En un intento por frenar la propagación de COVID-19/Coronavirus, cada vez más empresas a nivel mundial están implementando entre sus colaboradores la modalidad de trabajo remoto. Y aunque muchas de ellas han recurrido anteriormente al home office, es probable que otras compañías estén instaurando este sistema por primera vez y aún no son conscientes de los riesgos a los que podrían exponerse si no concientizan a sus empleados ni fortalecen sus sistemas de seguridad informática.
Una vez que notebooks, smartphones o tabletas se llevan fuera de la infraestructura de red de una empresa y se conectan a nuevas redes y Wi-Fi, los riesgos se amplían y aumentan. Según un estudio desarrollado por Kaspersky en conjunto con la consultora de estudios de mercado CORPA, el 25% de los latinoamericanos no cuenta con una computadora portátil destinada únicamente para trabajar y, si la tiene, el 30% de ellos la conecta a una red pública inalámbrica (cafés, restaurantes y aeropuertos) cuando está fuera de la oficina. De estos, solo el 8% asegura que se conecta a una red virtual privada (VPN) mientras se encuentra en terreno.
El mismo sondeo evidenció que el 44% de los consultados responde a una política corporativa de seguridad que resguarda el uso de celulares o computadores portátiles, un 35% no se rige por ninguna norma y un 21% desconoce si su compañía tiene alguna implementada.
“El Coronavirus no solo está poniendo en jaque la salud de las personas ya que también está siendo utilizado como gancho por los ciberdelincuentes para propagar malware. Además de un aumento en el trabajo remoto para proteger la salud de los trabajadores, hemos visto cómo delincuentes informáticos intentan aprovechar el interés que ha causado el virus, ocultando archivos maliciosos en documentos que supuestamente se relacionan con la enfermedad, por lo que a medida que las personas continúen preocupadas sobre el brote, es posible que veamos más y más malware oculto en archivos falsos que contienen una variedad de amenazas, desde troyanos hasta gusanos que son capaces de destruir, bloquear, modificar o copiar datos, así como interferir en el correcto funcionamiento de las computadoras”, explica Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
Por ello, añade el especialista, es primordial que las compañías inviten a los colaboradores a ser cautos y precavidos mientras están trabajando desde sus casas, y a que reexaminen sus sistemas de seguridad y de acceso remoto a redes corporativas.
“Las empresas deben comunicarse con sus trabajadores y explicarles claramente los riesgos a los que se exponen tanto ellos como la organización si no se toman los resguardos correspondientes al momento de conectarse a internet, como por ejemplo, si hacen clic en enlaces sospechosos o abren correos de remitentes desconocidos”, recalca Bestuzhev.
Con el fin de que las organizaciones reduzcan los riesgos de ciberataques asociados al trabajo remoto, Kaspersky aconseja lo siguiente:
Proporciona una VPN para que el personal se conecte de forma segura a la red corporativa.
Restringe los derechos de acceso de las personas que se conectan a la red corporativa.
Asegúrate de que el personal sea consciente de los peligros de abrir enlaces y descargar archivos de dudosa procedencia o responder a mensajes no solicitados.
Implementa siempre las últimas actualizaciones de sistemas operativos y aplicaciones.
Protege todos los dispositivos corporativos, incluidos los móviles y las computadoras portátiles, con una solución antimalware adecuada para tu empresa.
Te presentamos una guía con algunas de las técnicas más comunes que utilizan los cibercriminales para engañar a los usuarios.
Los cibercriminales continúan comprometiendo a los usuarios mediante campañas de engaño que utilizan viejas y conocidas técnicas que aún siguen siendo efectivas por la falta de conocimiento acerca de cómo hacer un uso seguro de la tecnología.
No sabes cómo es la URL del sitio que buscas
Es importante que sepas que los cibercriminales utilizan estrategias de Blackhat SEO para posicionar en los primeros resultados de los buscadores sitios que suplantan la identidad de servicios legítimos con el fin de engañar a los usuarios para que ingresen creyendo que están en la página oficial. Por lo tanto, es importante que por más confianza que tengamos en los resultados que nos ofrecen buscadores como Google, Bing, Yahoo u otro, tengamos presente que es posible que un falso sitio aparezca bien posicionado (al menos durante un tiempo) en busca de víctimas distraídas.
Las estrategias SEO (optimización para los motores de búsqueda) son legítimas y son utilizadas en marketing teniendo en cuenta lo que más valoran los motores de búsqueda a la hora de ofrecer los resultados de una búsqueda. Pero cuando un sitio se posiciona mediante Blackhat SEO nos referimos a que utiliza técnicas para engañar a los motores de búsqueda.
2. Te dejas llevar por el mensaje en el asunto de un correo
Para que la víctima no piense demasiado y caiga en el engaño, los cibercriminales aprovechan este campo del correo para intentar manipular las emociones y generar sentimientos que pueden ir desde la euforia hasta la desesperación.
Por ejemplo, correos que nos hablan de premios que hemos ganado, una oportunidad única que no podemos dejar pasar o hasta una herencia que tenemos para cobrar. Mientras que en la vereda de enfrente hemos visto campañas que buscan generar paranoia con correos que nos llegan con nuestra contraseña o número de teléfono en el asunto o que nos dicen que nuestra cuenta ha sido pirateada.
En estos casos, lo primero que debemos hacer es no perder la calma. En segundo lugar, no responder.
