smartphone puede conservar la batería apagando el receptor inalámbrico durante cortos periodos de tiempo. Un punto de acceso inalámbrico debe considerar este modo de operación: su router puede acumular paquetes de datos para un dispositivo específico y luego transmitirlos todos a la vez cuando de nuevo está listo para recibir información.

Para un ataque exitoso, un posible espía necesitaría obtener una lista de direcciones MAC, identificaciones de dispositivos únicas cuyas ubicaciones se determinarían más adelante. Los dispositivos de una misma casa, oficina u hotel suelen estar conectados a una red wifi compartida, y su nombre suele ser público. Resulta que es posible enviar un paquete de datos falso, aparentemente desde esta red inalámbrica compartida, informando a todos los dispositivos conectados que el búfer del punto de acceso ha acumulado algunos datos destinados a ellos. Ante esto, los dispositivos envían respuestas que, tras ser analizadas, revelan las direcciones MAC únicas de todos los dispositivos de la red casi de inmediato. Sin embargo, hay una forma más sencilla: escuchar a escondidas el tráfico de radio inalámbrico; no obstante, esto es más tardado: según los investigadores es necesario acumular datos durante 12 horas en modo pasivo.

La otra característica explotable del intercambio inalámbrico de datos se denominó Wi-Fi Polite de forma provisional. El nombre los asignaron los autores de un estudio previo del 2020. La esencia de la función, en resumen, es la siguiente: un dispositivo inalámbrico siempre responde a una solicitud de dirección de otro dispositivo, aunque esté no se encuentre conectado a una red wifi compartida o la solicitud no esté cifrada o malformada. En respuesta, el módulo wifi envía una simple confirmación (“Datos recibidos”), la cual basta para determinar la distancia hasta el dispositivo que responde. El tiempo de respuesta para la recepción de dicho paquete está estrictamente regulado y es de 10 microsegundos. Un atacante potencial puede medir el tiempo entre el envío de una solicitud y la recepción de una respuesta, restar esos 10 microsegundos y obtener el tiempo que tarda la señal de radio en llegar al dispositivo.

¿Para qué sirve esta información? Moviéndonos alrededor de un dispositivo inalámbrico estacionario, podemos determinar sus coordenadas con un grado de precisión bastante alto, conociendo nuestra propia ubicación y la distancia hasta el objeto de interés. Gran parte de la investigación se dedica a superar las diversas dificultades del método. La señal del transmisor de radio wifi se proyecta en las paredes y otros obstáculos de forma constante, lo que dificulta el cálculo de la distancia. De hecho, ese tiempo de respuesta estandarizado debería ser de 10 microsegundos, pero realmente varía de un dispositivo a otro, entre 8 y 13 microsegundos. La precisión de geolocalización del propio módulo wifi de los atacantes también tiene un efecto: resulta que ni la precisión de los sistemas de geoposicionamiento (GPS, GLONASS, etc.) suele bastar. A pesar de que los resultados vienen con mucho ruido, es posible lograr una precisión relativamente alta si se realizan varias mediciones. Esto se traduce en que, si realizan decenas de miles de lecturas, se obtiene una precisión de posicionamiento con un error en un rango de 1,26 a 2,30 metros en el plano horizontal. En la vertical, los investigadores pudieron determinar el piso exacto en el 91% de los casos, pero hasta ahí.

Un sofisticado ataque low-cost

Aunque el sistema que determina las coordenadas de los dispositivos inalámbricos no es muy preciso en realidad, sigue siendo interesante, en especial porque el equipo que los investigadores usaron es muy barato. Teóricamente, un espía potencial puede llevar a cabo un ataque en persona, simplemente caminando lentamente alrededor del objeto. Para mayor comodidad, los investigadores utilizaron un cuadricóptero económico equipado con una microcomputadora basada en el conjunto de chips ESP32 y un módulo inalámbrico. ¡El precio total de este equipo de reconocimiento (sin contar el costo del cuadricóptero) es menos de 20 dólares! Además, desde el dispositivo de la víctima es prácticamente imposible rastrear el ataque. Utiliza las capacidades estandarizadas de los módulos wifi, que no se pueden desactivar o al menos modificar en términos de comportamiento. Si la comunicación entre el dispositivo de la víctima y la microcomputadora de los atacantes es exitosa, el ataque funcionará. El rango práctico de transmisión de datos mediante wifi es de decenas de metros, lo cual bastará en la mayoría de los casos.

