Categorías
Nota de Prensa

Estafas con criptomonedas: ¿qué saber y cómo protegerse?

Estafas con criptomonedas: ¿qué saber y cómo protegerse? ESET, compañía de seguridad informática, advierte cómo reconocer los diversos modelos de engaño existentes que buscan quedarse con las monedas digitales.

Estafas con criptomonedas

El creciente valor de las criptomonedas promete grandes ganancias para los inversores y las “fortunas” de la minería de criptomonedas tienen ecos de la fiebre del oro de la década de 1850. En este mundo cripto sin ley y no regulado, el riesgo de ser víctima de fraude es muy alto ya que los estafadores a menudo tienen la ventaja. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, afirma que las reglas comunes para la prevención del fraude también se aplican aquí. Todo lo que se lea en Internet debe ser cuidadosamente examinado y verificado, y si se evita creer en la exageración se tendrá una gran oportunidad de mantenerse a salvo.

Entre octubre de 2020 y mayo de 2021, en Estados Unidos se perdieron cerca de $80 millones de dólares (71 millones de euros) como consecuencia de las miles de estafas relacionadas con criptomonedas, según la FTC. En el Reino Unido, la cifra es aún mayor: la policía afirma que las víctimas perdieron más de £146 millones de libras esterlinas (172 millones de euros) en los primeros nueve meses de 2021.

Aumento en estafas

Según ESET, las estafas en torno a los criptoactivos están en aumento debido a que:

  • Existen pocas o ninguna regulación que rija el mercado de criptomonedas para los inversores, en comparación con el mercado de valores tradicional.
  • El enorme interés hace que la temática sea utilizada por criminales para lanzar campañas de phishing y estafas en general.
  • Los altos precios de las criptomonedas atraen a consumidores que sueñan con enriquecerse rápidamente.
  • Las redes sociales ayudan a amplificar los rumores, reales o ficticios.
  • También está el atractivo de la minería de criptomonedaspor dinero, que los estafadores pueden usar para engañar usuarios.

Las estafas más comunes

Esquemas Ponzi

Este es un tipo de estafa de inversión donde las víctimas son engañadas para que inviertan en un proyecto inexistente o en un “esquema para hacerse rico rápidamente” que, de hecho, no hace nada más que llenar el bolsillo del estafador. La criptomoneda es ideal para esto, ya que los estafadores siempre están creando tecnologías de “vanguardia” que no están bien especificadas para atraer inversores y generar mayores ganancias virtuales. Falsificar los datos es fácil cuando, de todos modos, el dinero es virtual.

Pump and dump

Los estafadores alientan a los inversores a comprar criptoactivos en proyectos de criptomonedas poco conocidas, basándose en información falsa. El precio de los activos aumenta subsecuentemente y el estafador vende sus propias acciones, obteniendo una buena ganancia y dejando a la víctima con acciones sin valor.

Falsos respaldos de celebridades

Los estafadores secuestran cuentas de redes sociales de celebridades o crean cuentas falsas, y alientan a los seguidores a invertir en esquemas falsos como los anteriores. En un caso, se perdieron unos $2 millones de dólares a manos de estafadores que incluso utilizaron el nombre de Elon Musk en una dirección de Bitcoin, para hacer que la estafa pareciera más confiable.

Falsos exchanges

Los estafadores envían correos electrónicos o publican mensajes en las redes sociales prometiendo acceso a dinero virtual almacenado en un Exchange de criptomonedas. El único inconveniente es que el usuario generalmente debe pagar una pequeña tarifa primero. El Exchange nunca existe y su dinero se pierde para siempre.

Aplicaciones falsas

Los ciberdelincuentes falsifican aplicaciones de criptomonedas legítimas y las suben a las tiendas de aplicaciones. Si se instala, la misma podría robar datos personales y financieros, o implantar malware en el dispositivo. Otros pueden engañar a los usuarios para que paguen por servicios inexistentes, o intentar robar los inicios de sesión de una billetera de criptomonedas.

Comunicados de prensa falsos

A veces los estafadores logran engañar incluso a periodistas o líderes de opinión haciendo que repliquen información falsa. Esto sucedió en dos ocasiones, cuando sitios de noticias legítimos escribieron historias sobre compañías de retail de renombre que se preparaban para aceptar ciertas criptomonedas. Los comunicados de prensa falsos en los que se basaron estas historias formaban parte de esquemas de pump-and-dump diseñados para hacer aumentar el valor de los criptoactivos que tienen los estafadores en esas criptomonedas.

Phishing/suplantación de identidad

El phishing es una de las formas de engaño más populares que utilizan los estafadores. Los correos electrónicos, los mensajes de texto y los mensajes en redes sociales se falsifican con la intención de que parezca que fueron enviados desde una fuente legítima y confiable. A veces, esa “fuente”-por ejemplo, un proveedor de tarjetas de crédito, un banco o un funcionario de gobierno- solicita el pago de algo en criptomonedas. Siempre se tratará de transmitir sensación de urgencia para que el usuario actúe rápido y sin pensar.

Las estafas con criptomonedas en general se relacionan con el dinero virtual almacenado en algún Exchange de criptomonedas. En numerosas ocasiones, los estafadores logran sustraer fondos de estos Exchange, a veces robando cientos de millones. Por lo general, las compañías afectadas prometen recompensar a sus clientes inocentes, pero no hay tales garantías para las víctimas del fraude entorno a los cripto.

 

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Consejos ESET

ESET acerca los siguientes consejos para evitar ser estafado:

  • Nunca proporcionar datos personales a una entidad que se contacte sin que se le haya solicitado, ya sea por correo electrónico, mensaje de texto, redes sociales, etc. Incluso puede parecer que es un amigo, pero en realidad podría ser un ciberdelincuente que ha secuestrado un correo electrónico o una cuenta en una red social. Si se sospecha que esto puede estar pasando, es necesario comunicarse por un medio alternativo para verificar la legitimidad del contacto.
  • Si algo parece demasiado bueno para ser verdad, generalmente lo es. Tratar cualquier esquema de inversión con desconfianza.
  • Activar la autenticación en dos pasos (2FA)en todas las cuentas de criptomonedas que se tenga.
  • Descartar cualquier “oportunidad” de inversión que requiera un pago por adelantado.
  • Nunca descargar aplicaciones de tiendas no oficiales.

El mundo puede haberse vuelto loco por las criptomonedas, pero no hace falta unirse de manera precipitada. Es importante mantener la cabeza fría y ver más allá de la tendencia. La mejor arma para combatir el fraude es la incredulidad. Desafortunadamente, vivimos en una época en la que no todo lo que leemos en Internet es cierto y gran parte de todo eso está diseñado explícitamente para engañarnos.

 

Es por eso que es importante mantener los sistemas actualizados, instalar soluciones de seguridad confiables, contar con doble factor de autenticación en todas nuestras cuentas y estar seguros antes de aceptar o ingresar nuestros datos personales en distintos sitios . La educación y la prevención son aliados claves para mantener la información protegida.

 

Gutiérrez Amaya de ESET.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/01/12/estafas-con-criptomonedas-que-saber-como-protegerse/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Visítanos en:     @ESETLA     /company/eset-latinoamerica

Categorías
Nota de Prensa

Cibercriminales: Técnicas usadas para robar contraseñas

5 formas en que los cibercriminales roban contraseñas. ESET, compañía de seguridad informática, analiza algunos de los trucos más comunes utilizados para robar contraseñas y explica cómo evitarlos.

Cibercriminales roban contraseñas

Dado que la contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y los datos personales y financieros, los delincuentes apuntan a robar o descifrar estos inicios de sesión. Una persona promedio tiene 100 credenciales de inicio de sesión para recordar, y este ha ido en aumento en los últimos años.

Por lo tanto, no es de extrañar que se elija acortar caminos y, como resultado, la seguridad sufra las consecuencias. Es por esta razón que ESET, compañía líder en detección proactiva de amenazas, advierte sobre las 5 formas más comunes en que los cibercriminales roban contraseñas, para estar mejor preparado para minimizar los riesgos de convertirse en víctima y proteger así las cuentas en línea.

¿Qué puede obtener?