3. No revisas la dirección de correo de los remitentes
Que un mensaje incluya tu nombre real no asegura que sea genuino, ya que existen varias maneras de obtener ese tipo de información por parte de los actores maliciosos. Por lo tanto, analizar la dirección del remitente puede ayudarnos a interpretar si estamos, por ejemplo, ante un caso de spoofing, que es la técnica utilizada para enviar mensajes de correo electrónico con una dirección de remitente falso, consiguiendo que la víctima los reciba como si fueran el remitente legítimo.
Por ejemplo, que llegue un correo donde el remitente aparente ser de un banco del cual no somos clientes, es algo que debería encender las alarmas. Lo mismo si nos llega un correo donde el remitente se presente como representante de una empresa o servicio y que el dominio del correo sea de un servicio de correo gratuito, como Gmail o Hotmail, por ejemplo. También es común que en su afán de aparentar que el correo es de una empresa legítima los cibercriminales envíen correos cuyo dominio incluya el nombre de una empresa legítima pero que esté rellenado por otros caracteres, como por ejemplo un dominio que se utilizó en una campaña de phishing que se hacía pasar por Apple que era “@servicedstoredapps.live”. Algunas compañías como Apple ofrecen una guía para reconocer si un correo en nombre de la compañía puede o no ser legítimo.
En algunos casos, los atacantes utilizan técnicas de spoofing más complejas, como la fue el caso de una campaña reciente que notificamos donde los cibercriminales enviaban un correo que simulaba ser desde la propia cuenta del usuario.
4. No revisas las URL de destino
Es importante revisar a dónde nos direcciona el enlace que viene en el cuerpo del correo, ya que muchas campañas de ingeniería social esconden falsas URL que aparentan ser legítimas. Para hacer esto, una técnica común suele ser incluir un enlace en un pasaje de texto, de forma que no se puede ver directamente la URL. Según el contexto del correo, el usuario puede creer que si pincha será direccionado a un sitio que puede resultar siendo otro. Para descubrir esto muchas veces es suficiente pasar el cursor sobre el hipervínculo y nos daremos cuenta si coincide o no el nombre del supuesto sitio, aunque para corroborar esto en el teléfono debemos mantener el texto “apretado” para que nos muestre la URL sin dirigirnos. Algo similar ocurre con las herramientas para acortar enlaces. Al usarlas, el usuario no puede ver el nombre de la URL final. Sin embargo, en caso de sospechar del enlace, es posible averiguar si se trata de un engaño o no mediante algunas herramientas que permiten descubrir el contenido del enlace antes de abrirlo, como por ejemplo: Unshorten.It.
Otra técnica recurrente es la de ataques homográficos, donde los actores maliciosos registran dominios que a simple vista parecen ser legítimos pero que pequeñas variaciones en uno de los caracteres hacen que sea difícil darse cuenta que en realidad se trata de un sitio falso.
5. Compartes información personal a través de las redes sociales
Muchos usuarios no son conscientes de los riesgos de la sobreexposición en las redes sociales y comparten datos personales como el número de documento, fecha de nacimiento, número de teléfono, dirección domiciliaria, entre otros tantos más. A veces, una simple imagen que contenga esta información puede llegar a un individuo de dudosa ética. Lo mismo cuando nos vamos de vacaciones y sin querer, informamos a todos los que puedan ver nuestros perfiles que no estamos en casa.
Por lo tanto, además de pensar dos veces antes de compartir algo en las redes sociales, es importante configurar bien la privacidad de cada una de las plataformas que utilizamos para filtrar quien puede ver nuestras actividades. De lo contrario, estamos expuestos a que un cibercriminal pueda construir un perfil bastante preciso sobre un blanco de ataque simplemente recopilando información de sus perfiles y las actividades que comparte.
Por último, piensa de la manera que lo haría un atacante: ¿la información que comparto puede ser utilizada en mi contra? En caso de que la respuesta sea sí, mejor no compartirla.
6. Confías en un sitio web solo porque tiene HTTPS
Lamentablemente, ya no basta con que un sitio tenga HTTPS y un candado para determinar que se trata de un sitio seguro. Si bien en un primer momento las páginas fraudulentas utilizaban protocolo HTTP, en la actualidad los atacantes pueden hacer lo mismo y obtener un certificado SSL/TLS válido y de manera gratuita.
7. Confías demasiado en un servicios o plataformas de uso masivo
No se trata de desconfiar de todo, sino de estar informado de cuáles son los vectores de ataque utilizados por los cibercriminales. No todo lo que vemos en redes sociales es legítimo. De hecho, en estas plataformas los cibercriminales crean cuentas falsas intentando suplantar la identidad de compañías legítimas e incluso realizan campañas publicitarias con falsas promociones (malvertising) que buscan que los usuarios pinchen en un enlace para luego robar sus datos. Algo similar sucede con los anuncios publicitarios que se muestran en la red de publicidad de Google, que ha sido utilizada por cibercriminales para distribuir malware. De hecho, Google lanzó una guía para prevenir esta práctica en la que además ofrece recomendaciones para usuarios y anunciantes.
8. No dudas en abrir un archivo adjunto que viene en un correo no solicitado
Los usuarios deben saber que un banco o una entidad seria no suele enviar archivos adjuntos sin que exista una solicitud previa de nuestra parte. Por lo tanto, el hecho de que llegue un archivo adjunto que no solicitamos debería ser motivo de sospecha inmediata.
