Lo último que se tiene en mente cuando registra un dominio y comienza a crear un nuevo sitio web es el DNS de su sitio web. Cuando confía en el servicio DNS de su registrador, está confiando en una empresa que no necesariamente se especializa en DNS administrado. Esto significa que corre el riesgo de que su sitio se caiga o se ralentice. Cuando eso suceda, si su equipo de soporte no tiene conocimientos sobre el servicio DNS, es posible que tenga dificultades para solucionarlo. Como dicen, lo que es gratis no siempre es bueno y es importante comprender todos los riesgos que se corren al utilizar el DNS de su registrador de dominios.
A continuacion les compartimos los 5 características que se veran afectadas si sus DNS nos están administrados correctamente
1. Fiabilidad El principal objetivo de su sitio web es que sea confiable, es decir, que esté siempre disponible cuando usted o sus clientes deseen visitarlo. Si sus DNS fallan su sitio tendrá caidas que podrían ser evitadas.
2. Velocidad Los DNS contribuyen a la velocidad de su sitio web. Un ejemplo de esto es que cuando su cliente intente conectarse a su sitio, hará ping al servidor DNS más cercano a él, asegurándose de que tenga la velocidad más rápida posible. Si se conectan desde San Diego, el sitio haría ping a un servidor de Los Ángeles. ¿En Japón? Hará ping a un servidor en Tokio. Esto garantiza que su sitio se cargue rápidamente, sin importar dónde se encuentren sus clientes.
3. Redundancia Muchos registradores de dominios solo alojan sus DNS en uno o dos servidores, a menudo en el mismo lugar. Esto significa que si sucede algo malo, como un corte de energía o un desastre natural, su sitio web puede fallar por completo. Incluso puede estar inactivo durante un período de tiempo prolongado. Esto se debe a que no comprenden la importancia de la redundancia de DNS.
4. Características El DNS gratuito básico que ofrece un registrador de dominios generalmente carece de funciones de DNS avanzadas, sin brindarle la posibilidad de personalizar el DNS según los deseos y necesidades de su sitio web.
5. Apoyo Cuando una empresa no se especializa en un servicio de DNS, es posible que su equipo de soporte no tenga tanto conocimiento sobre ese servicio. Esto significa que cuando tiene un problema con su DNS, es posible que no puedan solucionar el problema o incluso que no puedan ayudarlo en absoluto. De hecho, muchos grandes registradores subcontratan su apoyo a varios países, lo que hace que sea mucho más difícil obtener ayuda cuando la necesita. Cuando se trata de algo tan técnico como DNS, se necesita un buen soporte.
A pesar del hecho de que muchos registradores han tenido cortes graves y un tiempo de inactividad significativo como resultado, las empresas aún cometen el error de elegirlos para sus servicios de DNS. Estas interrupciones no solo les cuestan tiempo, sino que también cuestan dinero. Es algo fácil de evitar, ya que muchos proveedores de DNS ofrecen un servicio de DNS administrado que es rentable y fácil de usar.
Los accesos RDP ((Protocolos de escritorio remoto por sus siglas en ingles) que no están firmemente asegurados atraen a grupos de ramsonware y en ocasiones hasta mineros de criptomonedas y backdoors.
COVID-19 y su pandemia ha cambiado por completo la naturaleza del trabajo diario, en muchos casos obligando a empleados y empresas a realizar numerosas tareas en remoto. Aprovechando esta situación, los cibercriminales intentan explotar las nuevas oportunidades para aumentar sus ganancias.
La gran mayoría de las tareas que se solían realizar desde oficinas con infraestructura monitoreada y controlada por departamentos de TI, hoy día se realizan en remoto con conexiones muy pobres en materia de seguridad. Debido a esto se ha generado un cambio importante en la dinámica de muchos sectores a nivel global; hoy día gran parte del trabajo es realizado a través de dispositivos hogareños por medio de acceso a sistemas confidenciales de la red corporativa (RDP de windows).
A pesar de la importancia de los RDP, como así también otros servicios de acceso remoto, las empresas suelen descuidar su protección y configuración, sumado a esto gran parte de los colaboradores utilizan contraseñas sencillas en vez de servicios de doble autenticación (A2F), dejando libre el camino para que los ciberdelincuentes sin mayores trabas comprometan los sistemas de una organización completa. Esta probablemente sea una de las razones por las cuales los RDP han sido el objetivo elegido por los operadores de ramsonware, los cuales suelen atacar por medio de fuerza bruta redes inseguras, elevarse sus permisos a nivel de administrador para luego deshabilitar o desinstalar soluciones de seguridad, permitiendo que el ramsonware se ejecute cifrando archivos cruciales para la víctima.
Protección contra ataques de fuerza bruta
Para abordar el riesgo antes descripto desde Ser Informática estamos trabajando con varias herramientas que nos permiten evitar dichos ataques e ingresos de varias maneras, asegurando transparencia en las conexiones de trabajadores remotos utilizando medidas de seguridad extras como la A2F, blindando así la seguridad y datos de cualquier empresa que utilice nuestros servicios.