Las contraseñas son las llaves virtuales del mundo digital, ya que proporcionan acceso a servicios de banca en línea, correo electrónico y redes sociales, cuentas como Netflix o Uber, así como a todos los datos alojados en el almacenamiento en la nube. Al obtener los inicios de sesión, un cibercriminal podría:

  • Robar información de identidad personalvenderla a otros delincuentes en foros.
  • Vender el acceso a la cuenta en sí. Los sitios criminales de la dark web comercializan rápidamente estos inicios de sesión. Los compradores podrían utilizar el acceso para obtener desde traslados en taxi gratuitos y streaming de video, hasta viajes con descuento desde cuentas con millas aéreas comprometidas.
  • Utilizar las contraseñas para desbloquear otras cuentas en las que use la misma clave.

Técnicas que utilizan los Cibercriminales

ESET advierte cuáles son las 5 técnicas que más utilizan los ciberdelincuentes para robar contraseñas:

Phishing e ingeniería social

La ingeniería social, es un truco psicológico diseñado para convencer a alguien de hacer algo que no debería, y el phishinges la forma de ingeniería social más conocida. Mediante este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas, etc. El correo electrónico o texto que se reciba se verá auténtico, pero incluirá un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará malware o llevará a una página que solicitará que ingreses datos personales. Afortunadamente, hay muchas maneras de detectar las señales de advertencia de un ataque de phishing.

Los estafadores incluso utilizan llamadas telefónicas para obtener directamente inicios de sesión y otra información personal de sus víctimas, a menudo fingiendo ser ingenieros de soporte técnico. Esto se conoce como vishing (phishing basado en voz).

Malware

Otra forma popular de obtener contraseñas es a través de malware. Los correos electrónicos de phishingson el vector principal para este tipo de ataque, aunque también se puede ser víctima de malware al hacer clic en un anuncio malicio (publicidad maliciosa o malvertising) o incluso al visitar un sitio web previamente comprometido (drive-by-download). Como ha demostrado muchas veces el investigador de ESET, Lukas Stefanko, el malware podría incluso ocultarse en una aplicación móvil de apariencia legítima, que a menudo se encuentra en tiendas de aplicaciones de terceros.

Existen múltiples variedades de malware que roban información, pero algunos de los más comunes están diseñados para registrar las pulsaciones de teclas o tomar capturas de pantalla de un dispositivo y enviarlas a los atacantes. Entre ellos, los keyloggers.

Ataques de fuerza bruta

El número promedio de contraseñas que una persona tiene que administrar aumentó en un estimado del 25% interanual en 2020.Esto trae como consecuencia que la mayoría de las personas se incline por utilizar contraseñas fáciles de recordar (y de adivinar), y que cometa el error de utilizar las mismas contraseñas para acceder a múltiples sitios y servicios. Sin embargo, lo que muchas veces no se tiene en cuenta es que las contraseñas débiles pueden abrir la puerta a las denominadas técnicas de fuerza bruta para descubrir contraseñas.

Uno de los tipos de fuerza bruta más comunes es el credential stuffing. En este caso, los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario/contraseñas previamente comprometidas en un software automatizado. Luego, la herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia. De esta manera, los cibercriminales podrían desbloquear varias cuentas con una sola contraseña.

El año pasado hubo aproximadamente 193 billones de intentos de este tipo en todo el mundo, según una estimación. Recientemente, el gobierno canadiense ha sido una víctima de este ataque.

Otra técnica de fuerza bruta es el password spraying. En este caso, los criminales utilizan software automatizado para probar una lista de contraseñas de uso común contra una cuenta.

Por deducción

Aunque los cibercriminales cuentan con herramientas automatizadas para realizar los ataques de fuerza bruta y descubrir contraseñas, a veces ni siquiera las necesitan: incluso las conjeturas simples, a diferencia del enfoque más sistemático utilizado en los ataques de fuerza bruta, pueden servir para hacer el trabajo. La contraseña más común de 2021fue “123456”, seguida de “123456789”. Y si se recicla la misma contraseña o se usa un derivado cercano para acceder a varias cuentas, entonces se le facilita la tarea a los atacantes, sumando un riesgo adicional de robo de identidad y fraude.

Mirar por encima del hombro (Shoulder surfing)

Vale la pena recordar algunas de las técnicas para escuchar de manera oculta también representan un riesgo. Esta no es la única razón por la que las miradas indiscretas por encima del hombro de los usuarios sigue siendo un riesgo. Una versión más de alta tecnología, conocida como un ataque “man-in-the-middle” (hombre en el medio) involucra escuchas de Wi-Fi, y puede permitir a los criminales informáticos dentro de conexiones Wi-Fi públicas espiar la contraseña mientras se la ingresa si está conectado a la misma red.

¿Cómo bloquear estas técnicas?

Hay muchas maneras de bloquear estas técnicas, ya sea agregando una segunda forma de autenticación, administrando las contraseñas de manera más efectiva o tomando medidas para detener el robo en primer lugar. ESET acerca los siguientes consejos para proteger las credenciales de inicio de sesión:

  • Activar la autenticación de doble factor(2FA) en todas las cuentas
  • Utilizar solo contraseñas o frases de contraseña, seguras y únicas en todas las cuentas en línea, especialmente en cuentas bancarias, de correo electrónico y de redes sociales
  • Evitar reutilizar tus credenciales de inicio de sesión en varias cuentas y cometer otro de los errores comunes de contraseña
  • Utilizar un gestor de contraseñas, que almacena contraseñas seguras y únicas para cada sitio y cuenta, haciendo que los inicios de sesión sean simples y seguros
  • Cambiar la contraseña inmediatamente si un proveedor advierte que los datos pueden haber sido comprometidos
  • Usar solo sitios HTTPS para iniciar sesión
  • No hacer clic en enlaces ni abrir archivos adjuntos en correos electrónicos no solicitados
  • Solo descargar aplicaciones de tiendas de aplicaciones oficiales
  • Invertir en un software de seguridad de un proveedor de buena reputación para todos los dispositivos
  • Asegurarse de que todos los sistemas operativos y aplicaciones están actualizados en su última versión
  • Tener cuidado con las miradas indiscretas por encima del hombro en espacios públicos
  • Nunca iniciar sesión en una cuenta si se está conectado a una red Wi-Fi pública. En caso que se deba usar una red de este tipo, se recomienda utilizar una VPN

La extinción de la contraseña ha sido predicha durante más de una década. Sin embargo, las alternativas a menudo tienen dificultades para reemplazar la contraseña en sí, lo cual implica que los usuarios deberán tomar el asunto en sus propias manos. Mantenerse alerta y cuida la seguridad de las credenciales de inicio de sesión es el primer paso para proteger la información personal.

 

Camilo Gutierrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/01/11/formas-cibercriminales-roban-contrasenas/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

Phishing: ¿Cómo evitar caer en el engaño?

¿Cómo evitar caer en el engaño del phishing? La compañía de seguridad informática, ESET, aconseja qué hacer cuando un correo parece ser legítimo, pero aun así no se está del todo seguro, qué pruebas realizar para corroborar que no se trata de un phishing.

Phishing

Una encuesta sobre phishing realizada por ESET, compañía líder en detección proactiva de amenazas, presentó a los participantes cuatro imágenes de phishing junto con mensajes reales y poco más del 60% no pudo identificarlas a todas correctamente.

El cuestionario gratuito, llamado ESET Phishing Derby, fue organizado por el equipo de ESET en los Estados Unidos y está diseñado para evaluar cuán competentes somos para distinguir mensajes falsos de los reales. El sistema de puntuación se basa en la velocidad y en diferenciar correctamente los mensajes, y el casi 40% de los participantes que identificó correctamente las muestras incluye algunos que identificaron tres correctamente y en un tiempo súper rápido. Entonces, en realidad, es probable que el número de usuarios que identificó los cuatro correctamente sea menor.

Cuestionario

Este cuestionario no fue diseñado para generar estadísticas, fue diseñado para crear conciencia y ayudar a educar a los participantes sobre cómo identificar correos electrónicos falsos. Curiosamente, los resultados muestran una marcada diferencia en la forma en que los participantes más jóvenes, de entre 18 y 24 años, identificaron las muestras correctamente: 47%, en comparación con solo el 28% de los mayores de 65 años. Las personas de entre 25 y 44 años alcanzaron el 45% y las personas de 45 a 64 años estaban en el 36%.

En caso de que se pregunte sobre la validez de estos datos, el número de total de participantes fue de 4.292 y los datos recopilados son un subproducto en lugar de un estudio académico. Un resultado similar se presentó cuando ESET Canadá realizó la misma encuesta a fines de 2020, con el 68% de los participantes que no logró identificar las cuatro muestras correctamente. Es caso que sea de interés se pueden realizar las pruebas  aquí  o  aquí, ambas están en inglés.

