Mostrando las entradas con la etiqueta ESET Seguridad informática. Mostrar todas las entradas
Mostrando las entradas con la etiqueta ESET Seguridad informática. Mostrar todas las entradas

miércoles, 20 de diciembre de 2023

 


ESET, compañía de seguridad informática, invita a todos a visitar la recién inaugurada exposición fotográfica sobre su ciudad sede. Conoce más de Bratislava y Eslovaquia en la colección montada por la embajada de Eslovaquia en México.

Ciudad de México, México –  ESET, compañía líder en detección proactiva de amenazas, en alianza con la embajada de Eslovaquia y el Gobierno de la Ciudad de México, invita al público a visitar la exposición fotográfica ‘Esto es Eslovaquia’, instalada en Paseo de la Reforma, en la capital mexicana, entre la Glorieta de la Palma y el cruce con Insurgentes.

 

En una ceremonia, en la que autoridades de la Embajada de Eslovaquia y figuras del Gobierno de la Ciudad de México realizaron el corte representativo del listón, las fotografías quedan exhibidas para que residentes y visitantes de la capital mexicana conozcan un poco sobre el país europeo y su historia. La exposición estará montada hasta finales de enero de 2024.

 

La muestra fotográfica celebra 30 años de la independencia de Eslovaquia y el aniversario 30 del establecimiento de las relaciones diplomáticas con México. Las imágenes presentan al país europeo, desde sus tesoros naturales y monumentos históricos hasta una rica cultura popular y entretenimiento moderno en las concurridas calles de las ciudades.

 

Las fotos que integran la expo dan un vistazo a la belleza y el ambiente único que ofrece la nación, brindando la oportunidad de explorar visualmente su espléndido paisaje natural, rica historia, cultura y tradiciones.

 

Asimismo, la colección exhibida en la emblemática avenida mexicana cuenta con imágenes de Bratislava, capital de Eslovaquia, que es un tesoro de la arquitectura moderna. El Puente del Levantamiento Nacional Eslovaco, conocido por los lugareños simplemente como el Puente Nuevo, es un buen ejemplo. Construido entre 1967 y 1972, fue el segundo puente atirantado asimétrico del mundo. Posteriormente fue declarado Edificio del Siglo en Eslovaquia.

 

“ESET fue fundada por eslovacos y tiene su sede en Bratislava. Somos una de las empresas más grandes en el ramo, desarrollamos tecnología propia desde 1987 y hemos evolucionado hasta convertirnos en un proveedor completo de soluciones de seguridad de TI”, comenta Luis Arturo Vázquez, México Country Manager de ESET Latinoamérica.

 

Los productos de la firma eslovaca protegen a más de 110 millones de usuarios y más de 400 mil clientes corporativos en 180 países. Cuenta con 13 centros de investigación en todo el mundo y tres oficinas en América Latina, una de ellas en Ciudad de México.

Inauguran exposición fotográfica ‘Esto es Eslovaquia’ en Paseo de la Reforma

Read More

miércoles, 15 de noviembre de 2023

 

ESET, compañía de seguridad informática, advierte que su API (interfaz de programación de aplicaciones) y el chatbot experimentaron cortes que se confirmaron como producto de un ataque DDoS que se encuentra mitigado.




Ciudad de México, México
 – ESET, compañía líder en detección proactiva de amenazas, analiza el ataque de denegación de servicio distribuido (DDOS) que afectó a ChatGPT y otros servicios.

 

OpenAI, la empresa de inteligencia artificial detrás del desarrollo de ChatGPT, confirmó que sus servicios se vieron afectados por un ataque DDoS. Desde el martes 7 de noviembre de 2023 venía experimentando cortes intermitentes en su API (interfaz de programación de aplicaciones) y el chatbot, que luego se confirmaron como producto de un ataque DDoS.

 

Este tipo de ataques se basan en el envío de solicitudes desde varias fuentes y en gran cantidad a un servidor o servicio web, para sobrecargar la capacidad de procesamiento de estos y provocar la caída del servicio atacado.

 

Al ser un ataque distribuido, desde ESET destacan que utilizan varios flancos de ataque y que la detección del origen de las solicitudes para sobrecargar el servidor se hace más difícil, por lo que un DDoS tiene más probabilidades de evadir los bloqueos que si se trata de una sola fuente son más efectivos.

 

“Estamos experimentando cortes periódicos por un patrón de tráfico anormal que refleja un ataque de DDoS. Estamos trabajando para mitigarlo”, había alertado la empresa en su registro de incidentes.

Desde el jueves 9 de noviembre, asegura la plataforma, los servicios volvieron a la normalidad y se pudo resolver el incidente de seguridad.