Por medio de sistemas anti-ramsonware también podemos bloquear intentos de conexiones desde una pc a servidores tildados en nuestra base de datos como posibles atacantes, cortando de raiz la amenaza de ramsonware por ejemplo desde un correo electrónico malicioso o vínculos enviados por medio de redes sociales o servicios de mensajería instantánea
Según los datos que aporta la telemetría de ESET, empresa de seguridad informática de renombre, la gran mayoría de IP bloqueadas entre enero y mayo de 2020 se detectaron en Estados Unidos, China, Rusia, Alemania y Francia.
Los países que tenían el porcentaje más grande de direcciones IP apuntadas fueron Rusia, Alemania, Japón, Brasil y Hungría.
Cómo configurar el acceso remoto correctamente
A pesar de constantes avisos que brindamos desde Ser Informática, creemos importante volver a enunciar algunas recomendaciones para evitar este tipo de ataque creciente:
Deshabilite los servicios RDP expuestos a internet. Si eso no es posible, minimice la cantidad de usuarios que pueden conectarse directamente a los servidores de la organización a través de Internet.
Establezca como requisito contraseñas fuertes y complejas para todas las cuentas que pueden iniciar sesión a través de RDP.
Durante la pandemia crecen los ataques de fuerza bruta dirigidos a RDP
Utilice una capa adicional de autenticación (MFA/2FA).
Instale una puerta de enlace de red privada virtual (VPN) como intermediaria para todas las conexiones RDP desde fuera de su red local.
En el Firewall perimetral, deshabilite conexiones externas a máquinas locales en el puerto 3389 (TCP/UDP) o cualquier otro puerto RDP.
Proteja su software de seguridad contra posibles alteraciones o desinstalaciones estableciendo una contraseña para hacer cambios en su configuración.
Aísle cualquier computadora insegura u obsoleta a la que se deba acceder desde Internet utilizando RDP y reemplácela lo antes posible.
La mayoría de estas mejores prácticas aplican también a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios.
Ransomware, mineros de criptomonedas y backdoors
Cifrar sus datos para posteriormente extorsionarlo no es la única amenaza a la que se puede comprometer un RDP. Este tipo de ataques suelen generar instalaciones de malware en las computadoras o servidores afectados para minar criptomonedas o crear backdoors para desbloquear un RDP que haya sido identificado por la víctima.
Algunas posibles amenazas a los sistemas que son comunes en RDP que han sido comprometidos pueden ser:
borrar archivos de registro, eliminando así la evidencia de actividad maliciosa previa,
descargar y ejecutar en el sistema comprometido herramientas y malware según la elección del atacante,
deshabilitar o borrar por completo las copias de seguridad programadas,
exfiltrar datos del servidor.
Esto solo demuestra cuán importante se ha convertido la seguridad de los accesos remotos, dado que potencialmente puede hacer o deshacer el futuro de una empresa. Y es que incluso si el daño a la reputación de una organización se puede gestionar, hay pérdidas financieras, operaciones estancadas y costosos esfuerzos de recuperación que deben tenerse en cuenta.
Ya sea que haya una pandemia o no, desde Ser Informática asesoramos a las empresas que deben gestionar los riesgos que plantea el uso generalizado del RDP u otros servicios similares reforzando sus contraseñas y agregando otras capas de seguridad adicionales, incluida la autenticación multifactor y una solución de seguridad que proteja contra ataques basados en RDP y protocolos similares.
Esta misma estafa circuló de manera global el año pasado, pero Argentina fue uno de los países que mas tráfico generó.
Esta vez ciberdelincuentes disfrazaron la estafa como un aviso de Heineken falso en el cual robaban tus datos desde un formulario en un sitio web a cambio de cerveza gratis.
Bajo el lema de «quedate en casa» popularizado por la pandemia de COVID-19 viralizaron esta promoción en los últimos dos meses generando la atención que empresas lider en seguridad como ESET haciendo que disparen alertas por esta modalidad de estafa que atenta contra la privacidad de la información llamada Phishing
Una vez mas desde Ser Informática queremos responder a la pregunta ¿Qué es el phishing?
El denominado Phishing es un delito financiero, en el cual por medio de correo electrónico, teléfono o mensaje de texto, dirigen a la gente a algún formulario o página web con el objetivo de obtener tus credenciales de acceso o datos de acceso importantes.
Uno de nuestros objetivos como empresa es proteger a nuestros clientes por esta razón les dejamos una serie de tips para que sepan como prevenirse y a su vez, cuidarnos entre todos.
Utilizar filtros de correo no deseado como primera línea de defensa.
Evitar ingresar a enlaces que se reciban via correo electrónico o reenvíos de Whatsapp (muchas veces el remitente no es consciente del mensaje enviado.
Jamás responder mensajes de texto, llamadas o correos electrónicos con datos personales si no se conoce la fuente de origen.
Evitar descargar archivos de dudosa procedencia que puedan contener virus, o partes de virus que sirven de verdaderos caballos de troya para luego conectar con los servidores de los ciberdelincuentes y descargar de manera automática mas codigo malicioso.
Desconfiar de ofertas que son demasiado buenas para ser ciertas, tienen algún sentido de urgencia, contienen archivos adjuntos de remitentes inusuales.
Comprometidos con la seguridad de nuestros clientes, contamos con herramientas a la altura de estas amenazas del día a día, una de ellas es nuestra Mesa de Ayuda de I.T. la cual evita la conección de salida por medio de alertas automatizadas evitando de esta manera que cualquier correo que busque conectarse con un servidor que sea malicioso sea detenido inmediatamente.