En segundo, las entidades financieras, por ejemplo, nunca solicitarán por correo que envíes tus credenciales de acceso al sistema de banca online o los datos de tus tarjetas de crédito. Por lo tanto, en caso de recibir una petición de este tipo deberías desconfiar.
Tampoco es un comportamiento normal que una entidad que se precie de ser seria solicite a través de un mensaje que inicies sesión desde un enlace que viene en el mensaje.
Un ejemplo de qué cosas debemos esperar y cuáles no de una comunicación que nos llega de una institución financiera, lo resume el Banco Santander en una guía para identificar un correo fraudulento.
Esperamos que estas consideraciones sean de utilidad para que los usuarios puedan disfrutar de los beneficios de la tecnología de una forma segura.
Según datos publicados por Google, una de las razones por las que el phishing sigue siendo efectivo es que el 45% de los internautas no comprende bien qué es.
En una de las charlas que tuvieron lugar en la reciente edición de la conferencia de seguridad BlackHat, que se celebró en agosto, Elie Bursztein de Google y Daniela Oliveira, de la Universidad de Florida, explicaron por qué los ataques de phishing siguen siendo tan efectivos en la actualidad. En este sentido, los especialistas identificaron algunos puntos clave para explicar este fenómeno, entre los cuales está: su constante evolución, las técnicas de persuasión que utilizan y el poco conocimiento de los usuarios acerca de qué es el phishing.
Uno de los métodos más comunes mediante el cual los cibercriminales intentan llevar adelante sus acciones maliciosas es a través de correos de phishing. La mayoría de los usuarios experimentó alguna vez abrir un correo de esta naturaleza en los que se suplanta la identidad de alguna marca solicitando que hagamos clic sobre un enlace o descarguemos un adjunto, ya que después de todo, se trata de una práctica que ya tiene más de 20 años. Sin embargo, continúa siendo al día de hoy una de las formas más comunes que utilizan los cibercriminales en su intento por llevar adelante sus acciones maliciosas.
Pero, antes de continuar, aclararemos qué es el phishing por las dudas que alguno de los lectores no lo tenga del todo claro. Por phishing nos referimos a mensajes maliciosos distribuidos a través de medios digitales, tales como correo electrónico o WhatsApp, que buscan influenciar a un usuario para que lleve adelante una acción que va en contra de sus intereses, como puede llegar a ser realizar clic en un enlace malicioso, abrir un adjunto malicioso e incluso leer información falsa. Dicho esto, las consecuencias de un phishing pueden ser desde la instalación de un software malicioso, el robo de credenciales de acceso a cuentas y/o la manipulación de la opinión de los usuarios.
Para comprender el papel protagónico que tiene el phishing en el escenario de la seguridad actual, Google, por ejemplo, bloquea más de 100 millones de correos de phishing por día. Por otra parte, según un informe global publicado este año por Verizon, el 32% de las brechas de seguridad que se conocieron en 2018 comenzaron por un phishing y el 78% de los incidentes de seguridad que tenían como objetivo tareas de espionaje o la instalación de un backdoor, fueron llevados adelante mediante ataques de phishing.
La constante evolución del phishing
La constante evolución del phishing es una de las claves que explican su vigencia. Según datos compartidos durante la presentación en BlackHat, el 68% de los correos de phishing bloqueados de manera diaria por Gmail están compuestos por nuevas variantes que nunca antes se habían visto, lo que obliga a los mecanismos de defensa humanos y tecnológicos a tener que adaptarse rápidamente para prevenir estos ataques. A esto se suma un problema de educación, ya que según cifras compartidas por los especialistas el 45% de los internautas no comprende bien qué es el phishing.
El arte de la persuasión a través de los correos
Otro aspecto que explica la vigencia del phishing es que los responsables detrás del diseño de estas campañas se han convertido en expertos de la persuasión. Según una investigación realizada por Oliveira, los cibercriminales se han transformado en maestros en el manejo de técnicas para la manipulación psicológica. Nuestra habilidad para detectar un engaño difiere de persona a persona, dado que existen una gran cantidad de factores que influyen en la decisión que tomamos cuando estamos frente a un correo de phishing, tales como la personalidad, el estado de ánimo en un momento específico, la motivación cognitiva, la inteligencia emocional e inclusive un factor hormonal. En este sentido, cuando estamos de buen humor y nuestros niveles de oxitocina, serotonina y dopamina aumentan, somos más propensos a ser engañados, mientras que cuando los niveles de cortisol son elevados (comúnmente asociados al estrés) es más probable que seamos más cautelosos y estemos más atentos.
Según describe Oliveira, existen tres tácticas persuasivas comunes en los correos de phishing: el uso de una autoridad respetada por el usuario, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica en caso de ignorarlo); y por último, la apelación al factor emocional.
Muchas campañas de phishing son dirigidas a blancos específicos
Otro aspecto para comprender por qué sigue siendo utilizado el phishing por los actores maliciosos es la personalización de las campañas. A partir de los correos que Google bloquea de manera diaria elaboraron una categorización según el grado de especificidad de sus blancos de ataque. En este sentido, están por un lado los ataques conocidos como “spearphishing”, que son aquellos correos personalizados y que van dirigidos a una persona específica dentro de una organización. De hecho, en WeLiveSecurity hemos publicado análisis de una gran cantidad de campañas de malware que comienzan con este tipo de correos especialmente dirigidos, como fue a principios de agosto el análisis de Machete y su campaña de ciberespionaje en curso que apunta a organizaciones gubernamentales de América Latina.