Se podría pensar que con las continuas campañas de concientización sobre temas de seguridad informática que llevan adelante entidades financieras, compañías de ciberseguridad, gobiernos y similares organizaciones este número debería ser menor, mucho menor, y podría estar de acuerdo.

 

Sin embargo, algunos correos electrónicos de phishing que aterrizan en las bandejas de entrada están muy bien diseñados y se ven y se sienten legítimos, lo que hace que sea mucho más difícil identificarlos como falsos. Este desafío solo se volverá más difícil a medida que los ciberdelincuentes perfeccionen su arte.

 

Tony Anscombe, Evangelizador de Seguridad Informática de ESET.

Correo electrónico

Se identificó un correo electrónico que supuestamente era de American Express. El mensaje era una notificación que indicaba que un intento de transacción sospechosa había sido bloqueado y solicitaba que se revisaran las transacciones recientes. A primera vista, el correo electrónico parecía legítimo; estaba bien escrito y tenía buenos gráficos. Sin embargo, algunas señales permiten determinar que el correo era falso. Para empezar, el hecho de que quién recibió el correo no contaba con una tarjeta American Express Business Platinum. Sin embargo, de tener una cuenta, es comprensible el por qué este mensaje logró el engaño y se dio el siguiente paso: abrir el mensaje y posiblemente hacer clic en el enlace que incluye.

El correo electrónico está diseñado para crear una reacción emocional, “oh no, hay fraude en mi cuenta, necesito arreglarlo inmediatamente, haré clic”. Además, otro indicador de que este correo es falso es que el mensaje no es personalizado ya que comienza diciendo ‘Estimado usuario de la tarjeta’ y luego de la ‘Cuenta que comienza con 37******’. American Express sabe quiénes son sus clientes y no se refiere a ellos genéricamente en las comunicaciones, sino que incluyen el nombre.

Por otra parte, las compañías de tarjetas de crédito normalmente usan los dígitos finales que son más específicos de cada número de cuenta y no los números con los que comienza la cuenta. Las tarjetas emitidas por American Express comienzan con un número ´3´ y luego un ‘4’ o ‘7’, por lo que el número utilizado en el correo electrónico es genérico y válido para muchos titulares de tarjetas. Lo que muestra el amplio enfoque que emplean los ciberdelincuentes para atrapar a una víctima.

Rentabilidad

Los recursos informáticos mejorados con los que disponen los ciberdelincuentes harán que la detección de estos engaños sea cada vez más difícil para los usuarios. Por ejemplo, la posibilidad de rentar capacidad de procesamiento en la nube, las cantidades masivas de información personal disponible como consecuencia de brechas de datos y, hasta cierto punto, la financiación de los recientes ataques cibernéticos exitosos que se reinvierten para hacer crecer a las organizaciones dedicadas al cibercrimen.

Consejos ESET

A continuación ESET comparte algunos consejos sobre cómo identificar un correo electrónico de phishing:

Validar a quién está dirigido el correo

Prestar especial atención cuando el correo electrónico no está dirigido a usted personalmente, pese a que la empresa que supuestamente es quien envía el correo sabe quién es usted y, por lo general, enviaría correos electrónicos que incluyan su nombre y no de forma genérica.

Errores gramaticales y ortográficos

Si bien actualmente hay muchos correos de phishing que están perfectamente escritos, todavía es común que muchas campañas con mensajes un tanto descuidados y con errores. Por lo tanto, considerando que los correos electrónicos de phishing están cada vez mejor diseñados, asegúrese de leerlos dos veces, ya que los errores pueden ser más difíciles de detectar.

Correo no solicitado

El correo electrónico no es solicitado; es decir que se trata de una empresa con la que nunca se ha comunicado.

Urgencia

Una llamada para que tome una decisión con urgencia; por ejemplo, que haga clic en un enlace e inicie sesión para revisar transacciones o similares

Remitente

La dirección de correo del remitente: pase el mouse sobre la dirección de correo electrónico y observe cuál es la dirección real del remitente y el dominio desde el que se envió.

Archivos adjuntos

Correos electrónicos con archivos adjuntos, por ejemplo, que afirman ser una factura o notificación de algún tipo.

Solución de seguridad

Contar con una solución de seguridad instalada y actualizada en todos sus dispositivos, tanto de escritorio como móviles.

En los casos en que persiste la incertidumbre sobre si un correo electrónico es real o falso, mi recomendación es visitar el sitio web del supuesto remitente a través de un navegador, iniciar sesión en su cuenta y una vez adentro ver cualquier mensaje o notificación. Cualquier cosa importante estará en las notificaciones de la cuenta. De ser necesario, comuníquese con la empresa por otro canal oficial y valide la solicitud.

 

Anscombe de ESET.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/01/06/como-evitar-caer-engano-phishing/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

Ciberhigiene: Los 10 peores hábitos de ciberseguridad

Los 10 peores hábitos de ciberseguridad para dejar atrás en 2022. La compañía de seguridad informática, ESET, aconseja mantenerse alerta, ser proactivo y romper con los malos hábitos para mejorar la ciberhigiene en 2022.

Ciberhigiene

El año nuevo es una buena oportunidad para recalibrar la vida digital, y una parte cada vez más importante de este proceso es la ciberseguridad. Una mejor seguridad debería significar estar más aislado del riesgo de robo de identidad y pérdida financiera. El costo de estas estafas, en su mayoría en línea, alcanzó un récord de US$56 billones en 2020. Aunque las organizaciones con las que se interactúa tienen el deber, y a menudo la responsabilidad legal, de mantener los datos protegidos, es importante que los usuarios aporten su granito de arena. En este sentido ESET, compañía líder en detección proactiva de amenazas, alienta a mantenerse alerta, ser proactivo y romper con malos hábitos.

¿Cómo romper los malos hábitos?

En Estados Unidos, según el U.S. Identity Theft Resource Center, un tercio de las víctimas de delitos de identidad afirmó que no tenían suficiente dinero para comprar alimentos o pagar los servicios públicos el año pasado como resultado de un fraude. Es por eso que ESET recomienda romper estos 10 malos hábitos para mejorar la ciberhigiene en 2022:

Utilizar software obsoleto

Las vulnerabilidades en los sistemas operativos, navegadores y otros software en la PC y dispositivos son una de las principales formas que les permiten atacar a los ciberdelincuentes. El problema es que en 2020 se descubrieron más de estos errores que en cualquier otro año anterior: más de 18.100. Eso equivale a más de 50 vulnerabilidades de software por día. La buena noticia es que, al activar la funcionalidad de actualización automática y al hacer clic para actualizar cuando te lo solicite, esta tarea no necesita entrometerse demasiado en la vida cotidiana.

Tener una mala higiene de contraseñas

Las contraseñas representan las llaves de nuestra puerta de entrada digital. Desafortunadamente, como en la actualidad son tantas –alrededor de 100 por persona, en promedio-, se tiende a utilizarlas de manera insegura. El uso de la misma contraseña para múltiples cuentas y credenciales fáciles de adivinar les da a los hackers una enorme ventaja ya que poseen softwares para probar variantes de uso común e intentar utilizar contraseñas hackeadas de otras cuentas (conocido como relleno de credenciales). Por esto ESET recomienda utilizar un administrador de claves para recordar contraseñas, o frases de contraseña, únicas, fuertes y seguras. Además, activar la autenticación de doble factor (2FA)en cualquier cuenta que te lo ofrezca.

Conectarse a Wi-Fi público

Utilizar el Wi-Fi público implica riesgos ya que los hackers pueden usar las mismas redes para espiar el uso de Internet, acceder a cuentas y robar las identidades. Para mantenerse a salvo, es importante tratar de evitar por completo estos puntos críticos públicos. Y, si se deben utilizarse, no iniciar sesión en ninguna cuenta importante mientras se esté conectado.

No pensarlo dos veces antes de hacer clic

Phishing es una de las ciberamenazas más prolíficas que existen. Emplea una técnica conocida como ingeniería social, donde el atacante intenta engañar a su víctima para que haga clic en un enlace malicioso o abra un archivo adjunto cargado de malware. Se aprovechan de la credibilidad y, frecuentemente, intenta forzar una rápida toma de decisiones, dando al mensaje un sentido de urgencia. La regla número uno para frustrar estos ataques es: pensar antes de hacer clic. Verificar dos veces con la persona o compañía que envía el correo electrónico para asegurarse de que sea legítimo. Respirar hondo y no dejarse presionar para tomar medidas apuradas.