Otra de nuestras herramientas en este sentido es contar con tu propio servidor VPS (Virtual Private Server) para proteger aún mas tus datos y los de tu empresa, permitiendo tener backups de manera automatizada y en horarios que permitan tener toda tu información disponible y resguardada.
En un intento por frenar la propagación de COVID-19/Coronavirus, cada vez más empresas a nivel mundial están implementando entre sus colaboradores la modalidad de trabajo remoto. Y aunque muchas de ellas han recurrido anteriormente al home office, es probable que otras compañías estén instaurando este sistema por primera vez y aún no son conscientes de los riesgos a los que podrían exponerse si no concientizan a sus empleados ni fortalecen sus sistemas de seguridad informática.
Una vez que notebooks, smartphones o tabletas se llevan fuera de la infraestructura de red de una empresa y se conectan a nuevas redes y Wi-Fi, los riesgos se amplían y aumentan. Según un estudio desarrollado por Kaspersky en conjunto con la consultora de estudios de mercado CORPA, el 25% de los latinoamericanos no cuenta con una computadora portátil destinada únicamente para trabajar y, si la tiene, el 30% de ellos la conecta a una red pública inalámbrica (cafés, restaurantes y aeropuertos) cuando está fuera de la oficina. De estos, solo el 8% asegura que se conecta a una red virtual privada (VPN) mientras se encuentra en terreno.
El mismo sondeo evidenció que el 44% de los consultados responde a una política corporativa de seguridad que resguarda el uso de celulares o computadores portátiles, un 35% no se rige por ninguna norma y un 21% desconoce si su compañía tiene alguna implementada.
“El Coronavirus no solo está poniendo en jaque la salud de las personas ya que también está siendo utilizado como gancho por los ciberdelincuentes para propagar malware. Además de un aumento en el trabajo remoto para proteger la salud de los trabajadores, hemos visto cómo delincuentes informáticos intentan aprovechar el interés que ha causado el virus, ocultando archivos maliciosos en documentos que supuestamente se relacionan con la enfermedad, por lo que a medida que las personas continúen preocupadas sobre el brote, es posible que veamos más y más malware oculto en archivos falsos que contienen una variedad de amenazas, desde troyanos hasta gusanos que son capaces de destruir, bloquear, modificar o copiar datos, así como interferir en el correcto funcionamiento de las computadoras”, explica Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
Por ello, añade el especialista, es primordial que las compañías inviten a los colaboradores a ser cautos y precavidos mientras están trabajando desde sus casas, y a que reexaminen sus sistemas de seguridad y de acceso remoto a redes corporativas.
“Las empresas deben comunicarse con sus trabajadores y explicarles claramente los riesgos a los que se exponen tanto ellos como la organización si no se toman los resguardos correspondientes al momento de conectarse a internet, como por ejemplo, si hacen clic en enlaces sospechosos o abren correos de remitentes desconocidos”, recalca Bestuzhev.
Con el fin de que las organizaciones reduzcan los riesgos de ciberataques asociados al trabajo remoto, Kaspersky aconseja lo siguiente:
Proporciona una VPN para que el personal se conecte de forma segura a la red corporativa.
Restringe los derechos de acceso de las personas que se conectan a la red corporativa.
Asegúrate de que el personal sea consciente de los peligros de abrir enlaces y descargar archivos de dudosa procedencia o responder a mensajes no solicitados.
Implementa siempre las últimas actualizaciones de sistemas operativos y aplicaciones.
Protege todos los dispositivos corporativos, incluidos los móviles y las computadoras portátiles, con una solución antimalware adecuada para tu empresa.
Te presentamos una guía con algunas de las técnicas más comunes que utilizan los cibercriminales para engañar a los usuarios.
Los cibercriminales continúan comprometiendo a los usuarios mediante campañas de engaño que utilizan viejas y conocidas técnicas que aún siguen siendo efectivas por la falta de conocimiento acerca de cómo hacer un uso seguro de la tecnología.
No sabes cómo es la URL del sitio que buscas
Es importante que sepas que los cibercriminales utilizan estrategias de Blackhat SEO para posicionar en los primeros resultados de los buscadores sitios que suplantan la identidad de servicios legítimos con el fin de engañar a los usuarios para que ingresen creyendo que están en la página oficial. Por lo tanto, es importante que por más confianza que tengamos en los resultados que nos ofrecen buscadores como Google, Bing, Yahoo u otro, tengamos presente que es posible que un falso sitio aparezca bien posicionado (al menos durante un tiempo) en busca de víctimas distraídas.
Las estrategias SEO (optimización para los motores de búsqueda) son legítimas y son utilizadas en marketing teniendo en cuenta lo que más valoran los motores de búsqueda a la hora de ofrecer los resultados de una búsqueda. Pero cuando un sitio se posiciona mediante Blackhat SEO nos referimos a que utiliza técnicas para engañar a los motores de búsqueda.
2. Te dejas llevar por el mensaje en el asunto de un correo
Para que la víctima no piense demasiado y caiga en el engaño, los cibercriminales aprovechan este campo del correo para intentar manipular las emociones y generar sentimientos que pueden ir desde la euforia hasta la desesperación.