Otra categoría, a la cual denominaron “boutique phishing”, corresponde a campañas de phishing personalizadas –no tanto como las anteriores- que apuntan a un par de decenas de individuos u organizaciones. Por último, la tercera categoría corresponde a los correos de phishing masivos, que son aquellos que van dirigidos a miles de individuos u organizaciones.
Un dato interesante es que las campañas de “boutique phishing” duran apenas siete minutos, mientras que las campañas masivas están activas en promedio durante 13 horas.
En cuanto a los blancos de ataque, según Google la mayoría de las campañas de phishing están dirigidas a Gmail; siendo muchas de las campañas dirigidas hacia usuarios finales, mientras que las dirigidas a perfiles empresariales apuntan a un número limitado de individuos. Asimismo, el perfil empresarial es casi cinco veces más apuntado que los usuarios finales, seguido por organizaciones no gubernamentales.
En cuanto a la suplantación de identidad, en el 42% de los ataques de phishing las páginas utilizadas simulan ser sitios legítimos de servicios de correo con el objetivo de que las víctimas ingresen sus claves de acceso. En segundo lugar, se suplanta la identidad de servicios en la nube con un 25%, seguido por páginas que simulan ser de instituciones financieras con un 13%, sitios de ecommerce en un 5% y de servicios de envío en un 3.9%.
Cómo evitar ser víctima del phishing
Si bien quienes están detrás de las campañas de phishing han evolucionado logrando que luzcan cada vez más convincentes, la educación sigue siendo un factor clave para reducir el número de víctimas de este tipo de ataque. En este sentido, Google publicó un test online para poner a prueba la capacidad de los usuarios de reconocer un correo de phishing en un intento de capacitar y que cada vez más personas sean capaces de reconocer si están frente a un correo sospechoso o no.
Otro factor clave para reducir el número de víctimas del phishing es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible, ya que esta capa de seguridad adicional que se agrega ayuda a evitar que terceros puedan acceder a nuestras cuentas en caso de ser víctimas del robo de nuestras credenciales de acceso en una brecha. De hecho, un estudio publicado por Google este año demostró que el doble factor de autenticación es la solución más efectiva para prevenir el secuestro de cuentas.
El primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse un segundo para pensar, por lo que recomendamos la lectura de 8 señales que indican que eres un blanco fácil de las estafas por Internet, artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios.
El phishing sigue siendo un método de ataque importante porque permite que los ciberdelincuentes accedan a un gran número de personas. Por lo general, los hackers distribuyen este tipo de estafa de suplantación de identidad simulando ser representantes de las compañías donde los usuarios tienen alguna cuenta registrada para robar información privada, como la que comenzaron a distribuir este miércoles a través de la aplicación de mensajería WhatsApp. Esta última campaña tuvo como protagonista a la famosa compañía de indumentaria Adidas quien, aparentemente, regala un cupón para adquirir uno de los 300 pares de zapatillas. Para acceder a este «beneficio» había que compartir el mensaje con al menos 20 grupos de chats o amigos. Este tipo de estafas en Internet provienen generalmente de distintos sitios web falsos.
Los especialistas en seguridad informática señalan que los ciberdelincuentes crea páginas muy similares a las legítimas para engañar exitosamente a las personas. Las similitudes visuales suelen ser suficientes para confundir e inducir al usuario a que ingrese sus credenciales y otros datos confidenciales solicitados para acceder a un determinado premio.
Históricamente, la forma más común de difundir sitios web de phishing fue a través de correos electrónicos maliciosos, pero también se propagan a través de anuncios pagados que aparecen en los resultados de búsqueda o mensajes que son fácilmente viralizados a través de plataformas de mensajería, explican especialistas de la firma de seguridad informática Avast.
Otros vectores de ataque incluyen una técnica denominada clickbait. Los delincuentes cibernéticos suelen emplearla en las redes sociales al prometer algo, como un teléfono gratuito o hasta automóviles, para alentar a los usuarios a hacer clic en enlaces maliciosos.
Cuatro recomendaciones para protegerse del phishing, según los especialistas:
1. En primer lugar, el usuario deberá tener instalada en su teléfono una solución antivirus. El software actúa como una red de seguridad que protege a los usuarios en Internet.
2. No haga clic en los enlaces ni descargue archivos de correos electrónicos sospechosos. Evite responderles también, incluso si supuestamente provienen de alguien en quien confía. En su lugar, póngase en contacto con esas entidades a través de un canal separado y asegúrese de que el mensaje realmente proviene de ellas.
3. Introduzca directamente la URL de un sitio web en su navegador siempre que sea posible, para que termine visitando el sitio que desea visitar, en lugar de una versión falsa
4. No confíe únicamente en el candado verde HTTPS. Si bien esto significa que la conexión está cifrada, el sitio aún podría ser falso. Los ciberdelincuentes cifran sus sitios de phishing para engañar aún más a los usuarios, por lo que es importante verificar que el sitio que está visitando sea el verdadero.