La implementación del ataque

Si asumimos que el ataque es posible en la vida real, ¿sirven de algo estos datos? Los investigadores plantean varias situaciones. La primera, y más obvia, si conocemos la dirección MAC del smartphone de un individuo específico, podemos rastrear aproximadamente sus movimientos en sitios públicos. Esto es posible, aunque su smartphone no se conecte a alguna red inalámbrica al momento del ataque. Segundo, crear un mapa de dispositivos inalámbricos en un edificio seguro (la oficina de la competencia o las instalaciones de un banco) para un ataque físico posterior es un escenario completamente posible. Por ejemplo, los atacantes pueden determinar la ubicación aproximada de las cámaras de vigilancia si usan una conexión wifi para transmitir datos.

La recopilación de esta información presenta también una serie de beneficios menos obvios. Por ejemplo, podría recopilar información sobre la cantidad de dispositivos con conexión wifi que hay en un hotel y así calcular cuántos huéspedes hay. Estos datos podrían interesar a la competencia. O bien, conocer la cantidad de dispositivos inalámbricos podría ayudar a determinar si las posibles víctimas están o no en casa. Las propias direcciones MAC pueden ser útiles para recopilar estadísticas sobre el uso de smartphones en un lugar público, incluso sin coordenadas. Además del espionaje y el robo, estos métodos podrían amenazar la privacidad de las personas.

No obstante, el riesgo inmediato de que dicho método se implemente en la práctica es bastante bajo. Y esto podría aplicarse a todos los posibles ataques y métodos de recopilación de datos en los que sea necesario acercarse al objeto de destino. Por un lado, requiere bastante mano de obra, lo que significa que pocos lo harían a gran escala, y para ataques dirigidos, otros métodos pueden ser más eficaces. A su vez, la investigación científica ayuda a entender cómo las características menores de las tecnologías complejas pueden aprovecharse para fines maliciosos. Los propios investigadores señalan que su trabajo dará frutos en realidad, si este pequeño riesgo de seguridad y privacidad se elimina en futuras versiones de tecnologías inalámbricas de transmisión de datos.

Por el momento, nuestra recomendación es utilizar un sistema anti drones. No ayudará contra un ataque Wi-Peep, pero al menos evitará que te espíen desde el aire.

Fuente: latam.kaspersky.com

¿Qué activos corporativos deberían ser los primeros en protegerse ante los ataques cibernéticos?

Pase lo que pase, si extraños ingresan de alguna manera a tu red, no será agradable,. Sin embargo, puedes minimizar el daño potencial de una violación de este tipo anticipando qué activos podrían interesarle más a un atacante y luego reforzando su seguridad. Esto es en lo que hay que poner atención:

1. Datos personales

Este es uno de los tipos de información más buscados por los cibercriminales. Primero, los datos personales (ya sean de clientes o empleados) brindan una gran ventaja para la extorsión. El publicar dicha información puede llevar no solo a la pérdida de reputación y demandas judiciales de las víctimas, sino también a problemas con organismos reguladores (quienes, en regiones con leyes estrictas sobre el procesamiento y almacenamiento de PII, pueden imponer fuertes multas). Segundo, el mercado de la dark web para datos personales es considerable, lo que permite a los hackers tratar de monetizarlos allí.

Para minimizar las posibilidades de que estos datos caigan en manos equivocadas, recomendamos almacenarlos de forma cifrada, otorgar acceso a ellos solo a los empleados que en verdad lo ocupan e, idealmente, mantener la cantidad de información recopilada lo más baja posible.

2. Apps de finanzas

Se utiliza toda clase de malware para aprovecharse de los dispositivos en los que están instalados los sistemas de pago electrónico y demás aplicaciones financieras. Estos ofrecen acceso directo a los fondos de la empresa, por lo que una sola sustitución del beneficiario de la transacción podría tener terribles consecuencias. Recientemente, este tipo de software, particularmente en pequeñas empresas,  se está utilizando cada vez más en dispositivos móviles.

Para evitar pérdidas monetarias, el uso de aplicaciones financieras debe prohibirse en dispositivos que no cuenten con soluciones de seguridad confiables.

3. Credenciales de la empresa

Un solo dispositivo corporativo no resulta muy interesante para un atacante promedio. Es por eso que cuando comprometen uno, suelen buscar varias credenciales para recursos de red, servicios corporativos o herramientas de acceso remoto, ya que esto les permite extender el ataque y recuperar el acceso si el intento inicial es detectado y bloqueado. También pueden interesarse en las cuentas de redes sociales, el correo electrónico de la empresa objetivo, o en el panel de control del sitio web corporativo, lo cual puede ser usado para atacar a los compañeros de la víctima inicial, o a los clientes y socios.