Por ejemplo, correos que nos hablan de premios que hemos ganado, una oportunidad única que no podemos dejar pasar o hasta una herencia que tenemos para cobrar. Mientras que en la vereda de enfrente hemos visto campañas que buscan generar paranoia con correos que nos llegan con nuestra contraseña o número de teléfono en el asunto o que nos dicen que nuestra cuenta ha sido pirateada.
En estos casos, lo primero que debemos hacer es no perder la calma. En segundo lugar, no responder.
3. No revisas la dirección de correo de los remitentes
Que un mensaje incluya tu nombre real no asegura que sea genuino, ya que existen varias maneras de obtener ese tipo de información por parte de los actores maliciosos. Por lo tanto, analizar la dirección del remitente puede ayudarnos a interpretar si estamos, por ejemplo, ante un caso de spoofing, que es la técnica utilizada para enviar mensajes de correo electrónico con una dirección de remitente falso, consiguiendo que la víctima los reciba como si fueran el remitente legítimo.
Por ejemplo, que llegue un correo donde el remitente aparente ser de un banco del cual no somos clientes, es algo que debería encender las alarmas. Lo mismo si nos llega un correo donde el remitente se presente como representante de una empresa o servicio y que el dominio del correo sea de un servicio de correo gratuito, como Gmail o Hotmail, por ejemplo. También es común que en su afán de aparentar que el correo es de una empresa legítima los cibercriminales envíen correos cuyo dominio incluya el nombre de una empresa legítima pero que esté rellenado por otros caracteres, como por ejemplo un dominio que se utilizó en una campaña de phishing que se hacía pasar por Apple que era “@servicedstoredapps.live”. Algunas compañías como Apple ofrecen una guía para reconocer si un correo en nombre de la compañía puede o no ser legítimo.
En algunos casos, los atacantes utilizan técnicas de spoofing más complejas, como la fue el caso de una campaña reciente que notificamos donde los cibercriminales enviaban un correo que simulaba ser desde la propia cuenta del usuario.
4. No revisas las URL de destino
Es importante revisar a dónde nos direcciona el enlace que viene en el cuerpo del correo, ya que muchas campañas de ingeniería social esconden falsas URL que aparentan ser legítimas. Para hacer esto, una técnica común suele ser incluir un enlace en un pasaje de texto, de forma que no se puede ver directamente la URL. Según el contexto del correo, el usuario puede creer que si pincha será direccionado a un sitio que puede resultar siendo otro. Para descubrir esto muchas veces es suficiente pasar el cursor sobre el hipervínculo y nos daremos cuenta si coincide o no el nombre del supuesto sitio, aunque para corroborar esto en el teléfono debemos mantener el texto “apretado” para que nos muestre la URL sin dirigirnos. Algo similar ocurre con las herramientas para acortar enlaces. Al usarlas, el usuario no puede ver el nombre de la URL final. Sin embargo, en caso de sospechar del enlace, es posible averiguar si se trata de un engaño o no mediante algunas herramientas que permiten descubrir el contenido del enlace antes de abrirlo, como por ejemplo: Unshorten.It.
Otra técnica recurrente es la de ataques homográficos, donde los actores maliciosos registran dominios que a simple vista parecen ser legítimos pero que pequeñas variaciones en uno de los caracteres hacen que sea difícil darse cuenta que en realidad se trata de un sitio falso.
5. Compartes información personal a través de las redes sociales
Muchos usuarios no son conscientes de los riesgos de la sobreexposición en las redes sociales y comparten datos personales como el número de documento, fecha de nacimiento, número de teléfono, dirección domiciliaria, entre otros tantos más. A veces, una simple imagen que contenga esta información puede llegar a un individuo de dudosa ética. Lo mismo cuando nos vamos de vacaciones y sin querer, informamos a todos los que puedan ver nuestros perfiles que no estamos en casa.
Por lo tanto, además de pensar dos veces antes de compartir algo en las redes sociales, es importante configurar bien la privacidad de cada una de las plataformas que utilizamos para filtrar quien puede ver nuestras actividades. De lo contrario, estamos expuestos a que un cibercriminal pueda construir un perfil bastante preciso sobre un blanco de ataque simplemente recopilando información de sus perfiles y las actividades que comparte.
Por último, piensa de la manera que lo haría un atacante: ¿la información que comparto puede ser utilizada en mi contra? En caso de que la respuesta sea sí, mejor no compartirla.
6. Confías en un sitio web solo porque tiene HTTPS
Lamentablemente, ya no basta con que un sitio tenga HTTPS y un candado para determinar que se trata de un sitio seguro. Si bien en un primer momento las páginas fraudulentas utilizaban protocolo HTTP, en la actualidad los atacantes pueden hacer lo mismo y obtener un certificado SSL/TLS válido y de manera gratuita.
7. Confías demasiado en un servicios o plataformas de uso masivo
No se trata de desconfiar de todo, sino de estar informado de cuáles son los vectores de ataque utilizados por los cibercriminales. No todo lo que vemos en redes sociales es legítimo. De hecho, en estas plataformas los cibercriminales crean cuentas falsas intentando suplantar la identidad de compañías legítimas e incluso realizan campañas publicitarias con falsas promociones (malvertising) que buscan que los usuarios pinchen en un enlace para luego robar sus datos. Algo similar sucede con los anuncios publicitarios que se muestran en la red de publicidad de Google, que ha sido utilizada por cibercriminales para distribuir malware. De hecho, Google lanzó una guía para prevenir esta práctica en la que además ofrece recomendaciones para usuarios y anunciantes.
