Tag hackers

Ecuador ­– Al enterarse de que alguna persona de nuestro entorno fue hackeada, hay dos preguntas que surgen casi de inmediato, la primera es cómo sucedió, y, la segunda apunta a si también debemos preocuparnos por la seguridad. Para poner claridad a este segundo interrogante, ESET, compañía líder en detección proactiva de amenazas, analiza los riesgos a los que se puede estar expuestos en caso de que un familiar, amigo o contacto haya sido víctima del robo de una cuenta o de una infección con malware. Además, se comparten algunos consejos de seguridad para reducir las posibilidades de sufrir alguna consecuencia inesperada.

“Cuando una persona cercana es víctima de una estafa o de una infección con malware, sus contactos pueden ser más propensos a recibir un ataque. Por eso, en estas situaciones, es importante conocer a qué riesgos podrías exponerte.”, advierte Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En el caso de que, por ejemplo, una persona sufra el robo de su cuenta de WhatsApp (o de cualquier otra red social), el cibercriminal puede suplantar su identidad con el objetivo de robar dinero, distribuir enlaces maliciosos o intentar otro tipo de fraude. Es posible que lleve adelante estas estrategias contra las personas que la víctima tiene entre sus contactos y que intente usar a su favor la confianza que suele generar que el mensaje llegue de alguien a quien conocen. De allí que este tipo de ataques sean tan eficaces.

Pie de imagen: Ejemplo de cómo un ciberatacante suplanta la identidad de la víctima para obtener dinero de sus contactos. Fuente: Diario El País

Por otro lado, cuando una persona sufre la infección de un malware que roba credenciales o que toma el control de la máquina, el atacante puede tener acceso a las listas de contactos y enviarles correos o mensajes bajo la identidad de la víctima. Incluso desde el equipo infectado, el ciberatacante puede publicar en las redes sociales de la víctima, links con enlaces maliciosos de sitios de phishing, que lleven a sus contactos a descargar malware, adware o spam. Desde ESET, comentan que es importante prestar atención a mensajes, correos, llamadas o publicaciones, más allá de que provengan de alguna persona que se conozca o sea familiar.

Pie de imagen: Mensaje a través de Facebook Messenger que distribuye un enlace de phishing a los contactos de la víctima.

En caso de que en el pasado se haya compartido alguna información sensible, equipos o redes, con la víctima, también se puede estar en riesgo. Por ejemplo, si se compartía la cuenta de Netflix, el hacker ahora tiene acceso a ella (contraseñas, métodos de pago, etc.). Por otro lado, si en alguna oportunidad se inició sesión en el dispositivo vulnerado de la víctima, es posible que la información haya quedado registrada y ahora esté en manos del actor malicioso. Desde contraseñas, correo electrónico, datos de acceso y cualquier otro tipo de información valiosa.

Cuando un atacante accede a la cuenta de una víctima, también obtiene acceso a los historiales de las conversaciones de sus contactos. Entonces, el actor malicioso podría utilizar toda esa información disponible (puede ser desde el lugar de trabajo, las últimas vacaciones o cualquier otra data personal), para realizar un ataque personalizado a cualquiera de esos contactos. El objetivo pude ser intentar un engaño para robar información o dinero, por ejemplo haciéndose pasar por una empresa u organización, o directamente extorsionar.

Pie de imagen: Ejemplo de cómo un cibercriminal puede utilizar ciertos datos obtenidos para llevar a cabo un engaño.

Si alguien de tu entorno fue hackeado, existen diversos riesgos latentes a los que se le deben prestar atención. Desde ESET comparten algunas acciones concretas que se pueden tomar, para reducir sensiblemente las posibilidades de sufrir alguna consecuencia indeseada de esta situación:

• Actualizar tus contraseñas: en caso de que alguna cuenta o dispositivo haya estado vinculado con la persona hackeada, es necesario que cambiar las claves de acceso de manera inmediata. Utilizar contraseñas únicas y robustases la mejor manera de proteger las cuentas, mientras que un gestor de contraseñas puede ser un gran aliado a la hora de almacenarlas.
• Implementar la autenticación en dos pasos (también conocida como 2FA): es importante tener activa esta capa extra de seguridad en todas aquellas cuentas que lo permitan. Concretamente, protegerán las cuentas en caso de que hayan caído en las manos equivocadas.
• Compartir esta información con familiares y amigos: con el fin de que todos estén informados de las estafas a las que pueden estar expuestos, puedan identificarlas, y también para que puedan tomar medidas para proteger su información.

Fuente: Departamento de Comunicación ESET Ecuador

ECUADOR ­- El negocio de los casinos en línea, el póker virtual y las apuestas deportivas está en auge. En 2023 representó un mercado de 84 mil millones de dólares a nivel global, y se espera que para 2030 el valor de mercado se triplique. En el Día Internacional de Internet Segura, y en el contexto del aumento de las apuestas online en personas de todas las edades, ESET, compañía líder en detección proactiva de amenazas, advierte que a medida que el sector crece con plataformas cada vez más accesibles, los estafadores aumentan sus ataques en busca de ganancias rápidas y apuntan al espacio de las apuestas y los juegos de azar en línea con mayor frecuencia.

“La lista de posibles canales de fraude aumenta día a día: desde aplicaciones maliciosas y mensajes de phishing, hasta casinos fraudulentos diseñados para quedarse con el dinero de los apostadores. Los estafadores suelen llegar a sus víctimas a través de canales similares como el correo electrónico, aplicaciones de mensajería y redes sociales, así como sitios maliciosos de casinos, aplicaciones de juego e incluso foros de apuestas.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las 6 principales estafas relacionadas con el juego y las apuestas según ESET son:

1. Phishing: Esta técnica de ingeniería social consiste en, por ejemplo, hacerse pasar por un casino o una empresa de apuestas legítimos y persuadir a la víctima para que entregue sus datos personales y/o financieros, o proporcione los datos de acceso a su cuenta. Estos mensajes -enviados por correo electrónico, redes sociales, aplicaciones de mensajería- pueden contener promesas de ofertas especiales, diseñadas para atraer a la víctima, o fingir que hay problemas en la cuenta, y pedir a la víctima que comparta sus datos de acceso).

2. Estafas de tareas: La FTC advirtió recientemente de la creciente amenaza de un tipo específico de estafa laboral en línea en la que se contactan a las víctimas para ofrecerles trabajo, normalmente a través de mensajes no solicitados en WhatsApp o similares. Los estafadores prometen trabajo fácil como «optimización de aplicaciones» o «promoción de productos», y aseguran dar dinero a cambio de que los usuarios valoren ciertos productos a través de una aplicación especializada. Incluso pueden recibir una pequeña suma como supuesta prueba de que el plan es legítimo. Sin embargo, al poco tiempo, los estafadores piden a sus víctimas que inviertan su propio dinero en la estafa para poder completar la siguiente serie de tareas. Una vez que lo hacen, el dinero se pierde para siempre.

Según los informes, las pérdidas alcanzaron los 220 millones de dólares sólo en los seis primeros meses de 2024. Aunque no se trata estrictamente de una estafa de apuestas, el elemento de gamificación se ha descrito como «casi como el juego».

3. Casinos maliciosos: Algunos casinos funcionan como una tapadera para actividades fraudulentas. Pueden ofrecer enormes bonos de bienvenida, grandes ganancias y tiradas gratis ilimitadas para atraer a sus víctimas. Estas ofertas pueden promocionarse mediante anuncios en línea o correos electrónicos/textos/mensajes sociales de spam.