 

Todo había comenzado el martes previo con problemas que experimentaron los usuarios del chatbot de OpenAI, ChatGPT, que se atribuían a una "alta demanda excepcional del servicio“, algo que ocurre naturalmente por el uso intensivo que existe en la plataforma. Pero al día siguiente los problemas se intensificaron, y en la investigación de OpenAI finalmente se pudo determinar que estaban bajo un ataque DDoS que los había dejado fuera de juego durante varias horas.

 

Motivaciones más frecuentes detrás de un ataque DDoS

Según publica el sitio BleepingComputer, el grupo que se atribuyó el ataque sería Anonymous Sudan -que en el pasado ha tenido la responsabilidad sobre este tipo de ataque sobre OneDrive, Outlook y Azure Portal-, pero no hay una confirmación oficial de que haya sido este grupo; sí existen difusiones en Telegram sobre esta atribución.

 

“Este tipo de ataques son muy utilizados por los llamados hacktivistas, que presionan a organizaciones motivados por una disidencia ideológica o política. En los últimos años, el cibercrimen también ha virado hacia obtener un rédito económico, mediante extorsiones y pedidos de rescate a cambio de no ejecutar este tipo de ataques, algo que se conoce como Ransom DDoS, a la vez que la práctica, o amenaza de un DDoS, se convirtió en parte del conjunto de coerciones que los grupos Ransom ejercen sobre sus víctimas.”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

OpenAI sufrió ataque de DDOS que afectó a ChatGPT y otros servicios

Read More

martes, 31 de octubre de 2023

 

ESET, compañía de seguridad informática, analiza los pro y contras de registrarse a distintas cuentas con las credenciales de Facebook o Google y a qué se debe prestar atención en cuanto a la seguridad de la información.

 

Ciudad de México, México – Muchos sitios permiten iniciar sesión con la cuenta de Facebook, Google, Microsoft, LinkedIn, Apple u otra cuenta de una gran empresa tecnológica. “Continuar con Google”, por ejemplo, es una forma muy sencilla de registrarse e iniciar sesión en un sitio web o una aplicación donde todo lo que se tiene que hacer es pulsar o hacer clic en un botón y permitir que algunos de los datos personales de la cuenta se compartan con el servicio online de terceros. 

 

Cuando se vincula un acceso a Google con otro servicio se está autorizando a Google a compartir la información personal a cambio de facilidad de acceso y comodidad. Para ayudar a encontrar un equilibrio entre seguridad y comodidad, ESET, compañía líder en detección proactiva de amenazas, analiza los pros y los contras de utilizar este método de autenticación denominado inicio de sesión único (SSO), también conocido como inicio de sesión social, para las cuentas personales online.


El SSO es un esquema de autenticación que permite a una organización obtener acceso consentido a la información personal de un usuario al tiempo que permite el registro e inicio de sesión en los servicios, en lugar de exigir un registro a través de un formulario independiente. Algunas de sus ventajas, son:

 

  • Facilidad de registro y acceso: en lugar de tener que rellenar otro formulario con nombre, apellidos, número de teléfono o dirección de correo electrónico, solo es necesario hacer clic en la opción SSO preferida y compartir esos datos (y posiblemente también otros) con la nueva aplicación o sitio web. Desde ESET destacan que la contraseña nunca se comparte con el sitio web, sino que la identidad se verifica mediante un token de autenticación.
  • Atracción y captación de usuarios: los servicios en línea entienden que cuanto más fácil resulte registrarse e iniciar sesión, más probable es que sea avance y se vuelva a ingresar.
  • Se acabó el cansancio de las contraseñas: los sitios web tienen diferentes requisitos de contraseña; además, se debe utilizar una combinación única de nombre de usuario y contraseña cada vez. La implementación de SSO, establece una contraseña segura y con una sola de las grandes plataformas de Internet se puede dar acceso a cientos de otros sitios web, reduciendo el número de contraseñas que se necesitan crear y memorizar.
  • Mejor prevención de los compromisos de cuentas autoinfligidos (en algunos casos): tener que recordar únicamente la contraseña de una cuenta de Google, por ejemplo, y proteger la cuenta adecuadamente puede reducir la necesidad de generar, y luego depender, de una extensa lista de contraseñas mal protegida.