8. No dudas en abrir un archivo adjunto que viene en un correo no solicitado
Los usuarios deben saber que un banco o una entidad seria no suele enviar archivos adjuntos sin que exista una solicitud previa de nuestra parte. Por lo tanto, el hecho de que llegue un archivo adjunto que no solicitamos debería ser motivo de sospecha inmediata.
En segundo, las entidades financieras, por ejemplo, nunca solicitarán por correo que envíes tus credenciales de acceso al sistema de banca online o los datos de tus tarjetas de crédito. Por lo tanto, en caso de recibir una petición de este tipo deberías desconfiar.
Tampoco es un comportamiento normal que una entidad que se precie de ser seria solicite a través de un mensaje que inicies sesión desde un enlace que viene en el mensaje.
Un ejemplo de qué cosas debemos esperar y cuáles no de una comunicación que nos llega de una institución financiera, lo resume el Banco Santander en una guía para identificar un correo fraudulento.
Esperamos que estas consideraciones sean de utilidad para que los usuarios puedan disfrutar de los beneficios de la tecnología de una forma segura.
Según datos publicados por Google, una de las razones por las que el phishing sigue siendo efectivo es que el 45% de los internautas no comprende bien qué es.
En una de las charlas que tuvieron lugar en la reciente edición de la conferencia de seguridad BlackHat, que se celebró en agosto, Elie Bursztein de Google y Daniela Oliveira, de la Universidad de Florida, explicaron por qué los ataques de phishing siguen siendo tan efectivos en la actualidad. En este sentido, los especialistas identificaron algunos puntos clave para explicar este fenómeno, entre los cuales está: su constante evolución, las técnicas de persuasión que utilizan y el poco conocimiento de los usuarios acerca de qué es el phishing.
Uno de los métodos más comunes mediante el cual los cibercriminales intentan llevar adelante sus acciones maliciosas es a través de correos de phishing. La mayoría de los usuarios experimentó alguna vez abrir un correo de esta naturaleza en los que se suplanta la identidad de alguna marca solicitando que hagamos clic sobre un enlace o descarguemos un adjunto, ya que después de todo, se trata de una práctica que ya tiene más de 20 años. Sin embargo, continúa siendo al día de hoy una de las formas más comunes que utilizan los cibercriminales en su intento por llevar adelante sus acciones maliciosas.
Pero, antes de continuar, aclararemos qué es el phishing por las dudas que alguno de los lectores no lo tenga del todo claro. Por phishing nos referimos a mensajes maliciosos distribuidos a través de medios digitales, tales como correo electrónico o WhatsApp, que buscan influenciar a un usuario para que lleve adelante una acción que va en contra de sus intereses, como puede llegar a ser realizar clic en un enlace malicioso, abrir un adjunto malicioso e incluso leer información falsa. Dicho esto, las consecuencias de un phishing pueden ser desde la instalación de un software malicioso, el robo de credenciales de acceso a cuentas y/o la manipulación de la opinión de los usuarios.
Para comprender el papel protagónico que tiene el phishing en el escenario de la seguridad actual, Google, por ejemplo, bloquea más de 100 millones de correos de phishing por día. Por otra parte, según un informe global publicado este año por Verizon, el 32% de las brechas de seguridad que se conocieron en 2018 comenzaron por un phishing y el 78% de los incidentes de seguridad que tenían como objetivo tareas de espionaje o la instalación de un backdoor, fueron llevados adelante mediante ataques de phishing.
La constante evolución del phishing
La constante evolución del phishing es una de las claves que explican su vigencia. Según datos compartidos durante la presentación en BlackHat, el 68% de los correos de phishing bloqueados de manera diaria por Gmail están compuestos por nuevas variantes que nunca antes se habían visto, lo que obliga a los mecanismos de defensa humanos y tecnológicos a tener que adaptarse rápidamente para prevenir estos ataques. A esto se suma un problema de educación, ya que según cifras compartidas por los especialistas el 45% de los internautas no comprende bien qué es el phishing.
El arte de la persuasión a través de los correos
Otro aspecto que explica la vigencia del phishing es que los responsables detrás del diseño de estas campañas se han convertido en expertos de la persuasión. Según una investigación realizada por Oliveira, los cibercriminales se han transformado en maestros en el manejo de técnicas para la manipulación psicológica. Nuestra habilidad para detectar un engaño difiere de persona a persona, dado que existen una gran cantidad de factores que influyen en la decisión que tomamos cuando estamos frente a un correo de phishing, tales como la personalidad, el estado de ánimo en un momento específico, la motivación cognitiva, la inteligencia emocional e inclusive un factor hormonal. En este sentido, cuando estamos de buen humor y nuestros niveles de oxitocina, serotonina y dopamina aumentan, somos más propensos a ser engañados, mientras que cuando los niveles de cortisol son elevados (comúnmente asociados al estrés) es más probable que seamos más cautelosos y estemos más atentos.
Según describe Oliveira, existen tres tácticas persuasivas comunes en los correos de phishing: el uso de una autoridad respetada por el usuario, la promesa de un beneficio económico si el individuo interactúa con el correo (o la pérdida económica en caso de ignorarlo); y por último, la apelación al factor emocional.