Primero, cualquier dispositivo en el que los empleados utilicen servicios o recursos corporativos debe tener protección antimalware. En segundo lugar, vale la pena recordar de forma periódica a los empleados cómo almacenar correctamente las contraseñas (y, si es posible, proporcionarles la aplicación necesaria).

4. Copia de seguridad de datos

Si un atacante obtiene acceso a la red de una empresa, puede pasar algo de tiempo antes de que encuentre algo de lo que alimentarse, pero cuanto más busque, mayor será la probabilidad de que lo detecten y detengan. Así que no hagas fácil su trabajo dejando una carpeta llamada “Copia de seguridad” en un lugar visible. Después de todo, las copias de seguridad suelen contener información que la empresa teme perder y, por ende, es de mayor interés para los cibercriminales.

Las copias de seguridad deben guardarse en medios no conectados a la red principal de la empresa o en servicios especializados en la nube. Al hacerlo, también se le otorga protección adicional de datos en caso de ataques de ransomware.

5. Entorno de compilación de software

Claro, este consejo no aplica para todos: no todas las empresas desarrollan software. Por otro lado, hay varias pequeñas y nuevas empresas que crean aplicaciones. Si la tuya es una de ellas, te recomendamos prestar atención especial a la protección del entorno de compilación. En la actualidad, no es necesario ser una gran empresa para vivir un ataque dirigido. Basta con hacer una aplicación utilizada por grandes empresas, o simplemente aplicaciones populares. Los ciberdelincuentes pueden intentar infiltrarse en tu entorno de desarrollo y convertirlo en un eslabón para un ataque mediante la cadena de suministro. Y los métodos que implementan en dichos ataques pueden ser muy ingeniosos.

Elabora tu estrategia de protección del entorno de desarrollo con anticipación e integra herramientas de seguridad especiales que no afecten el rendimiento en el proceso de desarrollo.

Fuente: latam.kaspersky.com/

Qué signos pueden indicar que un dispositivo está infectado o siendo atacado por un hacker.

Como regla general, los cibercriminales intentan realizar ataques sigilosos. Después de todo, cuanto más tiempo estén sin ser detectados por las víctimas, es más probable que logren sus objetivos. Sin embargo, no siempre logran ocultar su actividad. Frecuentemente, en función de varias señales, puedes saber que algo anda mal con tu computadora o smartphone. Y si los usuarios corporativos detectan estas señales de forma oportuna y notifican a su personal de seguridad de la información (o al menos a los especialistas en TI), esto complica enormemente los intentos de los atacantes de lograr su objetivo. Por tanto, decidimos enumerar los síntomas más obvios que pueden indicar que se está ejecutando malware en un dispositivo o que los hackers están interfiriendo con él.

El dispositivo está muy lento

Casi cualquier sistema de usuario comienza a iniciarse y/o funciona más lentamente con el tiempo. Esto puede deberse a varias razones: el disco está lleno, algún software requiere más recursos después de una actualización o el sistema de enfriamiento simplemente está obstruido con polvo. Pero también puede ser signo de que un código malicioso se está ejecutando en el dispositivo. Recomendamos notificar al menos al departamento de TI sobre estos problemas, especialmente si la caída del rendimiento es drástica.

La computadora accede contantemente al disco duro

Si en la máquina parpadea constantemente la luz de acceso al disco duro, hace mucho ruido o simplemente copia archivos con una lentitud absurda, aunque no hayas iniciado ningún proceso que consuma recursos, esto puede significar que el disco está fallando o que algún programa está leyendo o escribiendo datos de forma constante. De cualquier manera, este comportamiento no es normal: es mejor ir a lo seguro y consultar con TI.

Problemas de Cuenta

Si de repente algunos servicios o sistemas ya no te dejan acceder tras ingresar su contraseña (correctamente), es una razón para tener cuidado. Puedes intentar restablecerla, pero si alguien más la ha cambiado, no hay garantía de que no lo vuelva a hacer. Es mejor avisar al responsable de seguridad. También hay que hacerlo si te desconecta repentinamente de los servicios o si recibes múltiples notificaciones sobre intentos de cambiar la contraseña. Todo esto es indicio de un posible ataque.

Ventanas emergentes

Un dispositivo que ocasionalmente notifica al usuario sobre una actualización o que la batería está a punto de agotarse es normal. Pero los mensajes de error regulares son una señal de que algo no funciona correctamente y el departamento de TI debe ser consciente de ello. Del mismo modo, no es normal que de repente comiencen a aparecer ventanas no solicitadas con anuncios o solicitudes para confirmar la contraseña.