“Estas promesas demasiado buenas para ser ciertas, la mayoría de las veces no resisten el escrutinio. A menudo, la letra pequeña le impedirá aprovecharse o cobrar cualquier ganancia sin perder algo usted mismo. Los casinos malintencionados también pueden bloquear las retiradas con excusas técnicas o procesos de verificación de cuenta excesivamente largos. Incluso pueden desaparecer por completo después de robar suficientes depósitos de jugadores.”, agrega el investigador de ESET.

4. Aplicaciones falsas: Las aplicaciones fraudulentas también son una forma cada vez más común de engaño, las víctimas se sienten atraídas por ellas a través de llamativos anuncios en Internet que prometen ganancias rápidas y sencillas. Pueden estar respaldadas por sitios web de phishing/falsos con reseñas falsas de la aplicación, algo simple de hacer en varios idiomas con herramientas de inteligencia artificial. En algunos casos, incluso se permite inicialmente a los usuarios ganar pequeñas cantidades, con el fin de aumentar su confianza y alentarlos a hacer apuestas más grandes. Cuando lo hagan, las ganancias se bloquearán y los estafadores desaparecerán. Un ejemplo reciente de esta amenaza fue una campaña que incluía 500 anuncios engañosos y 1.377 sitios web maliciosos.

5. Estafadores: También hay que tener cuidado con quienes afirman ofrecer consejos en línea. Los estafadores de apuestas pueden afirmar que tienen un sistema imbatible. También pueden asegurar que han sido expulsados de los sitios de apuestas digitales porque no paran de ganar, lo que les obliga a pasar sus consejos a otros a cambio de un pago. Pero, por supuesto, todo es mentira. A veces, estas estafas pueden proceder de fuentes inusuales, como un jugador de póquer de talla mundial que ahora se enfrenta a penas de cárcel tras prometer fraudulentamente acceso a «información privilegiada» para dar a los jugadores una ventaja ganadora.

6. Estafa del partido fijo: Es estos casos, el estafador empezará por encontrar un grupo de personas interesadas en partidos previamente “arreglados”: digamos 30 individuos. El estafador les pedirá que paguen por adelantado y les dirá a 10 que apuesten por un resultado, a 10 que apuesten por otro y a 10 que apuesten por un tercero (en la mayoría de los partidos deportivos, sólo hay tres resultados posibles). Los 10 individuos para los que el pronosticador predijo el resultado correcto piensan ahora que acaban de apostar en un auténtico partido alterado, y se verán incentivados a apostar más dinero en el siguiente partido. Los que no hayan ganado serán bloqueados por el estafador.

En este contexto, las mejores tácticas para apostar con seguridad y para mantener a los estafadores a distancia, según ESET, son:

• Utilizar solo plataformas de apuestas verificadas y autorizadas, con aprobación reglamentaria.
• Ser escéptico ante cualquier oferta de grandes bonos y tiradas gratuitas ilimitadas, y leer siempre la letra pequeña: las ofertas de grandes bonos o tiradas gratuitas ilimitadas suelen llevar trampas ocultas.
• Activar la autenticación multifactor (MFA) para añadir una capa adicional de seguridad a las cuentas y proteger los inicios de sesión de accesos no autorizados.
• Nunca compartir información personal o financiera, sobre todo los datos de acceso, con ninguna persona.
• Comprobar regularmente las cuentas bancarias y de apuestas para detectar cualquier actividad inusual.
• Mantenerse lejos de los pronosticadores que se pongan en contacto por Internet, especialmente los que afirmen tener información privilegiada o acceso a partidos arreglados.
• Ignorar los anuncios y personas vinculadas a nuevas cuentas de redes sociales; limitarse a plataformas y personas con un historial creíble.
• Descargar aplicaciones de tiendas legítimas (por ejemplo, Apple App Store y Google Play) y comprobar antes las calificaciones y reseñas de los desarrolladores.

“Como cualquier actividad en línea, el juego conlleva sus propios riesgos. Apuesta de forma responsable y mantén tu información a salvo.”, concluye Gutiérrez Amaya de ESET.

Fuente: Departamento de Comunicación ESET Ecuador

Cómo evitar revelar tu contraseña a estafadores al iniciar sesión en sitios de terceros o al ver documentos “cifrados” o “confidenciales”.

Cuando se te solicita iniciar sesión en un servicio en línea, verificar tu identidad o descargar un documento a través de un enlace, generalmente se solicita que introduzcas tu nombre de usuario y contraseña. Esto es tan común que la mayoría de nosotros lo hacemos automáticamente sin pensarlo dos veces. Sin embargo, los estafadores pueden engañarte para que les des contraseñas de correo electrónico, sitios web de servicios gubernamentales, servicios bancarios o redes sociales al imitar el formulario de inicio de sesión del servicio en su propio sitio web (de terceros). No caigas en la trampa: solo el servicio de correo electrónico puede pedirte que verifiques tu contraseña, ¡nadie más! Lo mismo se aplica a los servicios gubernamentales, los bancos y las redes sociales.

Para evitar ser víctima de fraude, cada vez que introduzcas una contraseña, tómate un momento para verificar exactamente dónde estás iniciando sesión y qué ventana te está solicitando las credenciales. Aquí son posibles tres escenarios principales: dos son seguros y uno es fraudulento. Son los siguientes.

Escenarios seguros para introducir contraseñas

1. Iniciar sesión en tu correo electrónico, red social o servicio en línea a través del sitio web oficial. Este es el escenario más simple, pero debes asegurarte de que realmente estés en el sitio legítimo, sin errores en la URL. Si accedes al servicio en línea haciendo clic en un enlace de un correo electrónico o de los resultados de búsqueda, revisa cuidadosamente la barra de direcciones del navegador antes de introducir la contraseña. Asegúrate de que tanto el nombre del servicio como la dirección del sitio sean correctos y coincidan entre sí.

¿Por qué es tan importante tomarnos un segundo extra para revisar? Crear copias de phishing de sitios legítimos es el truco favorito de los estafadores. La dirección de un sitio de phishing puede ser casi idéntica a la original, diferir solo en una o dos letras (por ejemplo, la letra “i” podría ser remplazada por una “I”), o usar una zona de dominio diferente.

También es bastante sencillo crear un enlace que parezca conducir a un sitio, pero que en realidad te lleve a otro lugar. Compruébalo tú mismo: este enlace parece conducir a nuestro blog latam.kaspersky.com/blog, pero en realidad te redirige a nuestro otro blog: securelist.com.

La siguiente imagen muestra ejemplos de páginas de inicio de sesión legítimas para diversos servicios en las que puedes introducir de forma segura tu nombre de usuario y contraseña.

Ejemplos de páginas de inicio de sesión legítimas para diversos servicios. Introducir tus credenciales aquí es seguro.

2. Iniciar sesión en un sitio mediante un servicio auxiliar. Esta es una forma conveniente de iniciar sesión sin crear contraseñas adicionales, comúnmente utilizada para servicios de almacenamiento de archivos, herramientas de colaboración, etc. Los servicios auxiliares suelen ser grandes proveedores de correo electrónico, redes sociales o sitios de servicios gubernamentales. El botón de inicio de sesión puede decir algo como “Continuar con Google”, “Continuar con Facebook”, “Continuar con Apple”, etc.