Los fallos ya fueron reportados a la compañía a finales de 2018 y uno de los métodos de explotación de ya fue reparado. Aún así, desde Facebook consideran que es falso sugerir que existe una vulnerabilidad.
Una vulnerabilidad en la app de mensajería permite manipular mensajes enviados tanto de manera privada como a nivel de grupo. En caso de que un actor malintencionado aproveche estos fallos podría crear información falsa y crear fraudes, publicó BBC.
Durante una presentación que realizaron en la conferencia Black Hat, evento que se está llevando adelante desde el 3 al 8 de agosto en Las Vegas, Estados Unidos, los investigadores, Dikla Barda, Roman Zaikin, y Oded Vanunu, presentaron una herramienta utilizada como prueba de concepto.
La vulnerabilidad puede ser explotada a través de tres diferentes métodos de ataque que involucran el uso de técnicas de ingeniería social para engañar al usuario final, explicaron los investigadores de CheckPoint.
El primer método es el uso de la función “citar” en una conversación de grupo para cambiar la identidad de la persona que lo envía, incluso si no es miembro del grupo. El segundo consiste en modificar el texto de una respuesta, mientras que el tercero método permite engañar a un usuario y hacerle creer que estaba enviando una respuesta de manera privad a una sola persona, cuando en realidad la estaba enviando a todo un grupo.
El fallo que permite el tercer método de explotación ya fue reparado por Facebook, pero según explicó Vanunu a BBC, la compañía propietaria de WhatsApp les explicó que los otros problemas no se han podido resolver debido a limitaciones de infraestructura en WhatsApp. De acuerdo al medio, la tecnología de cifrado que utiliza la app hace que sea extremadamente difícil para la compañía poder monitorear y verificar la autenticidad de los mensajes enviados por los usuarios.
Por otra parte, consultado el investigador acerca de por qué lanzar una herramienta que podría facilitar a terceros explotar la vulnerabilidad, Vanunu dijo que espera que el tema genere discusión.
“La compañía revisó estos temas hace un año atrás y asegura que es falso sugerir que existe una vulnerabilidad con la seguridad que le aplican a WhatsApp”, explicó un vocero de Facebook a Bloomberg. Por otra parte, desde el lado de WhatsApp opinan que “el escenario descrito por los investigadores equivale a alterar la respuesta de alguien en una cadena de correos”. Asimismo, agregan que “debemos tener en cuenta que considerar las inquietudes planteadas por los investigadores podría hacer que WhatsApp sea menos privado”.
El fallo, que ya fue parcheado, explotaba un error en el mecanismo de recuperación de contraseñas en la versión móvil que permitía a un atacante secuestrar cuentas sin necesidad de interacción por parte de la víctima.
El investigador de seguridad Laxman Muthiyah reportó a Facebook el hallazgo de una vulnerabilidad en Instagram que hubiese permitido a un atacante secuestrar de manera remota cualquier cuenta sin necesidad de interacción por parte de los propietarios de las mismas.
Según explicó Laxman, luego de que Facebook aumentara los montos de las recompensas que paga como parte de su programa de bug bounty, tanto para el hallazgo de vulnerabilidades críticas como de secuestro de cuentas, decidió investigar en busca de algún fallo que pueda reportar. Así fue que encontró esta vulnerabilidad que le significó una recompensa de $30.000.
El fallo radicaba en el mecanismo de recuperación de contraseñas de la versión móvil de Instagram, el cual permite a los usuarios recuperar el acceso a sus cuentas en caso de olvidar su clave de acceso. En este sentido, un usuario de Instagram que se olvide de su contraseña y decida resetearla deberá demostrar su identidad confirmando la recepción de un código de seis dígitos que le llegará a través de un mensaje SMS al número telefónico asociado. Este código, que expira pasados los 10 minutos, deberá ser ingresado por el usuario para poder cambiar su contraseña.
Así fue que el investigador probó la opción de realizar ataque de fuerza bruta e ingresar una gran cantidad de combinaciones posibles. Si bien el sistema permite un número máximo de intentos, este límite de tiempo puede evadirse mediante solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechándose también de lo que se conoce como condición de carrera (en inglés race hazard o race condition). De esta manera, el envío de una gran cantidad de solicitudes de combinaciones utilizando múltiples IP permitieron a Laxman enviar una gran cantidad de combinaciones sin tener problemas de límite.
El investigador demostró la presencia de la vulnerabilidad a través de un video en el que logró secuestrar una cuenta de Instagram al enviar 200.000 combinaciones de códigos diferentes y utilizando una gran cantidad de IP diferentes.
Según explicó el investigador, en un escenario de ataque real un actor malintencionado necesitaría 5.000 IPs para secuestrar una cuenta, algo que se puede obtener mediante un proveedor de servicios en la nube como Amazon o Google, lo cual requeriría una inversión de aproximadamente 150 dólares. De esta manera es posible realizar el ataque completo probando con una combinación de 1 millón de códigos.
La vulnerabilidad, que ya fue parcheada, sirve como ejemplo para demostrar que incluso las grandes plataformas y servicios son vulnerables a posibles ataques y/o fallos de seguridad, por lo que es importante que no dejemos la seguridad librada al azar o en manos de los que proveen los servicios que utilizamos. Es importante que como usuarios hagamos nuestra parte para reforzar la seguridad, ya sea mediante el uso del doble factor de autenticación, utilizando contraseñas únicas por servicio o mediante otras acciones.