Muchas campañas de phishing son dirigidas a blancos específicos
Otro aspecto para comprender por qué sigue siendo utilizado el phishing por los actores maliciosos es la personalización de las campañas. A partir de los correos que Google bloquea de manera diaria elaboraron una categorización según el grado de especificidad de sus blancos de ataque. En este sentido, están por un lado los ataques conocidos como “spearphishing”, que son aquellos correos personalizados y que van dirigidos a una persona específica dentro de una organización. De hecho, en WeLiveSecurity hemos publicado análisis de una gran cantidad de campañas de malware que comienzan con este tipo de correos especialmente dirigidos, como fue a principios de agosto el análisis de Machete y su campaña de ciberespionaje en curso que apunta a organizaciones gubernamentales de América Latina.
Otra categoría, a la cual denominaron “boutique phishing”, corresponde a campañas de phishing personalizadas –no tanto como las anteriores- que apuntan a un par de decenas de individuos u organizaciones. Por último, la tercera categoría corresponde a los correos de phishing masivos, que son aquellos que van dirigidos a miles de individuos u organizaciones.
Un dato interesante es que las campañas de “boutique phishing” duran apenas siete minutos, mientras que las campañas masivas están activas en promedio durante 13 horas.
En cuanto a los blancos de ataque, según Google la mayoría de las campañas de phishing están dirigidas a Gmail; siendo muchas de las campañas dirigidas hacia usuarios finales, mientras que las dirigidas a perfiles empresariales apuntan a un número limitado de individuos. Asimismo, el perfil empresarial es casi cinco veces más apuntado que los usuarios finales, seguido por organizaciones no gubernamentales.
En cuanto a la suplantación de identidad, en el 42% de los ataques de phishing las páginas utilizadas simulan ser sitios legítimos de servicios de correo con el objetivo de que las víctimas ingresen sus claves de acceso. En segundo lugar, se suplanta la identidad de servicios en la nube con un 25%, seguido por páginas que simulan ser de instituciones financieras con un 13%, sitios de ecommerce en un 5% y de servicios de envío en un 3.9%.
Cómo evitar ser víctima del phishing
Si bien quienes están detrás de las campañas de phishing han evolucionado logrando que luzcan cada vez más convincentes, la educación sigue siendo un factor clave para reducir el número de víctimas de este tipo de ataque. En este sentido, Google publicó un test online para poner a prueba la capacidad de los usuarios de reconocer un correo de phishing en un intento de capacitar y que cada vez más personas sean capaces de reconocer si están frente a un correo sospechoso o no.
Otro factor clave para reducir el número de víctimas del phishing es implementar el uso del doble factor de autenticación en todos los servicios que esté disponible, ya que esta capa de seguridad adicional que se agrega ayuda a evitar que terceros puedan acceder a nuestras cuentas en caso de ser víctimas del robo de nuestras credenciales de acceso en una brecha. De hecho, un estudio publicado por Google este año demostró que el doble factor de autenticación es la solución más efectiva para prevenir el secuestro de cuentas.
El primer paso para los usuarios es aprender a reconocer este tipo de correos y tomarse un segundo para pensar, por lo que recomendamos la lectura de 8 señales que indican que eres un blanco fácil de las estafas por Internet, artículo en el que encontrarás una guía con algunas de las técnicas más comunes utilizadas por los cibercriminales para engañar a los usuarios.
El phishing sigue siendo un método de ataque importante porque permite que los ciberdelincuentes accedan a un gran número de personas. Por lo general, los hackers distribuyen este tipo de estafa de suplantación de identidad simulando ser representantes de las compañías donde los usuarios tienen alguna cuenta registrada para robar información privada, como la que comenzaron a distribuir este miércoles a través de la aplicación de mensajería WhatsApp. Esta última campaña tuvo como protagonista a la famosa compañía de indumentaria Adidas quien, aparentemente, regala un cupón para adquirir uno de los 300 pares de zapatillas. Para acceder a este «beneficio» había que compartir el mensaje con al menos 20 grupos de chats o amigos. Este tipo de estafas en Internet provienen generalmente de distintos sitios web falsos.
Los especialistas en seguridad informática señalan que los ciberdelincuentes crea páginas muy similares a las legítimas para engañar exitosamente a las personas. Las similitudes visuales suelen ser suficientes para confundir e inducir al usuario a que ingrese sus credenciales y otros datos confidenciales solicitados para acceder a un determinado premio.
Históricamente, la forma más común de difundir sitios web de phishing fue a través de correos electrónicos maliciosos, pero también se propagan a través de anuncios pagados que aparecen en los resultados de búsqueda o mensajes que son fácilmente viralizados a través de plataformas de mensajería, explican especialistas de la firma de seguridad informática Avast.
Otros vectores de ataque incluyen una técnica denominada clickbait. Los delincuentes cibernéticos suelen emplearla en las redes sociales al prometer algo, como un teléfono gratuito o hasta automóviles, para alentar a los usuarios a hacer clic en enlaces maliciosos.
Cuatro recomendaciones para protegerse del phishing, según los especialistas:
1. En primer lugar, el usuario deberá tener instalada en su teléfono una solución antivirus. El software actúa como una red de seguridad que protege a los usuarios en Internet.