No usar seguridad en todos los dispositivos

No hace falta decir que en una era de amenazas cibernéticas prolíficas, es necesario tener protección antimalware de un proveedor de buena reputación en todas las PC y computadoras portátiles. Pero ¿cuántos extienden la misma seguridad a los dispositivos móviles y tabletas? De acuerdo a una investigación publicada por The Independent, se pasa casi 5.000 horas cada año utilizando estos dispositivos. En todo este tiempo, hay múltiples oportunidades para toparse con aplicaciones y sitios web maliciosos. Proteger los dispositivos hoy mismo.

Utilizar sitios web inseguros

Los sitios HTTPS utilizan cifrado para proteger el tráfico que va desde el navegador web al sitio en cuestión. Esto tiene dos propósitos: autenticar ese sitio web como genuino y no como una propiedad web fraudulenta o de phishing; y garantizar que los ciberdelincuentes no puedan espiar las comunicaciones para robar claves e información financiera. No es garantía al 100% de que nada malo sucederá, ya que, incluso muchos sitios de phishing usan HTTPS hoy en día. Pero es un buen comienzo. Siempre buscar el símbolo del candado.

Compartir el trabajo y la vida personal

Muchos pasaron gran parte de los últimos dos años fusionando una línea, que alguna vez estuvo claramente definida, entre el trabajo y la vida personal. A medida que la línea se ha vuelto más borrosa, el riesgo cibernético se ha infiltrado. Al considerar, por ejemplo, el uso de correos electrónicos y contraseñas de trabajo para registrarte en compras de consumidor y otros sitios. ¿Qué pasa si esos sitios son violados? Entonces los hackers serán capaces de secuestrar la cuenta corporativa. El uso de dispositivos personales desprotegidos para el trabajotambién agrega un riesgo adicional. Es por esto que, el esfuerzo extra de mantener los negocios y el placer por separado, vale la pena.

Dar detalles por teléfono

Así como el phishing basado en correo electrónico y SMS utiliza técnicas de ingeniería socialpara engañar a los usuarios para que hagan clic, el phishing por voz, también llamado vishing, es una forma cada vez más popular de obtener información personal y financiera de las víctimas. A menudo, los estafadores disfrazan su número real para agregar legitimidad al ataque. La mejor regla general es: no entregar ninguna información confidencial por teléfono. Preguntar quiénes son y desde dónde están llamando, luego llama directamente a la compañía para verificar, sin marcar ningún teléfono proporcionado por la persona que llama.

No realizar una copia de seguridad

El ransomware está costando a las empresas cientos de millones al año. Por lo tanto, a veces es fácil olvidar que todavía hay variantes que asechan a los consumidores. Imagina si, de repente, se bloqueara la PC del hogar. Todos los datos que contiene, y potencialmente el almacenamiento en la nube, podrían perderse para siempre -incluyendo las fotos familiares y los documentos de trabajo más importantes-. Por eso, las copias de seguridad regulares, de acuerdo a la regla de backup 3-2-1para mejores prácticas, brindan tranquilidad en caso de que suceda lo peor.

No proteger el hogar inteligente

Casi un tercio de las casas europeasestán equipadas con dispositivos inteligentes tales como asistentes de voz, televisores inteligentes y cámaras de seguridad. Pero, al equiparlos con conectividad e inteligencia, estos dispositivos también se convierten en un objetivo más atractivo para los delincuentes. Pueden ser secuestrados y convertidos en botnets, para lanzar ataques contra otros, o utilizados como una puerta de enlace al resto de los datos y dispositivos. Para mantenerlos protegidos, es importante cambiar las contraseñas predeterminadas desde el inicio. Además, asegurarse de elegir un proveedor que tenga un historial de corrección de vulnerabilidades conocidas en sus productos, e investigar posibles fallas de seguridad antes de comprar un dispositivo.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/01/04/los-10-peores-habitos-de-ciberseguridad-para-dejar-atras-en-2022/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

Ransomware PYSA: Características

Ransomware PYSA: características de uno de los grupos más activos de 2021. ESET analizó uno de los grupos más activos en 2021 que entre sus víctimas tiene a organizaciones de Argentina, Brasil, Colombia y México.

ESET, compañía líder en detección proactiva de amenazas, analiza PYSA (acrónimo de Protect Your System Amigo), un malware de tipo ransomware, focalizado en secuestrar los archivos del equipo infectado cifrándolos y solicitando el pago de un rescate, generalmente en criptomonedas. Además, implementa técnicas para extorsionar a la víctima que no acceda al pago, como la exfiltración de los archivos y el cold-calling (llamadas telefónicas presionando a las compañías). Entre sus víctimas tiene a organizaciones de Argentina, Brasil, Colombia y México.

Ransomware PYSA

El ransomware PYSA, es una amenaza que opera bajo el modelo de Ransomware-as-a-Service (RaaS,) que surgió en diciembre del 2019 y que tomó notoriedad durante fines del 2020 como muchas otras amenazas. El hecho de que funcione como un RaaS implica que los desarrolladores de este ransomware reclutan afiliados que se encargan de la distribución de la amenaza a cambio de un porcentaje de las ganancias que obtienen de los pagos que realizan las víctimas para recuperar sus archivos del cifrado.

PYSA cayó en la mira de instituciones como el FBI y la agencia de ciberseguridad de Francia por las víctimas de alto calibre que fueron afectadas: Instituciones educativas de todos los niveles, como la Universidad Autónoma de Barcelona y otras universidades, así como agencias gubernamentales europeas, grandes proveedores del sector salud, entre otros.

Este perfil de los blancos de ataque se debe, probablemente, a que las víctimas están más inclinadas a querer recuperar sus archivos a toda costa (y, por lo tanto, acceder al pago) aún si no son compañías con un gran capital.

 

Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Dark web

Los operadores detrás de PYSA cuentan con un sitio en la Dark web que se actualiza con información de sus víctimas más recientes, así como los archivos exfiltrados de aquellas compañías que no hayan realizado el pago. Según Darktracer, en noviembre de 2021 acumulaba un total de 307 víctimas, de las cuales 59 se registraron ese mismo mes. Revisando los nombres de las víctimas en su sitio, identificamos organizaciones de España y de algunos países de América Latina, como Argentina, Brasil, Colombia y México.

¿Qué desean obtener?

A diferencia de otras familias de ransomware conocidas, PYSA no se aprovecha de vulnerabilidades técnicas de manera automatizada. Por el contrario, los ataques buscan obtener acceso a los sistemas de su víctima generalmente mediante:

  • Correos electrónicos con phishing elaborados a medida del objetivo (spearphishing).
  • Ataques de fuerza bruta contra sistemas desprotegidos con el protocolo RDP expuestos públicamente.

Además, y previo a la descarga del ransomware en el sistema de la víctima, los operadores detrás de PYSA utilizan herramientas relacionadas al pentesting para realizar tareas de reconocimiento dentro de los sistemas para recolectar otras credenciales, escalar privilegios, moverse lateralmente dentro de la red comprometida, etc.

La amenaza sigue pasos específicos

Al ejecutarse, PYSA crea un mutex para asegurarse que no haya otras instancias del ransomware corriendo en el mismo equipo. Si este ya existe, la amenaza finaliza su ejecución para prevenir un posible doble cifrado de los archivos de la víctima. De continuar su ejecución, la amenaza sigue una lista de pasos muy específica:

  • Crea hilos de ejecución que se encargarán del mecanismo de cifrado.
  • Modifica de los registros del sistema para que la nota de rescate que se muestra a la víctima se abra cada vez que el equipo inicia.
  • Prepara un script, llamado update.bat, para luego remover cualquier rastro de la amenaza en materia de archivos.
  • Examina el sistema de archivos del equipo y genera dos listas, llamadas Allowlist y blacklist. En la primera, se incluyen archivos cuyas extensiones coincidan con una larga lista de extensiones interesantes, como .doc, .db, .zip, entre otros, y sean de mayor tamaño a 1 KB. En la segunda, se incluyen directorios críticos para el funcionamiento del sistema (como “C:\Windows”), ya que cifrarlos dificultaría el posible descifrado por parte de los atacantes. Al finalizar, todo archivo o directorio que no esté incluido en ninguna de las dos listas es marcado como “Allow”.
  • Cifra el contenido de la lista “Allowlist” y no modifica aquellos archivos en la blacklist.