Investigadores de ESET descubren esquema de engaño que aprovecha la popularidad de la app de modelado de rostros, FaceApp, y que intenta engañar a los usuarios para que descarguen una falsa versión “Pro”
El reciente auge de la aplicación FaceApp atrajo a los estafadores, quienes diseñaron modelos de engaño para intentar sacar provecho del buen momento por el que atraviesa la app.
La aplicación FaceApp, que ofrece varios filtros que modifican el rostro, está disponible tanto para Android como para iOS. Si bien la aplicación en sí es gratuita, algunas funciones, marcadas como “PRO”, son pagas. La reciente preocupación sobre cómo gestiona la privacidad FaceApp acaparó la atención de una gran cantidad de medios internacionales.
Los estafadores han estado intentando aprovechar esta ola de interés por la app de distintas maneras, por ejemplo, utilizando como señuelo una falsa versión “Pro” –de forma gratuita- de la aplicación. Los estafadores también han realizado un esfuerzo para que se difunda esta versión ficticia de la aplicación que en estos días se ha vuelto viral –al momento de escribir este artículo, una búsqueda en Google de “FaceApp Pro” arroja cerca de 200.000 artículos.
Hemos visto dos formas en la que los estafadores intentan ganar dinero con la no existente versión “Pro” de FaceApp.
Sitios web falsos
En una de las estafas que hemos visto, los atacantes han utilizado un sitio web falso en el cual se ofrece la versión “premium” de FaceApp de forma gratuita.
En realidad, los estafadores engañan a sus víctimas para que hagan clic en una innumerable cantidad de ofertas para que instalen otras aplicaciones pagas, así como suscripciones, anuncios, encuestas, etc. Las víctimas también reciben solicitudes de varios sitios web para permitir que se desplieguen notificaciones. Cuando las habilitan, estas notificaciones llevan a nuevas ofertas fraudulentas.
Durante nuestra prueba, terminamos con la versión regular y gratuita de FaceApp que también está disponible en Google Play. Sin embargo, en lugar de usar Google Play como fuente, descargamos la aplicación de un popular servicio de intercambio de archivos (mediafire.com), como se ve en la Figura 3. Esto significa que los usuarios podrían fácilmente terminar descargando malware si esa era la intención de los atacantes.
Videos de YouTube
El segundo tipo de estafa incluye videos de YouTube, a través de los cuales también se promocionan enlaces de descarga para una versión gratuita “Pro” de FaceApp. Sin embargo, los enlaces de descarga acortados apuntan a aplicaciones cuya única funcionalidad es hacer que los usuarios instalen varias aplicaciones adicionales desde Google Play. Uno de los videos de YouTube, como se puede observar en la Figura 4, tiene más de 150,000 visitas al momento de escribir este artículo.
Si bien este tipo de estafa se suele utilizar simplemente para desplegar anuncios, los enlaces acortados podrían llevar a que los usuarios instalen malware con un solo clic. Hemos visto que esto suceda en el pasado, por ejemplo, con el videojuego Fortnite siendo utilizado como señuelo.
Si bien en el enlace mencionado se hizo clic más de 96.000 veces, este dato no nos dice mucho sobre el número de instalaciones reales (aunque es cualquier empresa grande quisiera tener esa tasa de clics tan alta).
Conclusión
Todo lo que esté en boga atrae a los estafadores, y cuanto más grande sea la ola, mayor es el riesgo de ser víctima de una estafa. Antes de sumarse y participar de aquello que está de moda o que se está utilizando, como en este caso puede ser la app FaceApp, los usuarios deben recordar atenerse a los principios básicos de seguridad.
Independientemente de lo emocionante que sea el tema, evite descargar aplicaciones de otras fuentes que no sean las tiendas de aplicaciones oficiales, y examine la información disponible sobre la aplicación (desarrollador, clasificación, comentarios, etc.). Especialmente en el ecosistema de Android, existen engaños alrededor de cada aplicación o juego popular. Sin embargo, son buenas las posibilidades de que los usuarios preocupados por la seguridad puedan reconocer las falsificaciones de ofertas genuinas. Como medida de seguridad en caso de que un usuario caiga víctima de una estafa, tener una aplicación de seguridad de buena reputación instalada en su dispositivo móvil puede resultar de gran ayudar para evitar consecuencias negativas.
Desde Ser consideramos que la incorporación de hábitos de seguridad permite a los usuarios disfrutar más del uso de la tecnología (y evitar dolores de cabeza).
Denuncia cualquier tipo de abuso que veas en las redes sociales
Las redes sociales son muchas veces el escenario en el que se producen delitos informáticos. Ya sea casos de grooming, acoso u otro tipo, es importante realizar la denuncia. Algunas redes sociales como Facebook ofrecen una guía para reportar un hecho inapropiado que contempla casos que van desde un perfil falso, contenidos ofensivos o algún otro tipo de delito de carácter sexual, entre otros. En Argentina, la ONG Argentina Cibersegura elaboró una guía para saber cómo denunciar un delito informático.
Si trabajas en una institución de Argentina o México, recuerda qué las ONG Argentina Cibersegura y México Ciberseguro ofrecen charlas de concientización sobre seguridad en entornos digitales de manera gratuita y para cualquier público de interés.