Al hacer clic en el botón, se abre otra ventana que pertenece al servicio auxiliar (Google, Facebook, Apple, etc.). Funciona así: el servicio externo verifica tu identidad y la confirma al sitio en el que estás iniciando sesión. Es crucial verificar las direcciones en ambas ventanas: asegúrate de que la ventana emergente que solicita tu contraseña realmente pertenezca al servicio auxiliar que esperabas (Google, Facebook, Apple, etc.) y que la ventana principal realmente pertenezca al sitio legítimo en el que estás intentando iniciar sesión. En muchos casos, la ventana emergente también indica en qué sitio iniciarás sesión. Este mecanismo de servicio auxiliar te permite entrar al sitio deseado sin que este vea tu contraseña. La verificación de contraseña se realiza en el lado del servicio auxiliar (Google, Facebook, Apple, etc.). Los especialistas en TI denominan a este método de inicio de sesión inicio de sesión único (SSO).

Ejemplo de SSO en eBay a través de un servicio auxiliar (Google) que verifica tu contraseña. Introducir tus credenciales aquí también es seguro.

Escenario fraudulento: robo de contraseñas

Recibes un correo electrónico o mensaje con un enlace de inicio de sesión, haces clic en él y terminas en un sitio que se parece mucho a un correo electrónico legítimo, una red social, un servicio de intercambio de archivos o un servicio de firma electrónica. El sitio solicita que inicies sesión en tu cuenta para comprobar tu identidad. Para ello, se te solicita que introduzcas tu correo electrónico y contraseña de correo electrónico, sitio de servicios gubernamentales, servicio bancario o red social directamente en este sitio.

En este escenario, o bien no hay ninguna ventana emergente de un servicio legítimo (como la del caso anterior), o la ventana adicional también pertenece a algún sitio de terceros. Esta es una estafa diseñada para robar la contraseña de tu cuenta. Recuerda que un sitio de terceros no puede verificar tu contraseña: simplemente no la conoce, y las contraseñas nunca se comparten entre sitios.

Mira la barra de direcciones: ¡definitivamente esto no es Netflix! No introduzcas tus credenciales aquí.

Cómo protegerte del robo de contraseñas

1. Verifica cuidadosamente la dirección del sitio que solicita tu contraseña.
2. Introduce una contraseña para un servicio únicamente en el sitio web oficial de ese servicio, en ningún otro lugar.
3. A veces aparece una ventana separada para introducir una contraseña. Asegúrate de que esta ventana sea una ventana de navegador normal en la que puedas ver la barra de direcciones y verificar la dirección.
4. Los estafadores pueden crear sitios similares con direcciones que son difíciles de distinguir de las reales. Para evitar caer en esta trampa, utiliza una protección antiphishing fiable en todos los dispositivos y plataformas. Te recomendamos Kaspersky Premium, el ganador de una prueba antiphishing en 2024.
5. Un método de protección avanzado es utilizar un administrador de contraseñas para todas tus cuentas. Verifica la dirección real de la página y nunca introducirá tus credenciales en un sitio desconocido, sin importar cuán convincente parezca.

Fuente: latam.kaspersky.com

Las formas más frecuentes en que son robadas las credenciales de acceso a las cuentas de Spotify, cómo detectarlas y qué hacer para protegerse.

Ecuador– Según datos publicados por Statista, entre julio y septiembre de 2023, Spotify contaba con más de 220 millones de suscriptores, posicionándolo como líder en servicios de música en streaming. Esto llamó la atención de los cibercriminales que comenzaron a implementar diversas técnicas para obtener los datos de acceso a las cuentas de Spotify de sus víctimas. ESET, las principales estrategias que usan los actores maliciosos para obtener las credenciales, qué rédito sacan, qué indicios dan cuenta de que una cuenta fue vulnerada y de qué manera se puede evitar el robo.

“Las razones por las que los actores maliciosos pueden intentar obtener las credenciales de acceso puede ser para luego vendérselas a otras personas. Estas cuentas robadas suelen comercializarse en foros y mercados de internet, a un precio mucho mejor que el oficial. Por otro lado, puede ser para falsificar reproducciones a través de las cuentas robadas que reproducen de manera continuada y repetida las canciones de un artista con el fin de incrementar de manera artificial los números de reproducción y así generar ingresos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las cuatro principales estrategias que se utilizan para obtener credenciales, según ESET, son:

Phishing: Los correos de phishing representan uno de los principales vectores de ataque utilizados por los ciberatacantes para obtener credenciales de acceso de usuarios desprevenidos. La excusa del contacto suele ser alguna urgencia vinculada a un pago o a una cancelación del servicio.

Un reporte de usuarios de Spotify muestra, por ejemplo, cómo han intentado robar cuentas mediante un mail con el supuesto aviso de que la cuenta será desactivada. Llevan al usuario a hacer clic en un enlace que lo dirige a una página apócrifa, diseñada para robar credenciales de acceso y otra información personal.

Pie de imagen: Ejemplo de correo de phishing reportado en página oficial Spotify. Fuente: Spotify.com

Para prevenir estos engaños, desde ESET señalan que es útil la información que publica Spotify en su sección de ayuda. Allí la plataforma indica cómo reconocer un mail legítimo y advierte que nunca se le pedirá a los usuarios información personal -como datos de los medios de pago o contraseñas-, ni se solicitarán pagos por medio de terceros o que la descarga de archivos adjuntos.

Filtraciones de datos: Las filtraciones de datos también pueden derivar en el robo de cuentas de Spotify. Como ejemplo, y según relata un usuario en Reddit, su cuenta había sido vulnerada y alguien había cambiado sus credenciales de acceso. Más tarde descubrió en el sitio HaveIBeenPwnd que su correo electrónico había estado involucrado en varias brechas de datos. La información filtrada en otras plataformas y servicios online había sido aprovechada para hacerse de la cuenta de Spotify, conociendo la dirección de correo electrónico, el cibercriminal pudo hallar la cuenta de Spotify correspondiente a ese email y mediante un ataque de fuerza bruta obtener su contraseña.

Lo que siempre se recomienda desde ESET es no reutilizar los usuarios y las contraseñas ya que, si se filtran los datos de alguna cuenta o servicio, todo el resto estará vulnerable.

Aplicaciones no oficiales: Otra manera que tiene el cibercrimen de acceder a las cuentas de Spotify de sus víctimas es a través de aplicaciones no oficiales que prometen un supuesto acceso gratuito a funciones premium. Así, buscan robar la dirección de correo electrónico y contraseña, y apoderarse de la cuenta.

Pie de imagen: Ejemplo de Ad de aplicación maliciosa. Fuente: Volt.fm

Infección por malware: Otra vía que puede ser utilizada por los cibercriminales es la infección con malware, para así obtener la información de inicio de sesión de sus víctimas. Esto según ESET es posible gracias a los keyloggers, que registran las pulsaciones de teclas y envían esa información a los actores maliciosos.

“Hay varios indicios que pueden dar cuenta de que una cuenta de Spotify fue robada. Como identificar cambios en la suscripción, que la música que se escucha cambie o se detenga de manera aleatoria, no encontrar las listas de reproducción habituales o encontrar nuevas. Por otro lado, se pueden recibir correos por parte de Spotify que dan cuenta de inicios de sesión que no se reconocen o mismo el bloqueo de ingreso a la cuenta”, agrega Gutiérrez Amaya de ESET Latinoamérica.