Consejos ESET

Como toda amenaza, existen recomendaciones para prevenir o aminorar las consecuencias de un ataque de este ransomware. Desde ESET aconsejan:

  • Evitar abrir comunicaciones sospechosas que lleguen a través del correo electrónico o mensaje en redes sociales, y no interactuar con archivos o sitios adjuntos a las mismas.
  • Configurar correctamente los protocolos de escritorio remoto (RDP), e inhabilitar aquellos que no sean necesarios.
  • Implementar contraseñas fuertes y el doble factor de autenticación en todas las tecnologías que sea posible para evitar ataques de fuerza bruta.
  • Descargar programas y archivos de fuentes oficiales y confiables.
  • Utilizar una solución de seguridad de buena reputación, y mantenerla actualizada.
  • Realizar backups de la información crítica o irremplazable de manera periódica.

En caso de ser víctima de una infección con ransomware, no se recomienda contactar a los cibercriminales ni realizar el pago solicitado, ya que no hay garantías de que los cibercriminales tengan la llave para descifrar los archivos, ni que estén dispuestos a hacerlo.

 

Lopez de ESET Latinoamérica.

ESET

Ante este contexto, desde ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso. Además, comparte el kit Anti-Ransomware con información sobre la amenaza y medidas de prevención.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/12/27/ransomware-pysa-principales-caracteristicas/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

Man in the Middle: ¿Qué es y cómo funciona?

¿Qué es un ataque de Man in the Middle y cómo funciona? La compañía de seguridad informática, ESET, advierte sobre los ataques de Man-in-the-Middle, qué son, cómo se realizan y cómo protegerse.

Man in the Middle

ESET, compañía líder en detección proactiva de amenazas, analiza Man-in-the-Middle (MitM), que en español significa “hombre en el medio”, un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos conectados a una red. Este permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes.

Para que un ataque MitM funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, debe estar presente en la misma red que los dispositivos apuntados en el ataque para cambiar la tabla de enrutamiento para cada uno de ellos.

Si bien técnicamente sería posible secuestrar los routers de los proveedores de Internet y alterar arbitrariamente sus tablas de enrutamiento, la complejidad de este tipo de ataque a distancia es mayor.

¿Cómo funciona?

A continuación, ESET analiza el tipo de ataque desde dentro de la red:

Ejecución del ataque

Como sucede en la mayoría de los ataques, incluso si el delincuente no tiene un profundo conocimiento sobre lo que va a ejecutar, podrá llevarlo a cabo, aunque sea de forma mecánica. Por eso es desde ESET destacan la importancia de siempre tomar medidas de protección.

Cuando se está ejecutando un tipo de ataque MitM, el delincuente se hace pasar por la dirección de destino de la víctima, que suele ser un router o alguna otra dirección de puerta de entrada a esa red. Las herramientas que utilizaron en este tipo de ataque fue de envenenamiento de ARP, también conocido como ARP spoofing o envenenamiento de tablas ARP. El ARP, o Adress Resolultion Protocol, es un protocolo de resolución de dirección que se utiliza en la comunicación entre direcciones IP y la dirección física de un equipo, más conocida como dirección MAC.

 El software utilizado para automatizar este ataque fue Ettercap a través de la línea de comandos. Después de ejecutar el comando, la víctima cree que el atacante es la puerta de enlace y comienza a enviarle todas sus solicitudes.

 Consecuencias de un ataque de Man-in-the-Middle

Es posible desarrollar amenazas para realizar determinadas acciones dentro del tráfico interceptado o utilizar alguna de las soluciones ya creadas para realizar estas modificaciones. Algunas de estas funcionalidades permiten:

  • Realizar capturas de pantalla de lo que observa la víctima cada cierto tiempo;
  • Insertar en la página a la que se accede código en JavaScript creado por el atacante;
  • Ejecutar procesos que intentan abrir tráfico encriptado HTTPS;
  • Insertar un keyloggerque capture todo lo que escribe la víctima.

Con esto, las opciones de ataque son prácticamente ilimitadas, y aún es posible utilizar el ataque para dirigir el tráfico a otros frameworks con aún más funcionalidades, como, por ejemplo, BeEF.

Además del enfoque MitM más tradicional, los delincuentes usan este concepto de interceptar las acciones de las víctimas en varios otros tipos de ataques, como la alteración de la memoria cuando la víctima usa el portapapeles (al copiar y pegar algo), ataques de Man-in-the-Browser (que significa hombre en el navegador) cuando el ciberdelincuente modifica información transmitida directamente por el navegador, por ejemplo, cuando se realiza una compra. Todos estos tipos de ataques tienen un impacto significativo en las víctimas y la mayoría de ellos no muestran signos de que la víctima esté siendo atacada en ese momento, lo que hace que las medidas de protección frente a este tipo de amenazas sean aún más necesarias.

 

Daniel Barbosa, Investigador de Seguridad informática de ESET Latinoamérica.

Consejos ESET

ESET comparte algunos consejos para protegerse de un ataque de Man-in-the-Middle:

Siempre desconfíar de las redes Wi-Fi

Por definición, las redes Wi-Fi son más susceptibles a los ataques si alguien ha podido acceder a la red legítima de manera no autorizada o porque los actores maliciosos crean una red con el mismo nombre que la red legítima para engañar a los usuarios y que se conecten. Tener siempre cuidado al utilizar redes Wi-Fi públicas. En caso de necesitar utilizarlas, evitar compartir información importante y descargar archivos.

Solo instalar software de fuentes conocidas

Muchas amenazas se esconden detrás de software o archivos que parecen inofensivos. Por eso es importante asegurarse de que el software que se necesita descargar provenga de una fuente confiable para disminuir las posibilidades de que la descarga haya sido manipulada. Si un ataque Man-in-the-Middle ya está en marcha, es posible que los ciberdelincuentes puedan cambiar el archivo de destino que se descargará.

Antimalware

Una de las formas más eficientes de prevenir la mayoría de las amenazas. Tener siempre en los dispositivo una solución de seguridad correctamente instalada, actualizada y configurada para detener las amenazas que llegan a través de archivos o redes.

En caso de querer proteger un entorno de red corporativa de los ataques MitM, se recomienda tomar algunas medidas adicionales:

Segregar redes

Sacar hosts del mismo dominio de colisión ayuda a evitar que se realicen ataques en toda la red a la vez.

Firewall

Proteger estas redes con un firewall que tenga reglas adecuadas, evitando interacciones no deseadas.

Configurar los routers

Muchos dispositivos de red tienen la capacidad de inspeccionar la tabla ARP para evitar ataques de envenenamiento, identificar si sus dispositivos tienen esta función y, si la tienen, habilitarla.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/12/28/que-es-ataque-man-in-the-middle-como-funciona/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

Signal: ¿Cómo configurar la privacidad y seguridad?

¿Cómo configurar la privacidad y seguridad en Signal? ESET enseña a configurar Signal una de las aplicaciones de mensajería que más privacidad ofrece a sus usuarios.

Durante mayo de 2021, y luego de que WhatsApp anunciara una renovación en su política de privacidad y términos de uso, otras aplicaciones de mensajería instantánea comenzaron a ganar popularidad. Entre las más descargadas después de WhatsApp se encuentran Telegram y Signal. ESET, compañía líder en detección proactiva de amenazas, analiza Signal, la aplicación menos conocida y más anónima de las mencionadas.

Signal

Signal, antes llamada TextSecure, es una aplicación de mensajería de texto y voz que desde sus inicios estuvo caracterizada por la privacidad y seguridad. Es de código abierto, es decir, su código es accesible y auditable por cualquier usuario y, además, es mantenida por una organización sin fines de lucro que opera en base a donaciones.

En cuanto a la recopilación de datos, Signal solamente requiere del número de teléfono móvil del usuario. Si bien cuenta con funcionalidades como la sincronización de los contactos o la posibilidad de contar con una foto de perfil, obtiene los datos utilizando algoritmos con cifrado y no requieren de un almacenamiento extra en los servidores de la aplicación.

Además, todas las comunicaciones realizadas en la aplicación están cifradas por defecto y de manera obligatoria. De hecho, la organización detrás de Signal creó su propio protocolo de cifrado para ello, que combina complejos algoritmos criptográficos para asegurar que sea imposible quebrantarlo.