Si bien el SSO ofrece algunas ventajas importantes al usuario, ESET también destaca los riesgos que podría representar su uso:

 

  • Todos los huevos están en la misma cesta: si las credenciales de Facebook o Google caen en las manos equivocadas, los ciberdelincuentes no solo tendrían acceso a esa cuenta, sino también a todos los sitios web a los que se la hayas vinculado.
  • Proteger la cuenta principal “como si tu vida dependiera de ello”: una contraseña segura -quizá en forma de frase que mezcle mayúsculas, minúsculas y números- puede ser clave para proteger las cuentas y datos personales. Si por alguna razón no se utiliza un gestor de contraseñas que ayude con la elaboración, es útil elegir una frase de contraseña en un formato que permita añadirle el nombre del sitio web, pero sin que toda la cadena sea demasiado predecible.
  • Cuestiones de privacidad. cuando se vinculan cuentas, se está permitiendo que la información personal se transmita al sitio web y, debido a lo fácil que es configurarlo, se podría estar consintiendo la transferencia de más información de la que se espera. Si bien Facebook, Google, Microsoft o Apple permiten comprobar todas las conexiones con terceros, revocar el acceso no significa que también se esté revocando el consentimiento de un sitio web para utilizar los datos. Además, si después de “eliminar conexiones” se vuelve a entrar en el mismo sitio web y se utiliza el login social, se permite el ingreso igual que antes, como si nunca se hubiera revocado el acceso.
  • Atracción y captación de usuarios (y las implicaciones para la huella digital): Al registrarse en aplicaciones o sitios web que no se utilizan de manera frecuente es fácil olvidar su existencia o ingreso. Para evitarlo, desde ESET, aconsejan llevar un registro de todos los sitios web en los que se ingresa y de la información personal que se guarda allí; por ejemplo, la información de la tarjeta de crédito puede estar almacenada en un sitio web que se hayas utilizado una vez. Aunque esto puede ocurrir independientemente de cómo se inicie sesión, la naturaleza sin fricciones del método “exprés” hace más fácil el olvidarse de todas esas aplicaciones o sitios web en los que alguna vez se inició sesión con la cuenta de Google o Facebook.

 

“Cuando se combinan con otras medidas de seguridad y privacidad, los inicios de sesión sociales pueden ahorrar mucho tiempo. Pero en el caso de los sitios web que guardan tu información personal, como tu nombre completo, dirección, datos bancarios o números de tarjeta de crédito, es más seguro optar por una cuenta independiente protegida por una frase de contraseña compleja y única, junto con la autenticación de dos factores (2FA).”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

 

En resumen, para ESET, se recomienda el uso de SSO solo si:

  • Se habilita la autenticación de doble factor (2FA) en la cuenta principal, ya que así será más difícil que alguien se haga pasar por ti en Internet,
  • confiar en la plataforma que se utiliza para acceder al otro sitio web; no obstante, la confianza es algo voluble y se deben tomar otras precauciones,
  • utilizar servicios de pago como PayPal o una tarjeta de crédito virtual como opciones de pago para cualquier sitio web al que se haya accedido utilizando SSO; esto ayudará a evitar que se filtren los datos bancarios,
  • utilizar la configuración de la cuenta principal para realizar un seguimiento de todos los sitios web a los que se la ha vinculado.

Existen otras formas de acceder a las cuentas online y mantenerlas seguras, además de los inicios de sesión sociales. Una opción, según ESET, es crear una cuenta independiente para cada servicio y utilizar un gestor de contraseñas que evita crear, gestionar y rellenar automáticamente las credenciales de inicio de sesión. Otra opción, es usar una dirección de correo electrónico desechable, sobre todo para sitios web que no son de gran interés  o que no se piensa volver a utilizar. Además, algunos gobiernos han creado una identificación única de ciudadano que da a la gente acceso en línea a servicios ofrecidos por algunas organizaciones públicas y privadas.

 

“Sea cual sea el método que elijas, podrás disfrutar de tu presencia en Internet sin demasiados problemas (o prisas) siempre que sigas las prácticas generales de ciberhigiene, como evitar revelar tus credenciales, activar el 2FA y ser consciente de toda tu huella digital.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

¿Deberías iniciar sesión con Google o Facebook en otros sitios web?

Read More

jueves, 19 de octubre de 2023

 

ESET, compañía de seguridad informática, advierte que los ciberdelincuentes pueden interactuar mediante perfiles falsos en esta plataforma y obtener datos de los usuarios de manera sencilla con fines maliciosos, e incluso generar ataques dirigidos a empresas.

­


Ciudad de México, México - No es de extrañar que Reddit, siendo el 18vo sitio web más visitado del mundo y la séptima red social más frecuentada, también sea un gran atractivo para los ciberdelincuentes. ESET, compañía líder en detección proactiva de amenazas, alerta que además de un sinfín de subreddits legítimos, simpáticas fotos de extraterrestres y eventos anuales del Día de los Inocentes, los usuarios de Reddit también pueden encontrarse con varios tipos de engaños en el sitio, incluidas estafas que buscan sus datos y su dinero.