Comportamiento sospechoso del navegador

En ocasiones, el comportamiento incorrecto del navegador puede servir como evidencia de un ataque; no solo las ventanas que aparecen repentinamente que ya mencionamos. Si el malware de tipo adware irrumpe en tu computadora, puede comenzar a sustituir banners en distintas páginas por el mismo tipo de publicidad, pero de legalidad dudosa. Por supuesto, esto también significar un problema por parte de las redes de intercambio de banners. Pero si el mismo anuncio aparece en todos los sitios es un síntoma alarmante. Además, hay que prestar atención a las redirecciones. Si ingresas una dirección y el navegador suele redirigirte a otra, es tiempo de informar a los especialistas.

Archivos o carpetas inaccesibles o faltantes

Si recientemente abriste archivos o directorios de forma normal pero ahora no puede abrirlos, o han desaparecido por completo, es una razón clara para contactar al departamento de TI. Tal vez borraste algún archivo importante por error, pero tal vez fue encriptado por ransomware o eliminado por un limpiador.

Han aparecido archivos o aplicaciones desconocidos

Si no instalaste un software nuevo ni descargaste o actualizaste algo, pero todavía tienes nuevos programas, archivos, botones en el programa, complementos, herramientas o cualquier otra cosa desconocida en tu computadora, entonces es mejor consultar con TI qué son y de dónde vienen. Vale la pena prestar atención especial a las notas de rescate. Ha habido casos en los que las víctimas ignoraron tales notas porque todos los archivos parecían estar disponibles y sin cambios. Pero luego resultó que el ransomware no pudo cifrar los archivos, pero los exfiltró con éxito a los servidores de los atacantes.

Notificaciones de conexión remota

Los atacantes suelen utilizar software legítimo de acceso remoto. Como regla general, dicho software muestra un mensaje en la pantalla de que alguien se ha conectado a la máquina de manera remota. Si una notificación de este tipo aparece sin tu consentimiento, o si de repente se te pide otorgar acceso a una persona desconocida, lo más probable es que un hacker esté atacando tu computadora. Los administradores de sistemas reales, suelen advertir a los usuarios a través de un canal de comunicación confiable sobre la necesidad de una conexión remota.

Algo impide que tu computadora se apague o reinicie

Muchos virus necesitan permanecer en la memoria RAM. Los troyanos espía también necesitan tiempo para cargar la información recopilada en los servidores de los atacantes. Como resultado, el malware tiene que mantener la computadora funcionando la mayor cantidad de tiempo posible. Si notas que tu dispositivo no se apaga correctamente, avisa al oficial de seguridad o al especialista en TI cuanto antes.

Cartas o mensajes que no enviaste

Si tus contactos se quejan porque recibieron correos o mensajes instantáneos tuyos, pero no fuiste quien los envió, significa que alguien obtuvo acceso a tus cuentas o está manipulando uno de tus dispositivos. En cualquier caso, debes notificar a alguien responsable de la seguridad corporativa.

Cómo mantenerse Seguro

Claro, no todos los ataques son detectables a simple vista. Por tanto, recomendamos usar soluciones de seguridad que detecten y detengan actividades maliciosas antes de que sean evidentes para el usuario.

Fuente: latam.kaspersky.com

Un informe de 2022 reveló cuáles son las contraseñas más populares a nivel global en 2022 y “password”, “123456” y “123456789” son las tres más utilizada en el mundo.

Como todos los años, NordPass publicó su informe con las contraseñas más elegidas por las personas a nivel global. Al igual que la edición pasada, el reporte además incluye una lista con las contraseñas más elegidas en algunos países en particular, entre ellos: Brasil, Chile, Colombia, España y México.

Los datos nos dan una perspectiva sobre el nivel de madurez actual de las personas en un aspecto muy sensible que hace a la seguridad de la información: las contraseñas. Y de acuerdo al informe de este año, lamentablemente muchas personas siguen eligiendo contraseñas débiles, predecibles y fáciles de adivinar para proteger sus cuentas de correo electrónico, redes sociales u otros servicios online.

Password: la contraseña más utilizada a nivel global

Esta vez resulta que, a diferencia de lo que venía sucediendo, “123456” ya no es la más utilizada, sino que su lugar lo ocupó otra contraseña que constantemente dice presente en este reporte: “password”.

La lista elaborada por NordPass con las 200 contraseñas más comunes surge del análisis de una base de datos de 3TB que contienen contraseñas que quedaron expuestas en incidentes de seguridad. Esta información fue recopilada gracias a la colaboración de investigadores independientes especializados en investigación de incidentes.

Como se puede apreciar en la siguiente imagen, la tabla está ordenada de acuerdo a la cantidad de veces que una misma clave se fue utilizada, incluye el número de veces que estaba presente en la base de datos, y el tiempo en que tardaría en ser descifrada a través de un ataque de fuerza bruta.