Finalmente, la aplicación solicita permisos similares a WhatsApp y Telegram. Sin embargo, estos corresponden a funcionalidades adicionales (como importar contactos, enviar fotografías o enviar y recibir mensajes de texto mediante Signal), y se pueden desactivar sin afectar al funcionamiento esencial de la aplicación.

Configuraciones de privacidad en Signal

En los tres puntos en la esquina superior derecha se encuentra la configuración de perfil, dispositivos en donde se haya iniciado sesión y demás ajustes de apariencia y almacenamiento, además estás las opciones de privacidad bajo la categoría Privacidad.

Dentro de esta opción se encuentra la lista de usuarios bloqueados, así como opciones aplicadas a las conversaciones, que van desde la posibilidad de inhabilitar las notificaciones de lectura o tecleo, hasta seleccionar un tiempo de desaparición de los mensajes. Este último funciona como la autodestrucción de mensajes en Telegram, pero configurado para cualquier chat que se inicie. Es decir, después de que el mensaje sea visto, se eliminará de los dispositivos del emisor y receptor en el tiempo que se haya seleccionado. Esta configuración también puede ser aplicada dentro de un chat en específico, en los ajustes dentro del mismo.

Además, se listan opciones de seguridad, como el forzar el bloqueo del dispositivo luego de un tiempo configurable, que puede no coincidir con el tiempo de bloqueo que tiene el teléfono para cualquier ocasión.

Bloquear pantalla

Otra de las características que presenta Signal es la posibilidad de bloquear las capturas de pantalla, tanto por aplicaciones externas como por el mismo uso de capturas de pantalla tradicionales estando dentro de la aplicación. Sin embargo, es importante notar que existen formas de obtener esta información, como por ejemplo, fotografiar la pantalla con otros dispositivos.

Finalmente, la opción de Teclado en modo incógnito posibilita a Signal el desactivar el aprendizaje automático de palabras o frases. De todos modos, no es garantía de que los mensajes no sean analizados mediante el teclado.

Opciones avanzadas

Además, hay disponibles opciones más avanzadas, para quienes quieran asegurar un poco más la aplicación:

En primer lugar, la opción de eliminar el número de los servidores de Signal desactivando las llamadas y mensajes que utilicen los servicios de esta. Si se desactiva esta opción solo se podrán enviar y recibir mensajes de texto a través de la aplicación. Además, se obliga a pasar todas las llamadas que realicemos y recibamos a través de un servidor de Signal, evitando exponer la dirección IP.

Finalmente, está la opción del remitente confidencial. Según explican los propios desarrolladores en su blog, esto añade una capa extra de seguridad: No solo se cifra el contenido de los mensajes que se envían, sino también quien los envía. Para esto, además de los algoritmos de cifrado, utilizan verificaciones de un solo uso contra sus servidores para evitar casos de spoofing.

 Signal se presenta como una alternativa versátil con configuraciones extra en lo que respecta a seguridad que sus contrapartes como Telegram y WhatsApp. El cifrado por defecto, la autodestrucción para todo chat y la opción de remitente confidencial son algunas de las opciones que aumentan nuestra privacidad dentro de Signal. Sin embargo, la abismal diferencia en cuanto a cantidad de usuarios hace que se dificulte utilizarla para contactarnos con nuestros conocidos.

 

Como toda aplicación, es importante tener en cuenta nuestras necesidades y expectativas de privacidad, y compararlas con las políticas de privacidad y términos y condiciones de Signal para asegurarnos que la aplicación sea adecuada para nuestro uso.

 

Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/12/06/como-configurar-privacidad-seguridad-signal/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

 Visítanos en:     @ESETLA     /company/eset-latinoamerica

Categorías
Nota de Prensa

Compras online 2021: ¿Qué tan seguro te sientes?

¿Qué tan seguros se sienten los usuarios realizando compras online? ESET presenta los resultados de su encuesta a usuarios donde revela que el 65% realiza compras online de forma mensual o semanal, cerca el 45% las hace a través de redes sociales y 9% fue víctima de robo de dinero en sitios falsos.

Compras online 

Desde 2020 a esta parte el crecimiento de las compras a través de Internet ha sido notorio, así como el uso de plataformas digitales para efectuar los pagos en sustitución del dinero físico. En Argentina se registraron 25 millones de órdenes de compra online en el primer semestre de 2020 y en agosto de 2021 la cifra llegaba a 80 millones.

En México sucedió algo similar y durante el primer semestre de 2021 se registró un aumento del 192% en compras a través de plataformas de ecommerce como Amazon o Mercadolibre, entre otras. Teniendo en cuenta este comportamiento y considerando que en la época de las fiestas muchos se vuelcan al mundo digital, ESET, compañía líder en detección proactiva de amenazas, consultó a los usuarios sobre cómo se sienten realizando compras online, si sufrieron algún incidente de seguridad, y qué otros hábitos o preferencias tienen al momento de comprar.

Encuesta 2021

El 26% de los encuestados dijo que se siente igual de seguro comprando tanto a través de su teléfono móvil como desde su computadora, aunque casi el 50% manifestó sentirse más seguro a través de la PC. En cuanto a las medidas de protección implementadas, el 25% tiene activo el doble factor de autenticación (2FA) en sus dispositivos y el 57% cuenta con una solución antimalware.

Por otra parte, si bien el 80% de los usuarios no guarda los datos de la tarjeta de crédito en el navegador, el 20% sí lo hace.

Sin embargo, almacenar esta información en el navegador no es una práctica recomendable. Los atacantes utilizan distintos métodos para comprometer tiendas online y robar los datos financieros de los usuarios al momento de comprar. Por ejemplo, mediante la instalación de extensiones maliciosas en el navegador del usuario, explotando vulnerabilidades en plataformas utilizadas para la creación de tiendas ecommerce o en plugins instalados, o mediante ataques de XSS, por nombrar algunos ejemplos.

 

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Años anteriores

El año pasado, por ejemplo, atacantes comprometieron más de 550 tiendas online de distintas partes del mundo a través de ataques de Web Skimming con el objetivo de robar datos de tarjetas de pago. En ese caso en particular los criminales utilizaron falsos plugins para sitios web, falsas plataformas de pago, e inyectaron código malicioso en el sitio de la víctima. Las plataformas afectadas en este ataque eran en su mayoría Magento (85% de los casos), aunque algunas de las tiendas online comprometidas utilizaban Shopify, BigCommerce y PrestaShop, además de WordPress.

En cuanto a las plataformas más utilizadas para comprar, el 45% de los encuestados aseguró que realiza compras a través de redes sociales, pero ante la consulta de si es más seguro comprar a través de redes sociales o sitios web, el 70% afirmó que a través de sitios web y apenas el 5% dijo a través de redes sociales.

Si bien existen muchos emprendedores que utilizan redes sociales para vender sus productos, vale la pena mencionar que las plataformas conocidas protegen más al usuario ante cualquier problema con la compra.

En algunos casos, los estafadores comienzan el engaño en una popular plataformas y solicitan a la potencial víctima continuar la operación por afuera de la misma, argumentando que de esta manera podrán ofrecer un precio más conveniente. Sin embargo, esto es algo que no se recomienda, ya que en caso de ser una estafa la plataforma no podrá dar soporte a la víctima ni reintegrarle el dinero.

 

Camilo, especialista de ESET.

De hecho, el 9% de los usuarios afirma haber sido víctima del robo de dinero en sitios falsos y un 8% el robo o filtración de datos financieros.

ESET

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/12/23/que-tan-seguro-sienten-usuarios-realizando-compras-online/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

El ransomware en 2021

El ransomware en 2021: datos, principales ataques y grupos más activos. La compañía ESET revela que el ransomware fue unas de las amenazas informáticas más peligrosas durante 2021 y registró mayor cantidad de grupos en actividad, mayor cantidad de ataques y pagos más elevados que en años anteriores.

El ransomware en 2021

ESET, compañía líder en detección proactiva de amenazas, analiza por qué el ransomware se convirtió en la amenaza informática que más preocupación genera a nivel global, tanto a empresas de todas las industrias como a organismos públicos. El dinero recaudado por estas bandas criminales sigue en acenso y los montos demandados por los rescates también, lo que demuestra que continúa siendo un negocio redituable y atractivo para los cibercriminales.