No compartas noticias y concursos de dudosa reputación
Las noticias falsas son un problema, ya que, dada la naturaleza de las redes sociales y que muchos de estos mensajes apelan a lo emocional, suelen viralizarse rápidamente. En el caso de los concursos, recuerda en primer ligar revisar los términos y condiciones, que el organizador sea fácilmente identificable, que exista una fecha para la entrega de premio y corrobora que haya otros participantes. En caso de que sea demasiado tarde, si el concurso es promocionado a través de Facebook utiliza la opción “denunciar”.
Si estás al tanto de un ataque o estafa comparte la información en redes sociales
Si te llega un mensaje a través del correo o redes sociales que se trate de una estafa, avisa a quien te lo envió y avisa a tus contactos. También infórmalo a través de las redes sociales para que tus contactos no caigan en la trampa y también puedan alertas a otras personas en caso de que lo reciban.
Revisa qué permisos le das a las apps asociadas a tus perfiles
Luego del escándalo de Facebook y Cambridge Analytica cuando se supo que la red social cedió datos privados que fueron recolectados a través de una aplicación que los usuarios instalaban sin leer los permisos que otorgaban, quedó en evidencia la falta de responsabilidad y de consciencia con respecto al valor de la información personal. A lo largo del último año hemos visto varios casos donde se intenta engañar a los usuarios a través de los permisos que solicita la app que se desea instalar, como fue el caso de una gran cantidad de falsas apps de Fortnite para Android.
Configura la privacidad de tus cuentas y/o perfiles
El excesivo intercambio de información digital puede tener sus consecuencias, sobre todo en redes sociales. Es por eso que es recomendable limitar al máximo el acceso a lo que otros pueden ver, hacer revisiones de los permisos que concedes con cierta regularidad y configurar mejor las opciones de privacidad disponibles en cada una de las redes sociales que utilices. En este sentido, lo más seguro siempre es evitar publicar aquello que no te gustaría que el público vea. Asimismo, piensa como un atacante: ¿la información que compartes puede ser utilizada en tu contra? Si es así, mejor no la compartas.
Muchas personas no desean exponerse en las redes sociales y esa decisión debe ser respetada. Por lo tanto, antes de etiquetar a un amigo, conocido o contacto, piénsalo dos veces. Incluso cuando no sea una imagen personal o de un evento de la vida real, sino el uso de una etiqueta sobre una imagen graciosa, ya que la misma puede no resultarle divertida a la persona que fue etiquetada.
No compartas ni envíes archivos antes de comprobar que son seguros
Es común que a través de los archivos adjuntos los atacantes infecten a sus víctimas. Estos pueden llegar a través del correo, las redes sociales o servicios como WhatsApp. Por eso es importante que, antes de reenviar cualquier archivo a uno de tus contactos, te asegures de tomarte unos segundos para corroborar que el archivo proviene de una fuente confiable. En el siguiente enlace ofrecemos algunos consejos para averiguar si un archivo es malicioso o no.
Actualiza tus contraseñas
Otro ítem que deberías agregar a tu lista de resoluciones para el año que comienza es actualizar tus contraseñas. Si bien puede ser un dolor de cabeza estar cambiando las claves de acceso para cada una de tus cuentas, hacerlo puede evitarte complicaciones aún mayores. Para ayudarte a tener que recordar múltiples contraseñas distintas para cada una de tus cuentas, puedes apoyarte en el uso de gestores de contraseñas, como KeePass. Con esta herramienta podrás almacenar el nombre de usuario y clave de acceso de cada plataforma y actualizar la información cada vez que hagas un cambio.
Activa el doble factor de autenticación
Activa el doble factor de autenticación en cada uno de los servicios que sea posible (siempre y cuando esté disponible), como es en el caso del correo si utilizas Gmail, Facebook, Instagram, Twitter u otras plataformas. Es una capa de seguridad adicional que ayuda a evitar que alguien pueda acceder a tus cuentas sin tu consentimiento. Para más información, visita el siguiente artículo donde explicamos qué es y por qué es necesario el doble factor de autenticación.
Actualiza tus dispositivos
Un hábito que sin dudas deberías incorporar y que siempre pregonan los especialistas en seguridad es el de mantener tus equipos y dispositivos al día con las últimas actualizaciones. Muchos ataques informáticos se han provocado a través de la explotación de vulnerabilidades que han sido parcheadas con las actualizaciones que lanzan los fabricantes de software, como fue el ataque del ransomware WannaCry, que se aprovechó de una vulnerabilidad en equipos que utilizaban Windows, pese a que el fabricante del sistema operativo, Microsoft, había lanzado un parche para reparar este fallo pocos meses antes del masivo brote que tanto daño causó.
Respalda aquella información que creas importante (de manera regular)
Finalmente, para el 2019 recomendamos que adoptes el hábito de respaldar tu información. Nunca se sabe cuándo uno puede ser víctima de un malware o de algún problema que afecte a nuestros equipos, como puede ser incluso el robo de nuestra computadora o teléfono. En situaciones como estas, contar con un respaldo de nuestra información pasa a ser invalorable. No esperes a sufrir un incidente para respaldar tus fotos, videos, archivos u otro tipo de material. Que el 2019 sea el año en el que tengas todo tu material debidamente respaldado y seguro.
Millones de personas eligen claves fáciles de adivinar a la hora de (no) proteger sus datos.