Fuente: NordPass.

Como mencionamos, el informe incluye datos de algunos países en particular que para nuestros lectores pueden ser de interés. Como vemos en la siguiente tabla, en los cinco países la contraseña más utilizada se repite: 123456. Además, más allá de algunas variaciones en la lista de cada país, algo que se puede apreciar fácilmente es la cantidad de variantes de “123456”. Algo que también se observa a nivel global.

Otro dato interesante que incluye este reporte es una clasificación de las contraseñas más populares en categorías como deportes, nombres de artistas o grupos musicales, comidas, videojuegos, películas o autos, entre otros. Lo que muestra esto es un patrón que muchas veces siguen las personas a la hora de elegir una contraseña para que sean fáciles de recordar. Sin embargo, esto las convierte en fáciles de predecir. Sobre todo en ataques de fuerza bruta automatizados en los que los cibercriminales utilizan software para probar múltiples combinaciones de direcciones de correo y contraseñas en segundos.

Senhas que usam o nome de um artista. Fonte: NordPass.

Senhas que usam o nome de um time ou club. Fonte: NordPass.

Senhas que usam o nome de um filme. Fonte: NordPass.

Los resultados demuestran que sigue siendo fundamental concientizar a las personas acerca de la importancia que tiene crear contraseñas largas, difíciles de predecir y que sean únicas para cada cuenta o servicio online. Además, las personas deben saber que todo esto puede lograrse utilizando en la computadora o en el teléfono un administrador de contraseñas, ya que estos servicios contemplan todas estas necesidades. Por último, recordamos a todos la importancia de activar la autenticación en dos pasos en todos los servicios que utilizan para que la seguridad de sus cuentas no dependa únicamente de la contraseña.

Fuente: www.welivesecurity.com

Aprende a detectar algunas de las amenazas que puedes encontrar con más frecuencia mientras buscas información en la web.

Explotación de vulnerabilidades en los navegadores o cualquier plugin/extensiones que hayas instalado. Esta táctica podría utilizarse para robar datos sensibles o descargar malware adicional. Los ataques a menudo comienzan con un correo electrónico/mensaje de phishing, o visitando un sitio que ha sido comprometido o está controlado por el atacante y que se utilice para descargar malware en el equipo del visitante.

Complementos y plugins maliciosos: Existen miles de plugins a disposición que los usuarios pueden descargar con el objetivo de mejorar la experiencia de navegación. Sin embargo, muchos tienen permisos de acceso con privilegios al navegador. Esto hace que los atacantes distribuyan plugins maliciosos simulando ser legítimos con la intención de robar datos, descargar malware adicional en el equipo y la posibilidad de realizar muchas otras cosas más.

Envenenamiento de DNS: El DNS, o sistema de nombres de dominio, es la libreta de direcciones de Internet, convirtiendo los nombres de dominio que escribimos en direcciones IP para que nuestros navegadores muestren los sitios que queremos visitar. Sin embargo, los ataques a las entradas de DNS almacenadas por tu computadora, o en los propios servidores DNS, podrían permitir a los atacantes redirigir los navegadores a dominios maliciosos como sitios de phishing.

Secuestro de sesión: Los ID de sesión son emitidos por sitios web y servidores de aplicaciones cuando los usuarios inician sesión. Pero si los atacantes logran realizar fuerza bruta sobre estos identificadores o interceptarlos (si no están cifrados), entonces podrían iniciar sesión en los mismos sitios/aplicaciones haciéndose pasar por el usuario. A partir de ahí, hay un corto salto a robar datos sensibles y, potencialmente, detalles financieros.

Ataques de Man in the Middle en el navegador: Si los atacantes logran insertarse entre tu navegador y los sitios web que estás viendo, podrían ser capaces de modificar el tráfico, por ejemplo, redirigiéndote a una página de phishing, desplegando ransomware o robando credenciales de inicios de sesión. Esto sucede especialmente cuando se utilizan redes Wi-Fi públicas.

Explotación de aplicaciones web: Si bien ataques como el cross-site scripting aprovechan vulnerabilidades en sitios web y esto permite ejecutar scripts maliciosos en el navegador de una persona, estos ataques utilizan el navegador para entregar o ejecutar el malware.

La perspectiva de la privacidad

Todos estos escenarios involucran a terceras partes con intenciones maliciosas. Pero no olvidemos las grandes cantidades de datos que los proveedores de Internet, sitios web y anunciantes recopilan diariamente de quienes navegan por la web.