Según datos revelados por la oficina de Control de Crímenes Financieros (FinCEN) de los Estados Unidos, solo en este país, entre enero y junio de este año el promedio mensual de transacciones en Bitcoin que se sospecha están relacionadas con el ransomware es de 66.4 millones de dólares. Como ejemplo, en el ataque a  Kaseya, los operadores detrás del ransomware REvil demandaron un pago de 70 millones de dólares por la herramienta de descifrado para que las víctimas pudieran recuperar los archivos secuestrados.

Se duplicaron

La cantidad de ataques de ransomware casi se duplicó en 2021.Hasta el mes de noviembre se habían registrado más de 2300 organizaciones víctimas cuyos nombres fueron publicados en sitios de la Dark web controlados por los atacantes, mientras que en 2020 se registraron cerca de 1300 organizaciones víctimas, informó DarkTracer.

Algunas de las bandas detrás de estos códigos maliciosos concentran la mayor cantidad de víctimas y generalmente son las que gozan de una mayor reputación, lo cual les permite demandar elevadas sumas de dinero.

 

Sin embargo, la realidad indica también que existen muchos otros grupos de ransomware que también operan bajo el modelo de ransomware-as a-service (RaaS), que tienen menor actividad y reputación, pero que también conforman la escena bastante saturada del ransomware en la actualidad.

 

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Teniendo en cuenta la heterogeneidad de estos grupos en cuanto a cantidad de víctimas, número de afiliados, reputación y demás, según datos de Coveware correspondientes al tercer trimestre de 2021, el monto promedio que las víctimas pagan por un ataque de ransomware es de 139.739 dólares.

Ataques más significativos

Ataques de ransomware qué más repercusión tuvieron en 2021:

Colonial Pipeline

El ataque a Colonial Pipeline, la compañía de oleoducto más importante de Estados Unidos, que sufrió por parte del ransomware DarkSide en mayo y provocó el corte de suministro de combustible en gran parte de los Estados Unidos.

Kaseya

El sufrido por Kaseya, donde el grupo REvil aprovechó una vulnerabilidad zero-day en el software de gestión de TI Kaseya VSA (utilizado comúnmente por proveedores de servicios administrados) y mediante un ataque de cadena de suministro utilizando un instalador de una actualización automática del software, comprometieron a más de 1500 compañías en varios países. Luego, demandaron la millonaria cifra de 70 millones de dólares por un descifrador para todas las víctimas.

Mayor impacto

Más allá de estos casos, han sido varios los ataques de ransomware que en 2021 tuvieron un gran impacto por la magnitud de sus víctimas y las consecuencias. Por ejemplo, el que sufrió la empaquetadora de carne norteamericana, JBS, por parte de REvil, el ataque de Conti al sistema de salud de Irlanda, o los ataques a las compañías de seguro CNA de Estados Unidos y AXA de Francia por parte de los ransomware Phoenix y Avaddon respectivamente. En el caso de AXA, casualmente la compañía ofrecía seguros contra ataques de ransomware y una semana antes de sufrir el incidente había dejado de ofrecer este servicio.

Según información publicada por DarkTracer, compañía que se dedica a monitorear la actividad de los grupos de ransomware en la Dark web, desde el 1 de enero de 2019 al 9 de noviembre de 2021 un total de 53 bandas de ransomware afectaron a 3.767 organizaciones.

Para comprender mejor estas cifras, entre 2019 y 2020 un total de 22 grupos de ransomware afectaron afectado a 1.315 organizaciones. Solamente en 2021 se registraron más de 2.452 organizaciones afectadas en ataques de ransomware; una cifra bastante superior a las 1315 que se registraron sumando los dos años previos y que muestra el crecimiento en la cantidad de víctimas.

Vectores más utilizados

Vectores de ataque más utilizados por los grupos de ransomware:

Aparte de algunos ataques en particular, como el ataque a Kaseya utilizando una zero-day en el software Kaseya VSA que demuestra la evolución del ransomware en cuanto a capacidad de estas bandas, en general los vectores para obtener acceso inicial más utilizados siguen siendo los mismos que en años anteriores es decir, ataques de phishing, explotación de vulnerabilidades o ataques al protocolo de escritorio remoto (RDP).

En el caso de la explotación de vulnerabilidades, en septiembre un grupo de investigadores publicaron una lista que recopila 42 vulnerabilidades explotadas por diferentes grupos de ransomware para lograr acceso inicial a sus sistemas, donde se incluyen 17 tecnologías diferentes.

Además, los ataques de phishing siguen siendo un recurso utilizado por los criminales y también los ataques al escritorio remoto (RDP). En este sentido, si bien en 2020 los ataques de fuerza bruta al RDP crecieron 768% entre el primer y último trimestre de 2020, en 2021 el panorama se mantuvo igual. En América Latina, por ejemplo, las detecciones de ataques de fuerza bruta a clientes RDP creció un 32%.

Grupos de ransomware con mayor actividad en 2021

Las bandas más activas durante 2020 fueron Ruyk, Maze, Doppelpaymer, Netwalker, Conti y REvil. En 2021 grupos como Maze o Netwalker dejaron de operar y los grupos destacados fueron Avaddon y Conti, que en noviembre registraba un total de 599 víctimas acumuladas y se convertía en el grupo de mayor actividad en 2021. Las otras familias más activas fueron Lockbit 2.0, Pysa y REvil. Todas estas bandas cobraron muchas víctimas a nivel global, incluyendo la región de América Latina.

Ransomware REvil (Sodinokibi)

En el caso de REVil, también conocido como Sodinokibi, si bien hace poco dejó de operar, esta familia que venía en actividad desde 2019 fue responsable del ataque de Kaseya, pero también de otros ataques muy importantes. Por ejemplo, el que impactó a la compañía de alimentos JBS que decidió pagar a los atacantes 11 millones de dólares. Otro ataque de REvil que tuvo gran repercusión fue el ataque a Quanta Computer, un proveedor de Apple, así como el ataque a Sol Oriens, una empresa contratada para trabajar con la Administración Nacional de Seguridad Nuclear de los Estados Unidos (NNSA, por sus siglas en inglés), además de otras agencias federales.

Varias industrias fueron afectadas por REvil, como la industria manufacturera (19%), servicios legales (15.5%) y la industria de servicios (11,9%). En América Latina, las víctimas de REvil están en Argentina, Brasil, Colombia y México. Entre los principales vectores de acceso inicial que utiliza esta familia utiliza aparecen los correos de phishing, servicios RDP expuestos a Internet, exploit kits y explotación de vulnerabilidades.

Ransomware Conti

Fue detectada por primera vez en 2019 y una de las más activas en 2021. En noviembre, el número de víctimas acumuladas desde sus inicios daba cuenta que es el grupo qué más organizaciones afectó con 599. Entre los ataques qué más trascendieron en 2021 se destaca el que impactó al sistema de salud de Irlanda y que provocó la interrupción en el funcionamiento de sus sistemas, además atacó a otras 16 instituciones de salud de Estados Unidos. Sin embargo, las industrias qué más padecieron a esta banda fueron la industria manufacturera, seguida por la industria de la alimentación y en tercer lugar sectores como el financiero, servicios TI y la construcción.

Entre los principales vectores de acceso inicial que utiliza esta familia utiliza aparecen los correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades. Entre los países de América Latina que sufrieron este malware figuran Argentina, Brasil, Colombia, Nicaragua, República Dominicana.

Ransomware Lockbit 2.0

Detectada entre septiembre de 2019 y enero de 2020 bajo el nombre Lockbit y desde junio de 2021 cambió a Lockbit 2.0. Según publicaron los criminales en su sitio, esta nueva versión incluye una función para el robo de información conocida como “StealBit” que permite descargar automáticamente y de manera veloz todos los archivos de los sistemas de la víctima. Asimismo, el grupo asegura contar con el software de cifrado más rápido (373MB/s) en comparación con el que utilizan otros grupos de ransomware.

En noviembre de 2021 acumulaba un total de 348 organizaciones afectadas. Uno de los ataques más recordados fue el que impactó a Accenture y en el cual solicitaron un rescate de 50 millones de dólares. En cuanto a la forma de distribuirse, esta familia utiliza correos de phishing, servicios RDP expuestos a Internet y explotación de vulnerabilidades en software, como soluciones VPN. Entre los países de América Latina que sufrieron Lockbit 2.0 figuran Brasil, México, Perú, Venezuela, Panamá.