Más allá de que existen diversas estrategias mediante las cuales los cibercriminales intentan robar las cuentas de Spotify, ESET comparte varias acciones a llevar a cabo para evitar el hackeo de cuentas:

• Elegir una contraseña segura, extensa, y que contenga mayúsculas, caracteres especiales y números. Es importante que sea una clave única, que no se esté utilizando en otro servicio o plataforma. Se recomienda utilizar un gestor de contraseñas, que permita generar credenciales fuertes y únicas para cada cuenta sin necesidad de tener que recordarlas de memoria.
• Descargar la aplicación de repositorios oficiales y desconfiar de aquellas que ofrecen descuentos o beneficios demasiado buenos para ser verdad. Además, mantener los sistemas actualizados y contar con una solución de seguridad en cada dispositivo.
• No compartir la cuenta con nadie. Más allá de que se trate de gente de confianza, no se puede saber si estas personas saben cómo mantener la cuenta segura. Para ello, siempre es mejor adquirir una suscripción familiar o compartida.

Fuente: Departamento de comunicación ESET Ecuador

Un repaso por las amenazas más detectadas en la telemetría de ESET en el primer semestre de 2024, en la región latinoamericana. Conoce los detalles en este artículo.

Las constantes amenazas en el ciberespacio están tomando un papel cada vez más crítico y América Latina no es la excepción. Hasta hace unas semanas habíamos presentado el reporte de 12 datos sobre el estado de la ciberseguridad de las empresas de LATAM, donde se da una perspectiva general sobre cómo las empresas y organismos de la región ven la ciberseguridad desde sus trincheras, cuáles son las amenazas más comunes y qué están haciendo para mitigarlas.

En este post se detallarán las amenazas más activas en lo que va el primer semestre del 2024, y veremos cómo muchas de ellas siguen siendo tendencia a pesar del paso del tiempo, destacando la importancia de estar conscientes y preparados ante este tipo de riesgos.

Top 5 de países con mayores amenazas detectadas

Para comenzar, podemos nombrar que entre el top 5 de los países con mayores amenazas detectadas por nuestra telemetría, Perú se ubicó en el primer lugar, seguido de México, Ecuador, Brasil y Argentina.

Imagen 1: Detecciones únicas discriminadas por país.

El malware que se distribuye en la región en la primera mitad del 2024 da una media de 2.6 millones de muestras únicas, entre las cuales se incluyen inyectores, troyanos, downloaders, gusanos, exploits, backdoors, spyware, rookits y droppers.

El phishing pese a ser de las técnicas de ingeniería más usadas desde hace más de 20 años, sigue teniendo un impacto enorme en el mundo de la ciberseguridad y desde nuestra telemetría hemos identificado casi 2 millones de muestras únicas que llegan a toda la región, que va desde México y se extiende hasta Argentina, siendo más específicos las muestras únicas en este primer semestre son de 1,874,913.

Distribución de software más explotado

El sistema operativo que sigue siendo más explotado por parte de los ciberdelincuentes es Windows, en sus diferentes arquitecturas, incluso muchos de ellos sin ya un soporte oficial extendido por parte del fabricante. Aunque Windows encabeza el software más amenazado, también hay otros que son el objetivo de estos maleantes.

Imagen 2: Distribución de software más explotado en primer semestre 2024

Familias más detectadas en el primer semestre del 2024

El primer lugar de los códigos maliciosos que se observan por parte de nuestra telemetría son los denominados “injector”, es decir, aquellos que buscan insertar código malicioso en los procesos legítimos del sistema, para realizar diversas acciones como el descargar algún malware adicional cuya capacidad pueda monitorear las actividades de la víctima o controlar el equipo remotamente.

En segundo lugar, contamos con el troyano llamado “Kryptik” cuyo primer vector de infección son archivos maliciosos adjuntos que puede llegar por correo electrónico, software pirata y falsos asistentes de actualización y al igual que otras variantes su principal objetivo es obtener información financiera de las víctimas, suplantar su identidad para generar estafas más eficientes y añadir el dispositivo infectado a una botnet.

Y en el top 3 tenemos al malware llamado “Expiro”, este gusano afecta a los sistemas operativos Windows, cuando el dispositivo es infectado para a formar parte de una botnet, además sus principales tareas son el robo de información de sus víctimas, también buscan emplear los recursos del equipo para poder generar ataques de denegación de servicio (DoS)

Detecciones únicas por tipo de malware

En este semestre se han detectado las siguientes muestras únicas por tipo de malware en LATAM:

Imagen 3: Muestras únicas por tipo de malware.

Vulnerabilidades más explotadas en el primer semestre 2024

1. Win/Exploit.CVE-2012-0143

Este exploit se aprovecha de una vulnerabilidad de Microsoft Excel que permite la ejecución remota de código arbitrario. Esto significa que un atacante remoto puede ejecutar código malicioso en un equipo vulnerable. Este fallo de seguridad fue descubierto en 2012 y desde entonces se ha detectado actividad intentando aprovecharlo en todos los países de Latinoamérica.

2. Win/Exploit.CVE-2012-0159

Esta detección corresponde a un exploit que abusa de una vulnerabilidad en Microsoft Windows que también permite acceder remotamente y sin necesidad de autenticación a un sistema vulnerable. El fallo se descubrió en 2012 y fue utilizado, por ejemplo, en campañas de ransomware icónicas como las de “Petya” y “NotPetya” años atrás. Sin embargo, sigue siendo utilizada por actores maliciosos.

3. JS/Exploit.CVE-2021-26855

Se trata de un exploit para la CVE-2021-26855, una vulnerabilidad que afecta a Microsoft Internet Explorer descubierta en 2021 que permite a un atacante tener acceso remoto, sin necesidad de autenticación, a un sistema vulnerable. Si bien el hallazgo de esta vulnerabilidad no tiene mucho tiempo, se ha intentado aprovechar en campañas maliciosas que llegaron a varios países de Latinoamérica.

4. Win/Exploit.CVE-2017-11882

Este exploit aprovecha una vulnerabilidad de Microsoft Office que permitir al atacante acceder remotamente a un sistema vulnerable sin necesidad de autenticación. Fue descubierta en 2017 y los intentos de explotación de este fallo se han observado en varios países de Latinoamérica, principalmente en Argentina, Colombia, Chile y México. Esta vulnerabilidad fue muy utilizada en las campañas de ransomware conocidas como “WannaCry” y “Goldeneye” entre abril y mayo de 2017 en Latinoamérica. Esta vulnerabilidad sigue siendo de las más explotadas en correos de toda Latinoamérica, en el post podemos ver algunos ejemplos de campañas de phishing que se aprovechan de esta.

5. Win/Exploit.CVE-2016-3316

Se trata de un exploit que abusa de la ejecución de código remoto en Microsoft Office cuando este no puede manejar correctamente los objetos en la memoria. Un atacante puede ejecutar código arbitrario con los permisos del usuario actual, es decir, si este usuario ha iniciado sesión con permisos de administrador, el atacante podría tomar el control del sistema afectado instalando programas, viendo, cambiando o eliminando datos; o crear nuevas cuentas con permisos de administrador para otros usuarios.