2. No haga clic en los enlaces ni descargue archivos de correos electrónicos sospechosos. Evite responderles también, incluso si supuestamente provienen de alguien en quien confía. En su lugar, póngase en contacto con esas entidades a través de un canal separado y asegúrese de que el mensaje realmente proviene de ellas.
3. Introduzca directamente la URL de un sitio web en su navegador siempre que sea posible, para que termine visitando el sitio que desea visitar, en lugar de una versión falsa
4. No confíe únicamente en el candado verde HTTPS. Si bien esto significa que la conexión está cifrada, el sitio aún podría ser falso. Los ciberdelincuentes cifran sus sitios de phishing para engañar aún más a los usuarios, por lo que es importante verificar que el sitio que está visitando sea el verdadero.
Los fallos ya fueron reportados a la compañía a finales de 2018 y uno de los métodos de explotación de ya fue reparado. Aún así, desde Facebook consideran que es falso sugerir que existe una vulnerabilidad.
Una vulnerabilidad en la app de mensajería permite manipular mensajes enviados tanto de manera privada como a nivel de grupo. En caso de que un actor malintencionado aproveche estos fallos podría crear información falsa y crear fraudes, publicó BBC.
Durante una presentación que realizaron en la conferencia Black Hat, evento que se está llevando adelante desde el 3 al 8 de agosto en Las Vegas, Estados Unidos, los investigadores, Dikla Barda, Roman Zaikin, y Oded Vanunu, presentaron una herramienta utilizada como prueba de concepto.
La vulnerabilidad puede ser explotada a través de tres diferentes métodos de ataque que involucran el uso de técnicas de ingeniería social para engañar al usuario final, explicaron los investigadores de CheckPoint.
El primer método es el uso de la función “citar” en una conversación de grupo para cambiar la identidad de la persona que lo envía, incluso si no es miembro del grupo. El segundo consiste en modificar el texto de una respuesta, mientras que el tercero método permite engañar a un usuario y hacerle creer que estaba enviando una respuesta de manera privad a una sola persona, cuando en realidad la estaba enviando a todo un grupo.
El fallo que permite el tercer método de explotación ya fue reparado por Facebook, pero según explicó Vanunu a BBC, la compañía propietaria de WhatsApp les explicó que los otros problemas no se han podido resolver debido a limitaciones de infraestructura en WhatsApp. De acuerdo al medio, la tecnología de cifrado que utiliza la app hace que sea extremadamente difícil para la compañía poder monitorear y verificar la autenticidad de los mensajes enviados por los usuarios.
Por otra parte, consultado el investigador acerca de por qué lanzar una herramienta que podría facilitar a terceros explotar la vulnerabilidad, Vanunu dijo que espera que el tema genere discusión.
“La compañía revisó estos temas hace un año atrás y asegura que es falso sugerir que existe una vulnerabilidad con la seguridad que le aplican a WhatsApp”, explicó un vocero de Facebook a Bloomberg. Por otra parte, desde el lado de WhatsApp opinan que “el escenario descrito por los investigadores equivale a alterar la respuesta de alguien en una cadena de correos”. Asimismo, agregan que “debemos tener en cuenta que considerar las inquietudes planteadas por los investigadores podría hacer que WhatsApp sea menos privado”.
El fallo, que ya fue parcheado, explotaba un error en el mecanismo de recuperación de contraseñas en la versión móvil que permitía a un atacante secuestrar cuentas sin necesidad de interacción por parte de la víctima.
El investigador de seguridad Laxman Muthiyah reportó a Facebook el hallazgo de una vulnerabilidad en Instagram que hubiese permitido a un atacante secuestrar de manera remota cualquier cuenta sin necesidad de interacción por parte de los propietarios de las mismas.
Según explicó Laxman, luego de que Facebook aumentara los montos de las recompensas que paga como parte de su programa de bug bounty, tanto para el hallazgo de vulnerabilidades críticas como de secuestro de cuentas, decidió investigar en busca de algún fallo que pueda reportar. Así fue que encontró esta vulnerabilidad que le significó una recompensa de $30.000.
El fallo radicaba en el mecanismo de recuperación de contraseñas de la versión móvil de Instagram, el cual permite a los usuarios recuperar el acceso a sus cuentas en caso de olvidar su clave de acceso. En este sentido, un usuario de Instagram que se olvide de su contraseña y decida resetearla deberá demostrar su identidad confirmando la recepción de un código de seis dígitos que le llegará a través de un mensaje SMS al número telefónico asociado. Este código, que expira pasados los 10 minutos, deberá ser ingresado por el usuario para poder cambiar su contraseña.
Así fue que el investigador probó la opción de realizar ataque de fuerza bruta e ingresar una gran cantidad de combinaciones posibles. Si bien el sistema permite un número máximo de intentos, este límite de tiempo puede evadirse mediante solicitudes de fuerza bruta desde diferentes direcciones IP y aprovechándose también de lo que se conoce como condición de carrera (en inglés race hazard o race condition). De esta manera, el envío de una gran cantidad de solicitudes de combinaciones utilizando múltiples IP permitieron a Laxman enviar una gran cantidad de combinaciones sin tener problemas de límite.
El investigador demostró la presencia de la vulnerabilidad a través de un video en el que logró secuestrar una cuenta de Instagram al enviar 200.000 combinaciones de códigos diferentes y utilizando una gran cantidad de IP diferentes.