 

Algunos tipos comunes de fraude que se deben tener en cuenta cuando se utiliza esta plataforma, según ESET, son:

 

  • Phishing: el phishing suele ser uno de los tipos de ciberataque más frecuentes. Normalmente, adopta la forma de un correo electrónico o mensaje de texto que se hace pasar por una solicitud legítima de las credenciales de acceso, información de tarjeta de crédito u otros datos personales. En Reddit, este tipo de estafa se propaga sobre todo a través de mensajes privados que los moderadores del foro no pueden leer, lo que facilita a los delincuentes engañar a las víctimas para que hagan clic en enlaces dudosos y faciliten sus credenciales de inicio de sesión o descarguen malware en sus dispositivos. En algunos ataques de phishing, los estafadores envían un gran número de mensajes que suelen estar relacionados con acontecimientos de actualidad y abusan, por ejemplo, del activismo comunitario, como cuando los usuarios de Reddit que tienen intención de reunirse para una protesta reciben de repente un enlace falso para el evento.

    Para reconocer el phishing, desde ESET aconsejan leer detenidamente todo el mensaje, buscar errores gramaticales, comprobar el remitente y prestar atención a los enlaces y archivos adjuntos inesperados. Si el dominio parece legítimo pero hay algo que no encaja es probable que se trate de una campaña de phishing.

 

  • Spearphishing: esta versión específica y más sofisticada del phishing se basa en mensajes especialmente diseñados para una persona o un grupo de personas, como los empleados de una empresa. Los usuarios activos de Reddit que revelan demasiada información sobre sus vidas en subreddits o incluso en otros sitios pueden ser especialmente susceptibles a este ataque.

    Un empleado de Reddit también cayó en una estafa de phishing dirigida en febrero de 2023, que condujo a una brecha de seguridad que permitió a los atacantes acceder a los datos de los empleados. Los atacantes habían enviado mensajes corporativos falsos a los empleados de Reddit que les dirigían a un sitio web de phishing parecido a la puerta de entrada a la intranet de Reddit. El empleado, sin saberlo, facilitó sus credenciales de inicio de sesión, lo que permitió a los estafadores acceder a los documentos internos, el código, los cuadros de mando y los sistemas empresariales del sitio.

 

  • Subreddits falsos: la principal característica de Reddit es su capacidad para permitir a la gente crear sus propios espacios de discusión conocidos como "subreddits", que luego son supervisados por moderadores que se aseguran de que los usuarios siguen las reglas. 

    En última instancia, esto crea un entorno en el que estos foros de debate se ganan la confianza de los usuarios. Sin embargo, los estafadores siempre buscan formas de explotar esta confianza, utilizando bots que generan nuevos subreddits en los que básicamente todo es falso: moderadores, subredditors y publicaciones tomadas de fuentes legítimas. Los subreddits falsos a menudo simulan ser foros de comercio de criptomonedas, y sus moderadores se hacen pasar por comerciantes legítimos.

 

  • Estafas benéficas: algunos foros de Reddit están dedicados a causas benéficas. Por desgracia, también pueden convertirse en caldo de cultivo para estafas, ya que los subreddits atraen a estafadores que se hacen pasar por servicios benéficos legítimos y se aprovechan de la empatía de las personas de buen corazón.

    Por ejemplo, se ha visto a estafadores abusar del subreddit r/Assistance, donde la gente busca o solicita ayuda en diversas situaciones de la vida. En abril de 2020, sus administradores advirtieron sobre estafadores que usaban perfiles falsos con etiquetas CashApp que empezaban por $SuperGo**** o $Falco****** y que se hacían pasar por asistencia legítima para transferir dinero a personas necesitadas. Sin embargo, varios bienintencionados enviaron dinero a los estafadores sin saberlo. "Si recibes un PM de alguien con quien crees que has estado hablando en un post de r/Assistance, asegúrate de hacer clic a través de su perfil y verificar que estás enviando mensajes con la persona correcta antes de hacer cualquier contribución", escribieron los moderadores de r/Assistance en un mensaje de advertencia en respuesta a la estratagema.
­
  • Estafar a personas necesitadas: algunas estafas también implican a estafadores que intentan robar dinero incluso a personas que no tienen mucho y están pidiendo ayuda.