Conclusión

Con este panorama del primer semestre, donde observamos que existen amenazas que emplean técnicas de ingeniería social muy conocidas y que muchas se aprovechan de vulnerabilidades que tienen más de 10 años existiendo, podemos reforzar la importancia de que las empresas implementen una adecuada política de seguridad en la que la concientización y capacitación en ciberseguridad sean de los pilares fundamentales, junto con la actualización permanente para contar con parches de seguridad que reduzcan el riesgo de explotación de vulnerabilidades antiguas.

Fuente: www.welivesecurity.com

ESET analiza cómo los ciberdelincuentes pueden tomar el control de una cuenta de WhatsApp mediante el uso de técnicas de spoofing y qué tener en cuenta para no ser víctima.

Buenos Aires, Argentina ­– El spoofing es una técnica en la que un atacante falsifica la identidad de un usuario a fin de hacerse pasar por él con fines maliciosos. ESET, compañía líder en detección proactiva de amenazas, advierte que en el WhatsApp spoofing el ciberdelincuente toma el control de una cuenta y envía mensajes en nombre de la víctima. Para esto, el atacante se vale de distintos medios, como pueden ser la clonación de la tarjeta SIM o eSIMs, o el QRLJacking, entre otros.

El QRLJacking (Quick Response Code Login Jacking) es un vector de ataque de ingeniería social simple que puede afectar a todas las aplicaciones que dependan de la función “Iniciar sesión con código QR”. La víctima escanea, engañada, el código QR que le envía el cibercriminal, y, sin darse cuenta, entrega el control de su cuenta y habilita al atacante a poder desviar las comunicaciones a su propio servidor, desde el cual podrá enviar mensajes e intervenir conversaciones.

“Este tipo de ataques puede pasar desapercibido por la víctima, ya que podrá seguir logueándose y abriendo a su sesión de WhatsApp web o desktop. Esto marca una diferencia respecto a otros casos en los que la cuenta de WhatsApp queda inaccesible para la víctima, como por ejemplo el secuestro de WhatsApp pleno.”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

La autenticación de WhatsApp desktop o WhatsApp web a través de QR se realiza mediante un websocket (que abre una sesión de comunicación interactiva entre el navegador del usuario y el servidor de WhatsApp). Cada cierto lapso de tiempo el servidor se comunica con el WebSocket solicitando una actualización del código QR del WhatsApp web o desktop. Al escanear el QR, y para la autenticación, se remite información del usuario al servidor, lo que permitirá identificarlo como titular de la cuenta. Esta comunicación en tráfico se encuentra cifrada de extremo a extremo.

ESET comparte un ejemplo simulado de intervención de una cuenta de WhatsApp mediante el QRLjacking, una técnica en la que el atacante genera un QR de inicio de sesión falso con el que tomará el control de una cuenta. De esta forma, podrá enviar mensajes en nombre del titular y leer sus mensajes sin que el titular pueda advertirlo.

Para esta demostración desde ESET se utilizó una herramienta OpenSource. Se genera un QR para luego mediante técnicas de ingeniería social enviárselo a la víctima, e inducirla a que lo escanee desde dispositivo.

Pie de imagen: Interfaz de la herramienta para generar el QR falso.

Una vez escaneado el QR, el ciberdelincuente simulado aquí, obtiene acceso al WhatsApp y se puede loguear a la cuenta de la víctima.

Pie de imagen: El atacante tiene control de la cuenta y puede espiar conversaciones y enviar mensajes en nombre de la víctima.

A partir de ese momento, el intruso puede espiar las conversaciones, ver su contenido y remitentes, y puede comenzar a enviar mensajes desde el número de la víctima, suplantando su identidad.

Pie de imagen: El atacante intervienen una conversación activa de la víctima.

Desde el laboratorio de investigación de ESET se comparten algunos consejos para evitar ser víctima de este tipo de ataques:

• Verificar la fuente del código QR: Nunca escanear un código QR de WhatsApp desde fuentes no confiables. Si se recibe un QR por mensaje, correo o sitio web sospechoso, es mejor ignorarlo. Los códigos QR de sesión deben ser escaneados únicamente desde el sitio oficial de WhatsApp Web o la aplicación de WhatsApp.

• Habilitar la verificación en dos pasos (2FA): Así, incluso si alguien obtiene acceso a la sesión mediante un ataque de QRLJacking, necesitaría un código PIN adicional para iniciar sesión en otros dispositivos.

• Revisar sesiones activas regularmente: En WhatsApp, se puede revisar y cerrar las sesiones activas en otros dispositivos desde la configuración. Si se identifica alguna actividad sospechosa, cerrar la sesión de inmediato.

Fuente: Departamento de Comunicación ESET Ecuador

¿Alguna vez has sido bombardeado con ventanas emergentes alertando problemas de seguridad? Podrían ser scareware: notificaciones falsas diseñadas para asustarte y hacer que tomes acciones precipitadas.

El miedo puede ser un arma poderosa y los estafadores saben cómo infundirlo y coaccionar para que alguien realice acciones precipitadas. En el ciberespacio, una forma habitual de hacerlo es a través de algo llamado scareware.

El scareware es un engaño clásico que se aprovecha de nuestros miedos, haciéndonos creer que hemos sido víctimas de lo que popularmente se conoce como «virus informático» —actualmente denominado mejor «malware»—. Se aprovechan del temor a los problemas de ciberseguridad que pueden afectar a nuestros dispositivos con el objetivo de llevarnos por un camino en el que finalmente se hacen realidad este temor.

Afortunadamente, la cabeza fría y la precaución son una potente defensa.

¿Qué es el scareware?

¿Alguna vez te han bombardeado la pantalla de tu ordenador o dispositivo con ventanas emergentes que te advierten de un peligro de malware? Entonces es probable que te hayas topado con scareware. Se trata de una estafa en la que se convence a la víctima de que su equipo está infestado de malware y se la engaña para que pague por un «software antivirus» que no necesita, facilite sus datos personales y financieros o instale malware real.

El scareware puede distribuirse de varias formas:

• Ventanas emergentes: Se abren automáticamente al hacer clic en un enlace, visitar una página web o abrir una aplicación específica. Pueden decir que su ordenador está infectado con un malware peligroso que puede hacer que se bloquee en cualquier momento. La única forma de remediar la situación es hacer clic en la ventana emergente para descargar una herramienta antivirus inexistente.
• Correos electrónicos y mensajes de redes sociales: Los correos electrónicos no solicitados pueden intentar el mismo truco, persuadiéndote para que actúes rápido para limpiar una reciente infección de malware detectada en tu máquina/dispositivo. Incluso pueden proceder de direcciones de correo electrónico legítimas pero falsificadas. Sin embargo, si sigues el enlace o haces clic en el botón incrustado, te llevará a un sitio o descarga realmente maliciosos.
• Malvertising: Los anuncios maliciosos en sitios legítimos o plataformas de redes sociales pueden hacer lo mismo, instando al usuario a hacer clic para descargar «software antivirus» y eliminar el «malware» inexistente en su ordenador o dispositivo móvil.
• Llamadas al servicio técnico: A veces, las ventanas emergentes o los mensajes pueden incluir un número de asistencia técnica al que llamar y que le llevará a un centro de llamadas fraudulento. El equipo estará preparado para decirle que su ordenador o dispositivo está en peligro. Puede que le pidan que descargue un software de acceso remoto para poder «solucionar» el problema. En realidad, lo que buscan es recopilar sus datos personales y/o timarle para que pague por un software que es poco más que un programa de relleno.