Elegir una contraseña es un tema cada vez más complejo. Que si tiene más de ocho caracteres, que tenga mayúsculas, minúsculas, números o símbolos. Que no se repita con las últimas tres y una eterna lista de condiciones que termina, casi siempre, en el olvido de la combinación que usamos.
nos cansamos de alertar cuáles son las contraseñas más usadas, pero el hombre es el único animal que se tropieza dos veces con la misma piedra y miles de usuarios siguen usando claves vulnerables.
Un reciente análisis del Centro de Ciberseguridad Nacional del Reino Unido (NCSC, por sus siglas en inglés) demostró que millones de personas usan contraseñas fáciles de adivinar para proteger las cuentas de correo electrónico, homebanking o redes sociales.
El estudio, realizado con datos de cuentas (usuario y contraseña) que fueron publicados en la web tras filtraciones globales masivas, analizó las 100 mil password más usadas. El resultado es preocupante: millones de personas «facilitan el trabajo de los ciberdelincuentes al usar claves débiles o previsibles».
La secuencia numérica «123456» es la clave más utilizada para servicios online, según un estudio realizado en el Reino Unido. Más de 23 millones de personas en el mundo usan esa combinación para «asegurar» sus perfiles.
La segunda que más veces apareció en la web fue «123456789«, con casi ocho millones de usuarios. El podio lo completa «qwerty» (la combinación de las primeras seis letras del teclado, con 3,8 millones). «Password» fue la elegida 3,6 millones de veces y «1111111» cierra el top five con 3,1 millones.
Entre otros hallazgos, la investigación mostró que cientos de miles de personas eligen como clave de seguridad los nombres de personajes ficticios, como superman, pokemon o batman. Otros, en cambio, se deciden por palabras relacionadas a sus equipos de fútbol o a artistas famosos.
A pesar de las miles de recomendaciones, un gran porcentaje de los usuarios usan contraseñas fáciles de adivinar a la hora de (no) proteger cuentas en diferentes sitios, desde el homebanking hasta los correos electrónicos, redes sociales o servicios de compras online.
Según el Centro de Ciberseguridad Nacional del Reino Unido, el objetivo de la investigación fue «crear conciencia sobre los riesgos frente a los que las personas se exponen en Internet y ayudar a los desarrolladores y administradores de sistemas a proteger a sus usuarios».
El análisis surgió de los datos conseguidos por Troy Hunt, el creador del sitio «Have I been pwned?«, que se encarga de recopilar claves vulneradas en miles de plataformas digitales. «Tomar buenas decisiones con la contraseña es el mayor control que los consumidores tienen sobre su propia postura de seguridad personal», explicó el experto en seguridad informática.
El primer jueves del mes de mayo se celebra el Día Mundial de la Contraseña, una fecha que busca concientizar sobre la necesidad de cuidar al máximo este mecanismo de seguridad en dispositivos electrónicos.
Una forma de protegerse de posibles ciberataques consiste en conocer los tipos de ataques y las tácticas más habituales de los cibercriminales, así como los errores que comenten los usuarios con el objetivo de evitar caer en ellos.
Por fuerza bruta
Una de las tácticas más frecuentes consiste en la «fuerza bruta», como señalan desde Entelgy Innotec Security. El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta, si bien el atacante intenta primero las más comunes, tales como ‘1q2w3e4r5t’, ‘zxcvbnm’ o ‘qwertyuiop’. En este sentido, la combinación numérica ‘123456’ estaba presente en las cuentas hackeadas de más de 23,2 millones de usuarios de todo el mundo, según revela una investigación reciente del Centro Nacional de Ciberseguridad de Reino Unido.
Si introducir una contraseña frecuente no funciona, el cibercriminal tratará de obtener alguna pista consultando información relacionada con el usuario. Para ello, tan sólo necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad.
De diccionario
Otro ataque habitual es el conocido como de «diccionario». Un programa informático prueba cada palabra de un diccionario previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo.
El espía
En el tipo de ataque denominado keylogger, el usuario instala inconscientemente un programa malicioso, conocido como keylogger, al acceder a un enlace o descargar un archivo de internet. Una vez instalado, este captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes. Como señalan desde Entelgy Innotec, este tipo de ataque es «especialmente peligroso» porque registra todo lo que el usuario escribe.
Phishing
En el caso del ataque de phishing, los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al cliquear en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.
Ingeniería social
Los cribercriminales también recurren a técnicas de ingeniería social, que son aquellas que no se llevan a cabo a través de equipos informáticos. La práctica conocida como shoulder surfing, es decir, espiar a un usuario cuando está escribiendo sus credenciales, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, así como la simple tarea de buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología. Una práctica muy común es dejar la contraseña apuntada en un post-it cerca del equipo, lo cual, como advierten desde la compañía de ciberseguridad, es «totalmente desaconsejable».
Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. Los ciberdelincuentes son conscientes de ello y, por tanto, lo aprovechan para robarlas.
En este contexto, la técnica «spidering» emplea una «araña» de búsqueda, muy similar a las empleadas en motores de búsqueda, que va introduciendo los términos. Es un ataque «especialmente efectivo contra grandes empresas», como indican desde Entelgy Innotec, porque «disponen de más información online, así como para obtener contraseñas de redes WiFi, generalmente relacionadas con la propia compañía».
FUENTE: La Voz.
Shopping Basket
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