Las cookies son pequeños fragmentos de código generados por los servidores web y almacenados por tu navegador durante cierto tiempo. Por un lado, guardan información que puede ayudar a hacer la experiencia de navegación más personalizada, por ejemplo, mostrar anuncios relevantes o asegurarse de que no tengas que iniciar sesión varias veces en el mismo sitio. Pero, por otro lado, representan una preocupación de privacidad y un riesgo potencial de seguridad, ya que actores maliciosos pueden utilizarlas para acceder a las sesiones de usuario.

En la UE y algunos estados de Estados Unidos, el uso de cookies está regulado. Sin embargo, cuando se les presentan con una ventana emergente de opciones, muchos usuarios simplemente hacen clic y aceptan la configuración de cookies predeterminada.

Cómo navegar por la web de forma más segura

Hay muchas cosas que los usuarios pueden hacer para mitigar los riesgos de seguridad y privacidad al navegar por la web. Algunas medidas involucran directamente al navegador; otras son buenas prácticas que pueden tener un impacto positivo inmediato. Aquí hay algunas de las mejores prácticas:

• Mantenga su navegador y sus plugins actualizados para mitigar el riesgo de explotación de la vulnerabilidad. Desinstale cualquier plugin desactualizado para reducir aún más la superficie de ataque.
• Visite solamente sitios HTTPS (aquellos con un candado en la barra de direcciones del navegador), lo que significa que los atacantes no pueden espiar el tráfico entre su navegador y el servidor web.
• Sea consciente del phishing para reducir el riesgo de amenazas que viajan a través de correos electrónicos y mensajes en línea. Nunca responda o haga clic en un correo electrónico no solicitado sin verificar los detalles del remitente. Y no entregue ninguna información confidencial.
• Piense antes de descargar aplicaciones o archivos. Siempre vaya a través de sitios oficiales.
• Utilice una aplicación de autenticación multifactor (MFA) para reducir el impacto del robo de credenciales.
• Utilice una VPN de un proveedor de buena reputación, y no una versión gratuita. Esto creará un túnel cifrado para mantener seguro su tráfico de Internet y ocultarlo de los rastreadores de terceros.
• Invierta en software de seguridad multicapas de un proveedor de renombre.
• Habilite las actualizaciones automáticas en su sistema operativo y el software de dispositivo/ máquina
• Actualice la configuración del navegador para evitar el seguimiento y bloquear las cookies y ventanas emergentes de terceros.
• Desactive el guardado automático de contraseñas en el navegador, aunque esto afectará a la experiencia del usuario al iniciar sesión.
• Considere utilizar un navegador/motor de búsqueda centrado en la privacidad para minimizar el intercambio de datos encubierto.
• Utilice las opciones de navegación privada (por ejemplo, el modo de incógnito de Chrome) para evitar el seguimiento de cookies

Muchos de los consejos anteriores son opcionales y dependerán de cuán fuertes sean tus preocupaciones de privacidad. Algunos usuarios están preparados para aceptar una cierta cantidad de seguimiento a cambio de una experiencia de navegación más fluida. No obstante, los consejos de seguridad (como HTTPS, actualizaciones automáticas, software de seguridad) son esenciales para reducir tu exposición a las ciberamenazas. ¡Feliz navegación!

Fuente: www.welivesecurity.com

El sitio Have I Been Pwned añade la opción de buscar por número de teléfono para que los usuarios puedan averiguar si han sido afectados por la reciente filtración de Facebook

Hace unos días se conoció que criminales estaban ofreciendo de manera gratuita en foros de hacking una base de datos de 533 millones de números de teléfono de usuarios de Facebook que además incluían otros datos personales, como nombre, fecha de nacimiento, dirección de correo, ID de Facebook, ubicación geográfica, género, ocupación o situación amorosa. Si bien ya mencionamos que a través del sitio Have I Been Pwned era posible buscar por la dirección de correo electrónico si la misma forma parte de los datos filtrados, la herramienta añadió recientemente la posibilidad de buscar por número de teléfono.

Vale la pena recordar que los datos divulgados fueron recolectados por cibercriminales en 2019 tras explotar una vulnerabilidad en la red social que permitía ver los números de teléfono asociados a una cuenta de Facebook, la cual luego fue reparada. Sin embargo, como explicamos anteriormente, el paquete de datos que está circulando no solo contiene números de teléfono, sino que en algunos casos incluye otros datos personales más. Lo que no se sabe es si estos datos, como nombre, fecha de nacimiento, dirección de correo, entre otros, fueron extraídos de Facebook o si fueron recolectados posteriormente a partir de información de los perfiles públicos.