En otras ocasiones, los estafadores del servicio técnico pueden llamar de improviso con una mentira similar. Estas estafas llevan produciéndose más de una década, y en 2023 fueron el tercer tipo de ciberdelincuencia con mayor recaudación: los estafadores obtuvieron más de 924 millones de dólares, según el FBI.

Figura 1. Ejemplo de falsa alerta de «daños en el sistema

Todo está en la mente

El scareware utiliza técnicas clásicas de ingeniería social, como las que se ven a menudo en los mensajes de phishing. Tratan de apresurar a la víctima para que tome una decisión sin darle tiempo a pensar. La advertencia es palpable y pretende crear una sensación de urgencia: por ejemplo, «Actúe AHORA o sus archivos y fotos podrían corromperse PARA SIEMPRE».

Los estafadores fortalecen la sensación de urgencia con imágenes rojas parpadeantes, texto en mayúsculas e incluso mostrando capturas de pantalla ficticias de los supuestos archivos infectados. También pueden mostrar una barra de progreso de la máquina que se está escaneando.

Por último, la ingeniería social se basa en persuadir a la víctima de que el mensaje procede de una fuente legítima. Así que los estafadores harán todo lo posible por imitar la marca y los nombres de proveedores de seguridad legítimos, utilizando nombres como «DriveCleaner», «Antivirus360», «PC Protector» y «Mac Defender».

Figura 2. Otro ejemplo de alerta falsa

¿Qué puede hacer el scareware?

En el mejor de los casos, podrías gastar dinero en bloatware inútil (software de relleno, o inflado), pero al menos ahí acabaría la estafa. En el peor de los casos, los delincuentes recopilarán tus datos personales y financieros para utilizarlos en posteriores fraudes de identidad. O, al hacer clic en el enlace o anuncio, se instalará un spyware diseñado para robar información o ransomware para bloquear el dispositivo y luego precionarte a pagar un rescate para desbloquearlo.

Cómo mantenerse alejado del scareware

No es difícil mantenerte a salvo del scareware y algunas consejos a seguir cuando te copes con una alerta de este tipo son:

1. No te dejes llevar por el miedo y nunca hagas clic en la ventana emergente. Si no reconoces el nombre de la supuesta herramienta antivirus, busca su nombre en una fuente de confianza como Google para verificar su legitimidad.
2. Cierra el navegador y/o desconéctate de Internet en lugar de hacer clic en la alerta. En Windows, lo primero puede hacerse pulsando Control-Alt-Supr, seleccionando el Administrador de tareas y eliminando la tarea del navegador. En Mac, pulsa Comando-Opción-Salir para abrir la ventana Forzar salida. Otra opción es apagar el dispositivo. En cualquier caso, evita hacer clic en la falsa «X» o en el botón «Cerrar» de la ventana emergente, ya que podría instalar malware en lugar de cerrar la ventana.
3. Utiliza bloqueadores de ventanas emergentes/anuncios de confianza para reducir las posibilidades de que aparezca scareware en tu pantalla. Muchos de estos bloqueadores detienen las ventanas emergentes maliciosas antes de que lleguen a usted.
4. Mantén los navegadores y programas informáticos actualizados y en la versión más reciente y segura. Las versiones antiguas son más susceptibles de ser explotadas.
5. Instala software de seguridad legítimo de un proveedor de confianza para bloquear el scareware, y recuerda mantenerlo actualizado con la última versión.
6. Infórmate sobre el aspecto de las alertas legítimas del software de seguridad de su elección para poder distinguirlas fácilmente de las procedentes de scareware.
7. Recuerda que los proveedores legítimos de software de seguridad no inundarán su pantalla con un aluvión de ventanas emergentes.

Cómo eliminar scareware

Si tu dispositivo o equipo se ve afectado por scareware, eliminarlo no debería suponer un gran problema. No se trata de malware real así que ejecuta la herramienta de seguridad legítima para buscarlo y seguí las instrucciones para eliminarlo.

También puedes buscar el scareware manualmente. En Windows 10: Busca «Agregar o quitar programas» y desinstálalo de la lista que aparece. En Mac, busca el scareware en la categoría Aplicaciones de la ventana del Finder. Haz clic con el botón derecho y arrástralo a la Papelera, luego vacía la Papelera. También deberías cambiar las contraseñas de todas las cuentas de correo electrónico y servicios financieros.

Fuente: www.welivesecurity.com

ESET presenta los 12 datos de ciberseguridad más relevantes de las empresas de América Latina que revela su informe ESET Security Report 2024.

Ecuador –ESET, compañía líder en detección proactiva de amenazas, presenta los resultados del ESET Security Report 2024, su informe anual que proporciona una perspectiva regional sobre el estado actual de la ciberseguridad en América Latina, exponiendo las principales amenazas, las debilidades más comunes y las medidas necesarias para reforzar la ciberseguridad en las organizaciones.

El ESET Security Report (ESR) se elabora en base a encuestas realizadas a profesionales del sector IT o vinculados a la seguridad, y complementado con datos extraídos de su propia telemetría. Algunos de los datos más relevantes de esta edición destacan que el 30% de las organizaciones latinoamericanas sufrió al menos un incidente de seguridad en 2023, y que 1 de cada 5 empresas podría haber sido atacada sin saberlo debido a la falta de tecnología adecuada para poder detectarlas. Además, se destaca que el 23% de las empresas sufrió intentos de ataque de ransomware en los últimos dos años.

Las amenazas más comunes detectadas

De las detecciones registradas por ESET en 2023 en América Latina, los códigos maliciosos más activos corresponden a los exploits para las vulnerabilidades CVE-2017-11882 (45%) y CVE-2012-0143 (36%) en Microsoft Office, que ya cuentan con parches disponibles. El 81% de los ataques explotaron estas vulnerabilidades antiguas en Office.

“A lo largo del último año hemos visto varias campañas de malspam que utilizan exploits que apuntan a estas dos vulnerabilidades. Estas campañas se registraron de manera sostenida y en muchos casos propagaban malware multipropósito, como Troyanos de Acceso Remoto (RAT). El reporte también muestra que existen detecciones para vulnerabilidades más recientes, tanto en Windows como en sistemas Linux.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Con respecto al ransomware, en 2023 esta amenaza continuó siendo muy activa a nivel global y en la región. En consonancia, el ESR mostró que el 23% de las empresas fue blanco de al menos un intento de ataque de ransomware en los últimos dos años y el 96% manifestó que le preocupa esta amenaza. Por último, el 86% de las empresas encuestadas no estaría dispuesta a negociar el pago de un rescate.

¿Qué están haciendo las empresas para protegerse?

Ante este panorama de amenazas, si bien el 28% de las organizaciones encuestadas consideró la ciberseguridad como una máxima preocupación, el 62% considera insuficiente su presupuesto destinado a esa área. Con respecto al ransomware, aunque el 86% de las empresas no estaría dispuesta a negociar el pago de un rescate, solo el 23% cuenta con un seguro contra todo riesgo cibernético.

En cuanto a tecnologías más implementadas, se destacan: el uso de firewall, en un 88% de las organizaciones, soluciones de backup, 85%, y adopción de VPN, en un 80%. En cuanto a soluciones antimalware, estas tecnologías tienen una tasa de adopción por encima de la media, ya que el 64% de las empresas cuenta con esta tecnología. Por otra parte, el 50% de las empresas asegura contar con un segundo factor de autenticación que es una alternativa efectiva para contrarrestar el peligro del uso de contraseñas débiles (causa de muchas de las intrusiones a los sistemas mediante ataques de fuerza bruta).