Ransomware Pysa

Esta familia surgió a fines de 2019 pero tomó notoriedad a fines de 2020 con ataques a instituciones educativas, agencias gubernamentales, instituciones de salud, entre otras. En noviembre de 2021 el número de organizaciones víctimas era 307 desde sus inicios.

Los métodos de distribución más utilizados por Pysa son los correos de spearphishing y ataques al servicio de escritorio remoto (RDP).

Entre los países de América Latina que sufrieron al ransomware Pysa aparecen Argentina, Brasil, Colombia y México. 

Ransomware Avaddon

Si bien las primeras apariciones de Avaddon son de fines de 2019, no fue hasta la primera mitad de 2021 que tuvo gran actividad a nivel global, y sobre todo en América Latina, registrando víctimas en Brasil, Chile, Colombia, Costa Rica, México y Perú. Sin embargo, dejó de operar en junio de 2021 y compartió las claves de descifrado para que las víctimas puedan recuperar los archivos.

Según el Centro de Ciberseguridad de Australia, país en el que Avaddon tuvo mucha actividad y afectó a varias organizaciones públicas y privadas, el monto promedio que solicitaban los atacantes en los rescates es de aproximadamente 40.000 dólares. En cuanto a los mecanismos de distribución más utilizados, el más común eran los correos de phishing que incluían adjuntos maliciosos, como archivos ZIP o JPG. Al igual que los otros grupos que mencionamos, también utilizó como vector de acceso la explotación de vulnerabilidades y los servicios RDP.

 Hace poco más de 30 países acordaron trabajar de forma conjunta para dar lucha contra este tipo de amenaza, lo que implica compartir información entre las fuerzas de seguridad y los centros de emergencia y respuesta ante incidentes de seguridad (CERT) de cada país, y también trabajar en mejorar los mecanismos para responder a este tipo de amenazas y promover buenas prácticas que tienen un rol clave en la actividad del ransomware.

 

Si bien hemos visto noticias de arrestos a miembros afiliados de algunos de estos grupos como parte de operaciones internacionales, así como programas que ofrecen importantes recompensas a cambio de información sobre los actores de amenazas detrás de estos grupos, los datos de 2021 muestran un crecimiento en todos los números, por lo que probablemente la tendencia se mantenga similar en 2022.

 

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET

Ante este contexto, desde ESET acerca la guía de ransomware; un documento que explica todo sobre este tipo de código malicioso. Además, comparte el kit Anti-Ransomware con información sobre la amenaza y medidas de prevención.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/12/20/ransomware-2021-datos-ataques-grupos-mas-activos/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Categorías
Nota de Prensa

Troyanos bancarios latinoamericanos

Troyanos bancarios latinoamericanos: ¿cuál es el escenario? ESET comparte un análisis con los detalles sobre cómo operan este tipo de amenazas en la región y ¿cuáles son sus principales características?

Troyanos bancarios latinoamericanos

En agosto del 2019 ESET, compañía líder en detección proactiva de amenazas, comenzó a desarrollar una serie de artículos con el objetivo de desmitificar los troyanos bancarios latinoamericanos. Desde entonces, se han cubierto los más activos, como es el caso de Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban y Numando. Los troyanos bancarios de América Latina comparten muchas características y comportamientos, y estos vínculos en común han sido abordados en un whitepaper elaborado por ESET.

Hallazgos clave de la investigación:

  • Los troyanos bancarios latinoamericanos son una amenaza continua y en evolución.
  • Se dirigen principalmente a Brasil, España y México.
  • Hay al menos ocho familias de malware diferentes que siguen activas al momento de esta publicación.
  • Tres familias han quedado inactivas durante el transcurso de esta investigación.
  • La gran mayoría se distribuye a través de correos de malspam, que suelen incluir un archivo ZIP o un instalador MSI

Troyanos investigados

Aparte de Amavaldo, que quedó inactivo cerca de noviembre de 2020, todas las demás familias siguen activas al día de hoy. Brasil continúa siendo el país más atacado por estas familias de troyanos, seguido por España y México. Desde 2020, Grandoreiro y Mekotio se expandieron a Europa, principalmente a España. Lo que comenzó como varias campañas menores, probablemente para probar el nuevo territorio, se convirtió en algo mucho más grande. De hecho, en agosto y septiembre de 2021 Grandoreiro lanzó su mayor campaña hasta la fecha, dirigida a España. Mientras que Grandoreiro sigue dominando en España, Ousaban y Casbaneiro han dominado Brasil en los últimos meses. Mispadu parece haber cambiado su enfoque casi exclusivamente a México, ocasionalmente acompañado por Casbaneiro y Grandoreiro.

Los troyanos bancarios latinoamericanos solían actualizarse con mucha frecuencia. Durante los primeros días de seguimiento, algunos de ellos añadían o modificaban sus características principales varias veces al mes. Hoy en día siguen cambiando con frecuencia, pero el núcleo parece permanecer casi intacto. Debido al desarrollo parcialmente estabilizado, se cree que ahora los operadores están centrados en mejorar la distribución. Las campañas que vemos siempre vienen en oleadas y más del 90% de ellas se distribuyen a través de malspam. Una campaña suele durar como mucho una semana. En el tercer y cuarto trimestre de 2021, se observó que Grandoreiro, Ousaban y Casbaneiro han aumentado enormemente su alcance en comparación con su anterior actividad.

Ataques exitosos

Para lograr que sus ataques sean exitosos, los troyanos bancarios latinoamericanos requieren de muchas condiciones:

  • Las potenciales víctimas tienen que seguir ciertos pasos necesarios para instalar el malware en sus equipos.
  • Las víctimas deben visitar uno de los sitios web que los atacantes tienen como objetivo e iniciar sesión en sus cuentas.
  • Los operadores deben reaccionar ante esta situación y ordenar manualmente al malware que muestre la ventana emergente falsa y tome el control de la máquina de la víctima.
  • Las víctimas no deben sospechar de la actividad maliciosa y posiblemente incluso tienen que introducir un código de autenticación.

Teniendo en cuenta lo mencionado previamente, es difícil estimar el impacto de los troyanos bancarios sólo basándose en la telemetría. Sin embargo, en junio de este año fue posible hacerse una idea del impacto de estos troyanos cuando las fuerzas de seguridad españolas detuvieron a 16 personas relacionadas con Mekotio y Grandoreiro. En el informe que publicaron, la policía afirma que robaron casi 300.000 euros y que lograron bloquear transferencias por un total de 3,5 millones de euros.

Desde que los troyanos bancarios latinoamericanos se expandieron a Europa han recibido más atención, tanto de los investigadores como de las fuerzas policiales. En los últimos meses se han visto algunas de sus mayores campañas hasta la fecha. Además, es posible que veamos cómo algunos de estos troyanos bancarios se expanden a la plataforma Android. Sin embargo, como seguimos observando que los desarrolladores mejoran activamente sus binarios Delphi, se cree que no abandonarán su arsenal actual.

Implementación

Aunque la implementación de muchos troyanos bancarios latinoamericanos es algo engorrosa y complicada, representan un enfoque diferente para atacar las cuentas bancarias de las víctimas. A diferencia de los troyanos bancarios más conocidos del pasado reciente, no utilizan la inyección en el navegador web. En su lugar, diseñan una ventana emergente que probablemente sea un proceso mucho más rápido y sencillo. Los operadores detrás de la amenaza ya tienen a su disposición plantillas que modifican fácilmente para una lista de diferentes instituciones financieras. Esta es su principal ventaja.

La principal desventaja, es que hay muy poca o ninguna automatización en el proceso de ataque. Sin la participación activa del atacante, el troyano bancario no hará casi ningún daño. La pregunta de cara al futuro es si algún tipo de malware nuevo intentará automatizar este enfoque.

El descubrimiento más significativo en el curso de nuestra investigación es probablemente la expansión de Mekotio y Grandoreiro a Europa. Además de España, hemos observado pequeñas campañas dirigidas a Italia, Francia y Bélgica. Creemos que estos troyanos bancarios seguirán probando nuevos territorios para su futura expansión.

 

Nuestra telemetría muestra un aumento sorprendente en el alcance de Ousaban, Grandoreiro y Casbaneiro en los últimos meses. Esto nos lleva a concluir que los actores de la amenaza detrás de estas familias de malware están decididos a continuar sus acciones nefastas contra los usuarios en los países objetivo. ESET continuará rastreando estos troyanos bancarios y manteniendo a los usuarios protegidos ante estas amenazas.

 

Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.