En un primer momento, los usuarios que querían averiguar si sus datos formaban parte de la filtración podrían realizar una búsqueda a través del sitio Have I Been Pwned utilizando su dirección de correo, sin embargo, el resultado de la búsqueda solo marcará si sus datos fueron expuestos en caso de que la dirección de correo estuviera presente en la base de datos.

Lo que sucede en este caso es que a diferencias de otras brechas de datos, donde las direcciones de correo electrónico suelen aparecer más en las filtraciones que los números de teléfono, ocurre al revés: fueron expuestos más de 500 millones de números de teléfono, pero solo unos pocos millones de direcciones de correo, explicó Troy Hunt, responsable de Have I Been Pwned en una publicación realizada en el día de ayer.

Esto quiere decir que es probable que un usuario que busque con su dirección de correo crea que no fue afectado por la filtración, pero si ingresa su número de teléfono en lugar del correo verificará que sí. Esta es una de las razones por las que añadió la posibilidad de incluir la opción de buscar por número de teléfono, explicó Hunt.

Para una búsqueda eficaz, los usuarios deberán ingresar su número incluyendo el código del país.

Fuente: www.welivesecurity.com

El país ocupa el primer lugar con mayor incidencia del ‘malware’ a nivel andino. El secuestro de equipos es uno de los problemas frecuentes. Foto: Pixabay.

Mientras el covid-19 se propaga por el mundo, los piratas informáticos aprovechan esta situación para expandir virus que afectan tanto a las empresas como a los usuarios del hogar. Entre los países más atacados por gusanos informáticos están Rusia, Alemania, China, Estados Unidos y Brasil. Ecuador no se libra de estos programas maliciosos. Según la empresa de seguridad Kaspersky, nuestro país se ha mantenido en la posición 49 dentro de las estadísticas de países con mayores incidencias de software malicioso o malware. A nivel andino, de acuerdo con el especialista en ciberseguridad Galoget Latorre, Ecuador ocupa el primer lugar en ataques tipo ‘ransomware’, seguido por Bolivia y Venezuela. Este código malicioso permite el secuestro de datos que solo son liberados cuando se paga un rescate. Los incidentes de seguridad en las empresas se dispararon entre el 2018 y el 2019; pero los ataques dejaron de ser masivos y se volvieron más específicos. Fue precisamente el ‘ransomware’ el que proliferó. En Latinoamérica, en el 2018, Ecuador y Venezuela sufrieron la mayor cantidad de ataques a sus empresas (22%), les siguieron Chile, Costa Rica y Panamá con 21%. En el 2019, en América Latina se mantuvieron los ataques a empresas, sobre todo en países como México y Perú. Ecuador ocupó el cuarto lugar en la región en cuanto a compañías con este problema. La modalidad del teletrabajo, por la pandemia, trajo consigo un mayor número de ataques. En Ecuador, el informe ‘ESET Security Report 2020 de Latinoamérica’ indica que el 70% de las empresas que trabajan con esta marca de antivirus en el país reportó incidentes de seguridad. Este valor, de hecho, fue el más alto en la región, solo igualado por Paraguay, que también registró ese porcentaje. En las primeras semanas de este año se observa una proliferación del ‘malware’. Una amenaza informática que prevalece es la denominada JS/Adware.Atocari, con una incidencia del 20,16% entre los virus detectados en el país.

Porcentaje de compañías que han reportado ataques de códigos maliciosos

Los bulos proliferan​Varias campañas de ataque aprovechaban temáticas del coronavirus para difundirse y motivar a que las víctimas abran los archivos adjuntos. La firma de seguridad Check­Point sostiene que, desde principios de enero del 2020, se han registrado más de 16 000 nuevos dominios relacionados con el coronavirus y cerca de un 20% de los mismos fue clasificado como potencialmente peligroso. Latorre señala que para este año se espera un incremento de nuevas variantes de amenazas informáticas, mayor complejidad y formas de infección. Por esta razón, es necesario tomar medidas para reducir el impacto del ‘malware’, lo cual se logra a través de la educación del usuario. La primera barrera de protección son las contraseñas. Estas deben ser complejas, únicas para cada servicio y deben ser cambiadas con frecuencia. Asimismo, es importante no abrir enlaces de origen desconocido, no descargar programas de fuentes no oficiales y no utilizar software pirateado, ya que estos tienen códigos maliciosos ocultos.

Fuente: www.elcomercio.com

Se duplicaron los intentos de ataque que buscan engañar a los usuarios mediante ingeniería social, ya sea phishing u otro tipo de estafas. Perú, Brasil y México son los países de América Latina en los que se registró la mayor cantidad de detecciones.