    "Este estafador utiliza cuentas aleatorias de bajo karma que tienen muy poca o ninguna actividad. Se ponen en contacto en privado con usuarios en apuros que han hecho peticiones recientemente y prometen ayuda, piden a los usuarios su información bancaria u ofrecen un cheque que finalmente será devuelto, dejando la cuenta del solicitante en negativo", puede leerse como advertencia en un post en el subreddit r/Assistance. Una de las víctimas describió el ataque como una respuesta inmediata a su publicación en Reddit: "¡Caramba, estos estafadores trabajan rápido! Publiqué algo en el subreddit de epilepsia sobre mis crecientes facturas médicas y momentos después recibí un MP de wilstonb ofreciéndome un trabajo desde casa: 'Puedo ayudarte económicamente con tus deudas'", escribió.

 

  • Criptoestafas: Reddit también es popular entre la comunidad de criptomonedas, ya que atiende a personas que siguen las últimas tendencias en el ámbito de las criptomonedas y buscan asesoramiento sobre el comercio de criptomonedas. Sin embargo, estos Redditors a menudo expresan sus frustraciones acerca de los mensajes que prometen duplicar sus inversiones o promover nuevas monedas que garantizan ganancias irrealmente altas. Esos mensajes suelen proceder de grupos organizados que han obtenido una enorme cantidad de "shitcoins", es decir, criptomonedas de escaso valor, e intentan venderlas a precios inflados mediante campañas de marketing online. Estos "shills" suelen invadir cualquier subreddit popular de criptomonedas y molestar a los usuarios.

    Para protegerse de estas estafas, desde ESET recomiendan seguir un principio sencillo: cuestionar todo lo que parezca demasiado bueno para ser verdad. Si alguien ofrece beneficios extravagantes o reembolsos por tus pérdidas, denúncialo a los administradores del foro.

 

Además, ESET analizó dos tipos diferentes de estafa:

 

  • Spam y redes de upvoting: el spam es un problema grave en Reddit, exacerbado por grupos bien organizados que abusan del sistema de votación del sitio, crean contenidos inventados y posiblemente dañinos y luego los promueven en Reddit con la ayuda de cuentas falsas. Promueven artículos "clickbait" con titulares que llaman la atención, pero lo que se encuentra en su lugar es contenido mal escrito y montones de anuncios. A pesar de carecer de sustancia, estos artículos acumulan un montón de upvotes y comentarios positivos, lo que los empuja a las primeras posiciones de la página principal del subreddit.

    Existe un mercado floreciente de upvotes en Reddit, con precios que oscilan entre 20 y 50 dólares por cada 1,000 votos. En caso de identificar un artículo promocionado con un enlace asociado que parezca sospechoso, no hacer clic en él y denunciar el caso a los administradores del subreddit.

 

  • Cultivo de karma: Reddit se basa en un sistema de karma para distinguir entre cuentas auténticas y fraudulentas, pero los estafadores han aprendido a eludirlo. Crean cuentas que copian y pegan contenido legítimo antiguo de Reddit, aumentando su propia puntuación de karma y haciéndose pasar por usuarios legítimos. En su Informe de Transparencia 2022, Reddit reveló que los administradores y moderadores eliminaron el 4% del contenido publicado en el sitio en 2022. Un abrumador 80% de estas eliminaciones se atribuyeron al spam, en particular al cultivo de karma.

    La aparición de chatbots basados en IA complicó aún más la situación. En diciembre de 2022, los moderadores del popular subreddit r/AskHistorians se percataron de publicaciones que claramente habían sido generadas con la ayuda de IA, informó Vice. Identificar que las respuestas spam del bot se producían con ChatGPT no era el problema, sino "que llegaban tan rápido y tan deprisa", explicó a Vice Sarah Gilbert, una de las moderadoras del foro y asociada postdoctoral en la Universidad de Cornell. En el momento álgido del ataque, el foro baneaba 75 cuentas al día, en el transcurso de tres días. Antes de que las cuentas falsas fueran clausuradas, consiguieron difundir anuncios de algún videojuego.

 

“En la era digital actual, las estafas se colaron en varios rincones de Internet, incluidas plataformas populares como Reddit y otras redes sociales. Mantener la vigilancia mientras se utiliza el sitio, tener cuidado con los mensajes y enlaces no solicitados, cuestionar cualquier cosa que suene demasiado buena para ser cierta y nunca compartir en exceso la información personal. Informarte sobre las últimas estafas y mantenerte al día sobre las mejores prácticas de ciberseguridad. El conocimiento es la mejor defensa contra las estafas. Si te mantienes alerta y precavido, podrás disfrutar de lo que Reddit y otras plataformas de redes sociales tienen que ofrecerte al tiempo que te proteges de los fraudes.”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

 

Cómo detectar estafas en Reddit

Read More

Copyright © News Informanet | Designed With By Blogger Templates
Scroll To Top