Según explicó el investigador, en un escenario de ataque real un actor malintencionado necesitaría 5.000 IPs para secuestrar una cuenta, algo que se puede obtener mediante un proveedor de servicios en la nube como Amazon o Google, lo cual requeriría una inversión de aproximadamente 150 dólares. De esta manera es posible realizar el ataque completo probando con una combinación de 1 millón de códigos.
La vulnerabilidad, que ya fue parcheada, sirve como ejemplo para demostrar que incluso las grandes plataformas y servicios son vulnerables a posibles ataques y/o fallos de seguridad, por lo que es importante que no dejemos la seguridad librada al azar o en manos de los que proveen los servicios que utilizamos. Es importante que como usuarios hagamos nuestra parte para reforzar la seguridad, ya sea mediante el uso del doble factor de autenticación, utilizando contraseñas únicas por servicio o mediante otras acciones.
Investigadores de ESET descubren esquema de engaño que aprovecha la popularidad de la app de modelado de rostros, FaceApp, y que intenta engañar a los usuarios para que descarguen una falsa versión “Pro”
El reciente auge de la aplicación FaceApp atrajo a los estafadores, quienes diseñaron modelos de engaño para intentar sacar provecho del buen momento por el que atraviesa la app.
La aplicación FaceApp, que ofrece varios filtros que modifican el rostro, está disponible tanto para Android como para iOS. Si bien la aplicación en sí es gratuita, algunas funciones, marcadas como “PRO”, son pagas. La reciente preocupación sobre cómo gestiona la privacidad FaceApp acaparó la atención de una gran cantidad de medios internacionales.
Los estafadores han estado intentando aprovechar esta ola de interés por la app de distintas maneras, por ejemplo, utilizando como señuelo una falsa versión “Pro” –de forma gratuita- de la aplicación. Los estafadores también han realizado un esfuerzo para que se difunda esta versión ficticia de la aplicación que en estos días se ha vuelto viral –al momento de escribir este artículo, una búsqueda en Google de “FaceApp Pro” arroja cerca de 200.000 artículos.
Hemos visto dos formas en la que los estafadores intentan ganar dinero con la no existente versión “Pro” de FaceApp.
Sitios web falsos
En una de las estafas que hemos visto, los atacantes han utilizado un sitio web falso en el cual se ofrece la versión “premium” de FaceApp de forma gratuita.
En realidad, los estafadores engañan a sus víctimas para que hagan clic en una innumerable cantidad de ofertas para que instalen otras aplicaciones pagas, así como suscripciones, anuncios, encuestas, etc. Las víctimas también reciben solicitudes de varios sitios web para permitir que se desplieguen notificaciones. Cuando las habilitan, estas notificaciones llevan a nuevas ofertas fraudulentas.
Durante nuestra prueba, terminamos con la versión regular y gratuita de FaceApp que también está disponible en Google Play. Sin embargo, en lugar de usar Google Play como fuente, descargamos la aplicación de un popular servicio de intercambio de archivos (mediafire.com), como se ve en la Figura 3. Esto significa que los usuarios podrían fácilmente terminar descargando malware si esa era la intención de los atacantes.
Videos de YouTube
El segundo tipo de estafa incluye videos de YouTube, a través de los cuales también se promocionan enlaces de descarga para una versión gratuita “Pro” de FaceApp. Sin embargo, los enlaces de descarga acortados apuntan a aplicaciones cuya única funcionalidad es hacer que los usuarios instalen varias aplicaciones adicionales desde Google Play. Uno de los videos de YouTube, como se puede observar en la Figura 4, tiene más de 150,000 visitas al momento de escribir este artículo.
Si bien este tipo de estafa se suele utilizar simplemente para desplegar anuncios, los enlaces acortados podrían llevar a que los usuarios instalen malware con un solo clic. Hemos visto que esto suceda en el pasado, por ejemplo, con el videojuego Fortnite siendo utilizado como señuelo.
Si bien en el enlace mencionado se hizo clic más de 96.000 veces, este dato no nos dice mucho sobre el número de instalaciones reales (aunque es cualquier empresa grande quisiera tener esa tasa de clics tan alta).
Conclusión
Todo lo que esté en boga atrae a los estafadores, y cuanto más grande sea la ola, mayor es el riesgo de ser víctima de una estafa. Antes de sumarse y participar de aquello que está de moda o que se está utilizando, como en este caso puede ser la app FaceApp, los usuarios deben recordar atenerse a los principios básicos de seguridad.
Independientemente de lo emocionante que sea el tema, evite descargar aplicaciones de otras fuentes que no sean las tiendas de aplicaciones oficiales, y examine la información disponible sobre la aplicación (desarrollador, clasificación, comentarios, etc.). Especialmente en el ecosistema de Android, existen engaños alrededor de cada aplicación o juego popular. Sin embargo, son buenas las posibilidades de que los usuarios preocupados por la seguridad puedan reconocer las falsificaciones de ofertas genuinas. Como medida de seguridad en caso de que un usuario caiga víctima de una estafa, tener una aplicación de seguridad de buena reputación instalada en su dispositivo móvil puede resultar de gran ayudar para evitar consecuencias negativas.
Fuente: Lukas Stefanko19 Jul 2019 – 11:59AM
Shopping Basket
Utilizamos cookies para optimizar nuestro sitio web y nuestro servicio.
This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Cookie
Duración
Descripción
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