Analizamos el comportamiento de las detecciones de ataques de ingeniería social durante 2020 y observamos un importante crecimiento de este tipo de amenazas con respecto a 2019. Si bien durante todo el año fuimos testigos del incremento de las campañas de ingeniería social que utilizaban el tema del COVID-19 para engañar a los usuarios, los datos más llamativos los observamos al analizar los sistemas de telemetría de ESET y comparar ambos períodos.

Cuando hablamos de ingeniería social nos referimos a intentos de ataque en los que actores maliciosos utilizan el nombre de una marca, organización para intentar hacerle creer al usuario que se trata de un correo o mensaje verdadero. El objetivo de esta estrategia es engañar a la víctima para que realice una acción no deseada, como la descarga de malware en el equipo, la entrega de sus credenciales de acceso, el envío de otro tipo de información personal, o desplegar en su dispositivo publicidad no deseada.

Imagen 1. Comparativa de las detecciones de ataques de ingeniería social entre 2019 y 2020.

Si bien en agosto de 2019 se registró un crecimiento importante en la curva, una de las particularidades del 2020 es el nivel casi constante de las detecciones de este tipo de amenazas y el crecimiento casi sostenido durante gran parte del año. De hecho, si bien hay una tendencia a la baja durante diciembre (al igual que el año anterior), los niveles son superiores a los de todo el primer semestre de 2020.

Si tomamos como referencia el total de las detecciones año a año se observa un crecimiento de poco más del 200% en 2020, siendo agosto el mes con más cantidad de detecciones.

En marzo hablábamos del importante crecimiento de las campañas de ingeniería social que intentaban aprovechar el temor provocado por la pandemia como excusa para afectar de distinta manera a los usuarios, y desde el Laboratorio de ESET en América Latina analizamos varias campañas que se distribuían a través del correo o WhatsApp en las que se hacía creer a las potenciales víctimas que gobiernos y empresas estaban dando ayudas económicas o que algunas marcas estaban realizando regalos. El objetivo de las campañas varía. Si bien algunas parecen más “inofensivas” al solo buscar desplegar publicidad sin ofrecer lo que se prometía en el mensaje, otras en cambio buscaban robar información personal o incluso afectar los dispositivos con código malicioso.

Perú: el país de América Latina que registró la mayor cantidad de detecciones

Observando en detalle el comportamiento de las detecciones en la región de América Latina, Perú fue el país que registró el mayor porcentaje, con poco más del 31%, seguido por Brasil con más del 18 % y México con casi el 17 % de las detecciones en la región.

Imagen 2. Detecciones de ataques de ingeniería social por país en América Latina durante 2020.

Como podemos ver, los ataques de ingeniería social siguen siendo una amenaza muy vigente que afecta tanto al público en general como a usuarios corporativos. Los cibercriminales siguen utilizando esta técnica para el robo de información personal y financiera, y también como estrategia para llevar adelante ataques más sofisticados dirigidos a entidades gubernamentales o empresas. Probablemente la vigencia de esta técnica tenga que ver con las mejoras constantes de los atacantes y también la falta de capacitación y concientización de los usuarios, que en muchos casos aún no saben bien qué es el phishing y esto los hace vulnerables a caer en las trampas de los atacantes.

Para evitar ser víctima de estos ataques, además de contar con una solución de seguridad robusta, confiable y bien configurada, es importante la concientización, tanto individual como también a nivel corporativo. Para ello, las personas pueden realizar tests para poner a prueba sus conocimientos, mientras que las empresas pueden trabajar en la capacitación de sus empleados para evitar que caigan en este tipo de engaños.

Otras recomendaciones de seguridad para prevenir ataques de ingeniería social

• Siempre evitar abrir enlaces o documentos en correos o mensajes de dudosa procedencia, por mas tentadora que sea la oferta o importante que parezca el mensaje.
• Implementar el doble factor de autenticación en todos los servicios y aplicaciones que lo permitan. De esta manera se eleva el nivel de seguridad de las distintas identidades digitales y se evita el acceso indebido en caso de sufrir la filtración de credenciales.
• Intentar verificar por otros medios la autenticidad o procedencia de un mensaje y evitar caer en la tentación de responder o acceder inmediatamente sin antes verificar su legitimidad.
• En líneas generales, las entidades financieras no solicitan por correo o mensajería instantánea información personal como: códigos de seguridad, claves, datos de tarjetas de crédito o de débito, etc.
• El usuario debe ser responsable también en el manejo de toda su información y evitar entregar datos personales, sobre todo cuando la comunicación no es iniciada por el propio usuario.

Fuente: www.welivesecurity.com