Por último, en lo que respecta a las acciones de educación y concientización, el 77% considera estar preparado para trabajar de forma remota y segura. Pero, como contraparte, solo el 27% de los colaboradores considera que recibe capacitación periódica en temas de seguridad.

“El panorama de la ciberseguridad en América Latina exige una atención inmediata por parte de las empresas de todos los sectores. Los ataques son cada vez más sofisticados, las amenazas se diversifican y las brechas en la protección son cada vez más comunes. Esperamos que este informe contribuya a mejorar la conciencia sobre la importancia de la ciberseguridad para las empresas de la región.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Para obtener más información, descargue el informe completo.

Fuente: Departamento de Comunicación, ESET Ecuador

¿cómo saber si tus datos fueron expuestos y qué hacer para reducir su impacto?.

ESET ­– Las filtraciones de contraseñas se están volviendo cada vez más comunes, ESET, explica cómo descubrir si tus claves han sido comprometidas y comparte algunos consejos para reducir el impacto de una brecha de datos que haya expuesto tus credenciales.

Este año un informe analizó “la madre de todas las brechas”, la filtración de datos robados durante una serie de ataques a varias empresas y servicios en línea, incluidos LinkedIn y Twitter (ahora X) que, al parecer, incluía 26.000 millones de registros repletos de información confidencial, como datos gubernamentales y credenciales de acceso. Este número de registros comprometidos se suma las anteriores filtraciones conocidas como la filtración de datos de Cam4 que expuso cerca de 11.000 millones de registros, o la llamada Collection No.1, que expuso 773 millones de nombres de inicio de sesión y contraseñas previamente robados de varias organizaciones.

Este contexto ayuda a comprender que, incluso si se aplican estrictas medidas de seguridad personal, las credenciales de una cuenta aún pueden quedar atrapadas en distintas recopilaciones, principalmente debido a brechas en grandes empresas.

Algunas opciones para averiguar si tus credenciales se han visto comprometidas recomendadas por ESET, son:

Haveibeenpwned.com: Este sitio cuenta con una herramienta gratuita que puede decirte cuándo y dónde aparecieron sus datos, como dirección de correo electrónico o contraseñas. Solo hay que introducir la dirección de correo electrónico, hacer clic en “pwned?” y aparecerá un mensaje informándote del estado de seguridad de tus credenciales, así como de la filtración exacta en la que se vieron envueltas. Para los afortunados, el resultado será verde, lo que indica que no ha habido “pwnage”, y para los menos afortunados, el sitio se volverá rojo, indicando en qué filtración o filtraciones de datos aparecieron sus credenciales.

Comprobación de correos electrónicos y contraseñas en haveibeenpwned.com mediante una sencilla consulta de búsqueda

Navegador web: Algunos navegadores web, como Google Chrome y Firefox, pueden comprobar si tus contraseñas han sido incluidas en alguna filtración de datos conocida. Chrome también puede recomendar contraseñas más seguras a través de su módulo de gestión de contraseñas u ofrecer otras funciones para mejorar la seguridad de tus contraseñas.

El gestor de contraseñas de Chrome puede ser muy útil para descubrir si tus datos se han filtrado públicamente.

Sin embargo, es posible que se quiera ir más allá y utilizar un gestor de contraseñas dedicado que tenga un historial probado, incluso mediante un cifrado robusto. Estas herramientas suelen incluir software de seguridad multicapa de buena reputación.

“Los gestores de contraseñas tienen un valor incalculable cuando se trata de hacer malabarismos con una gran colección de credenciales de inicio de sesión, ya que pueden almacenarlas de forma segura y generar contraseñas complejas y únicas para cada una de sus cuentas en línea. No hace falta decir, sin embargo, que necesitas utilizar una contraseña maestra fuerte pero memorable que contenga las mismas. Si bien no son inmunes a ataques, las ventajas como la comprobación de contraseñas filtradas y la integración con los sistemas de autenticación de dos factores (2FA) disponibles actualmente en muchas plataformas en línea, compensan los riesgos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Asimismo, para evitar el impacto de las fugas de credenciales desde ESET recomiendan:

• No confiar únicamente en las contraseñas. Utilizar la autenticación de doble factor (2FA) en todos los servicios que la permitan, -idealmente en forma de una clave de seguridad dedicada para 2FA o una aplicación de autenticación como Microsoft Authenticator o Google Authenticator-. De este modo, será mucho más difícil para los atacantes obtener acceso no autorizado a las cuentas, incluso si han conseguido de algún modo la(s) contraseña(s).

• Evitar que las contraseñas sean simples y cortas, como una palabra y un número. Una buena práctica es utilizar frases de contraseña, que pueden ser más seguras y fáciles de recordar. En caso de duda, se puede utilizar esta herramienta de ESET para generar contraseñas, o comprobarla fortaleza de las ya existentes.

• Utilizar una contraseña distinta para cada una de sus cuentas para evitar ataques como el “credential stuffing”, que se aprovecha de esto para reutilizar las mismas credenciales en varios servicios en línea.

• En cuanto a la seguridad de las contraseñas como tal, evitar escribir los datos de acceso en papel o almacenarlos en una aplicación para tomar notas. También es mejor evitar almacenar las credenciales de la cuenta en los navegadores web, que suelen guardarlas como simples archivos de texto, lo que las hace vulnerables a la filtración de datos por parte de malware.

Por parte de las empresas, ESET aconseja tener en cuenta los siguientes puntos:

• Invertir en soluciones de seguridad, como software de detección y respuesta, que puedan prevenir brechas e incidentes de seguridad.

• Reducir proactivamente su superficie de ataque y reaccionar en cuanto se detecte algo sospechoso. La gestión de vulnerabilidades es crucial, ya que estar al tanto de las lagunas de software ayuda a prevenir su explotación por parte de los ciberdelincuentes.

• No subestimar la importancia de la formación en ciberseguridad y la seguridad de los endpoints y el correo electrónico para el equipo de trabajo. Un ataque se puede desencadenar facilmente, por ejemplo cuando un empleado abre un archivo adjunto de correo electrónico sospechoso o hace clic en un enlace.

• Implementar una solución de prevención de pérdida de datos (DLP) e implantar una sólida política de copias de seguridad. Además, el manejo de grandes volúmenes de datos de clientes y empleados requiere prácticas de cifrado estrictas. El cifrado local de credenciales puede salvaguardar estos datos sensibles, dificultando a los atacantes la explotación de la información robada sin acceso a las claves de cifrado correspondientes.

“En definitiva, no existe una solución única, y cada usuario o empresa debe adaptar su estrategia de seguridad de datos a sus necesidades específicas y adaptarse a la evolución del panorama de las amenazas. No obstante, una combinación de las mejores prácticas de ciberseguridad contribuirá en gran medida a prevenir las filtraciones y violaciones de datos.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Fuente: Departamento de Comunicación ESET Ecuador. Más inf.: 0998605919

A diez años de la filtración de datos más importante registrada hasta el momento, sufrida por Yahoo! en 2013, ESET, compañía de seguridad informática, que afectaron a grandes volúmenes de información confidencial en sistemas de reconocidas empresas.

A diez años de la filtración de datos más importante registrada hasta el momento, sufrida por Yahoo! en 2013, ESET, compañía líder en detección proactiva de amenazas, hace un repaso de los incidentes de brechas de datos. Desde el incidente de Equifax, que afectó a casi la mitad de la población de los Estados Unidos, y parte de Gran Bretaña y Canadá, pasando por la filtración de más de mil millones de datos de ciudadanos de la India, hasta el mayor robo de información vendida en colecciones que sumaron más de dos mil millones de registros.

A continuación, ESET comparte un detalle de las más relevantes filtraciones de datos desde 2013 a la fecha:

1.- Yahoo!: En 2013, la empresa de servicios de internet Yahoo! pasó a la historia por haber sufrido la filtración de datos más importante de los últimos 10 años. En un primer momento, la empresa había reconocido que eran 1000 millones de cuentas las afectadas, pero 4 años después, en 2017, cuando Verizon adquirió a la empresa y realizó una exhaustiva investigación con peritos forenses externos, se pudo tomar real dimensión del ciberataque: Oath, la unidad de internet de Verizon, reconoció que la cantidad usuarios afectados eran más de 3.000 millones, -la totalidad de cuentas de Yahoo! en aquel momento- y, además de enviar mails para notificar a los «nuevos» afectados, publicó en su sitio web información adicional sobre la brecha de 2013.

Ahora bien, ¿qué tipo de información se vio vulnerada con este ataque? El jefe de seguridad de la información en Yahoo!, Bob Lord, afirmó que la filtración incluyó nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash, y en algunos casos preguntas de seguridad y sus respectivas respuestas. La «buena noticia» es que los cibercriminales no lograron el acceso a los datos bancarios o de pago, ya que el sistema comprometido no alojaba este tipo de información.

2.- Marriott Internacional: La cadena hotelera Marriott Internacional fue noticia en 2018 por algo que comenzó a gestarse cuatro años antes y que implicaría casi 400 millones de registros comprometidos: El 30 de noviembre de 2018, Marriott emitió un comunicado en el que aseguraba haber recibido «una alerta de una herramienta de seguridad interna sobre un intento de acceso a la base de datos de reservas de huéspedes de Starwood en Estados Unidos». Durante la investigación se supo que «había habido accesos no autorizados a la red desde 2014».

¿En qué se tradujo esta brecha de datos que pasó totalmente desapercibida durante 4 años? 383 millones de registros resultaron comprometidos e incluían nombres, números de teléfono, detalles del pasaporte, direcciones de correo electrónico y hasta números de tarjetas de crédito encriptados.

Según el New York Times, el ataque podía atribuirse a un grupo de inteligencia chino, cuyo principal objetivo era recopilar datos sobre los ciudadanos estadounidenses. El equipo de investigación que trabajó a partir de una alerta efectuada el 8 de septiembre de 2018, precisó que los cibercriminales se valieron de un troyano de acceso remoto y de una herramienta que encuentra combinaciones de nombres de usuario y contraseñas en la memoria del sistema.

3.- Equifax: Equifax es una de las agencias de informes de crédito más importante de los Estados Unidos. Este dato es clave para entender la criticidad de la filtración que tuvo lugar en 2017 y que puso en riesgo los datos de casi la mitad de los ciudadanos estadounidenses. Durante septiembre de ese año, Equifax anunció haber sufrido una filtración que implicaba datos de 143 millones de personas aproximadamente, es decir, el 44% de la población total de los Estados Unidos. También se vieron afectados clientes de Reino Unido y Canadá. Entre la información a la cual pudieron acceder los ciberatacantes se encontraban nombres de los clientes, números de seguridad social, fechas de nacimiento, direcciones, números de licencias de conducir y también de tarjetas de crédito.

Según el propio Equifax, la filtración se produjo debido a una «vulnerabilidad de una aplicación web para acceder a determinados archivos». El sitio Bloomberg aseguró que la filtración fue posible debido a un parche no realizado a tiempo, el cual estaba disponible dos meses antes del ataque. Las consecuencias no tardaron en llegar: Richard Smith, CEO de Equifax en ese momento, dejó su cargo. La empresa debió afrontar demandas de usuarios e investigaciones de entes de regulación tanto de Estados Unidos, como Reino Unido y Canadá, y sus acciones en bolsa cayeron.

4.- Aadhaar: Aadhaar es la base de datos de identificación más grande del mundo. La creó la Autoridad de Identificación Única de la India en 2009 para que los ciudadanos indios puedan, a través de una tarjeta, acceder a ayuda estatal, comprar una tarjeta SIM de móvil, abrir una cuenta bancaria y realizar diversos trámites burocráticos. Puntualmente, Aadhaar contenía información de más de 1.100 millones de ciudadanos indios, incluyendo también un número de identidad único de 12 dígitos, escaneos de las huellas dactilares y del iris, nombre, sexo y datos de contacto.

Durante enero de 2018 se dio a conocer públicamente el hackeo que sufrió Aadhaar: los ciberatacantes lograron vulnerarla a través del sitio web de Indane, empresa estatal de servicios públicos que estaba conectada a la base de datos gubernamental a través de una interfaz, con el objetivo de recuperar datos almacenados por otras aplicaciones o software. Indane no contaba con los controles de accesos correspondientes y así dejó expuestos los datos de la empresa y de todos los usuarios que poseían una tarjeta Aadhaar. Se convirtió en una de las filtraciones de datos gubernamentales más grandes de la historia: la gran mayoría de la población de la India (se calcula que un 90%) quedó expuesta a ser una potencial víctima de delitos como el robo de identidad y otras estafas. Una investigación que realizó el diario Tribune de la India, demostró que por 500 rupias (algo así como 6 dólares) se podía acceder a estos datos a través de un grupo de hackers que los ofrecían mediante WhatsApp.

5.- Collection #1 al #5: El caso Collection se compuso de una colección de datos que fueron extraídos de diversas brechas antiguas. Entre las cinco entregas que tuvo esta «saga», alcanzó a filtrar el impactante número de 2.200 millones de direcciones de correo y contraseñas.

Todo comenzó a mitad de enero de 2019, cuando se conoció que 773 millones de direcciones de correo únicas y también más de 20 millones de contraseñas habían sido filtradas a través de MEGA y otros foros, mediante un paquete llamado Collection#1. Hacia finales del mes se conocieron otras nuevas cuatro carpetas que formaban parte la misma recopilación. Collection#2, Collection#3, Collection#4, Collection#5 también incluían, entre otros datos, nombres de usuario, direcciones y contraseñas, alcanzando un peso total de 993.36 GB.

El instituto alemán Hasso Plattner realizó una investigación de la filtración, asegurando que el combo completo de las cinco carpetas sumaban 2.200 millones de registros en total. De hecho, en algunos foros se ofrecía el paquete completo, con el detalle del peso de cada carpeta.

“Las filtraciones de datos suelen ser más comunes y frecuentes de lo que desearíamos. Por ello, es muy importante que como usuarios conozcamos si nuestros datos se han filtrado de alguna manera, para así evitar que sean utilizados con fines maliciosos. Sitios como Have I Been Pwned, Identity Leak Checker, HackNotice son algunos de los que permiten saber si nuestra contraseña ha sido filtrada. El siguiente paso consiste en actualizar las claves, eligiendo contraseñas nuevas y más seguras, evitando reutilizar la misma contraseña en más de un servicio. Otra muy buena práctica es activar el doble factor de autenticación en todos los servicios que lo tengan disponible.”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente: ESET – Ecuador