|
Mostrando las entradas con la etiqueta Seguridad informática. Mostrar todas las entradas
Mostrando las entradas con la etiqueta Seguridad informática. Mostrar todas las entradas
viernes, 10 de noviembre de 2023
.png)
jueves, 12 de octubre de 2023
Por su popularidad y gran cantidad de usuarios, esta red social está en la mira de los ciberatacantes. ESET, compañía de seguridad informática, indica a qué se le debe prestar atención para reconocer cuentas falsas y no ser víctima de engaños.
El notable crecimiento en las métricas hizo que la mira de los ciberatacantes se vaya enfocando cada vez más en la red social que actualmente es propiedad de Meta. Así fue como surgieron diversos modelos de estafas mediante los cuales los cibercriminales buscan víctimas para obtener algún tipo de rédito económico y/o acceso a su información confidencial. En este contexto, desde ESET, compañía líder en detección proactiva de amenazas, destacan que resulta prioritario que usuarios y usuarias sepan cómo reconocer si una cuenta de Instagram es falsa o no.
A continuación, desde el equipo de investigación de ESET repasan los puntos clave que permiten identificar su veracidad:
· Seguidores falsos (señal de bots): una de las principales alarmas que se suele encender ante una posible cuenta falsa es que sus propios seguidores sean falsos. ¿De qué se trata puntualmente? De bots (viene de "robot", es un programa informático cuya función es realizar tareas automatizadas a través de Internet, generalmente funciones simples que requieren de cierta repetición) creados para acrecentar el número de seguidores, pero que en definitiva no son personas reales.
De hecho, no se trata de usuarios activos ni participativos y la información que presentan es apócrifa. En la actualidad, miles de aplicaciones móviles y páginas ofrecen este servicio de seguidores falsos. Para checar la legitimidad de los seguidores de una cuenta, hay diversas herramientas disponibles como FakeCheck, HypeAuditor y también InBeat, entre tantas otras.
· Nombres similares a cuentas verificadas (logo incluido): otra práctica muy común de los cibercriminales es la creación de cuentas con nombres muy similares a cuentas verificadas, que hasta incluyen el logo de la marca elegida. Recientemente, diversas entidades bancarias vieron suplantada su identidad a través de perfiles de Instagram falsos y también de otras redes sociales. Y hasta personas particulares han visto sus cuentas clonadas.
Desde ESET advierten que una de las herramientas más utilizadas por el cibercrimen es el scrapping que permite monitorear los comentarios y otra actividad de un perfil seleccionado (oficial y real, por supuesto). El objetivo es contactar a la persona que dejó un comentario, haciéndose pasar por la cuenta verdadera mediante un mensaje directo y la solicitud de un número de WhatsApp para comunicarse y ayudarla con su consulta.
El propósito de este engaño es, muchas veces, obtener información confidencial de la víctima, para después llevar a cabo una estafa telefónica y sacar algún provecho económico. Recomiendan desde ESET estar alerta a este tipo de engaños. Es prioritario verificar que el mensaje recibido sea de una cuenta verificada (tilde azul) y, aunque sea la oficial, nunca brindar datos confidenciales como claves bancarias, tokens o códigos de seguridad de la tarjeta de crédito o débito,
· Pocos seguidores pero muchos seguidos: otro indicador de que una cuenta es falsa es la desproporción en la cantidad seguidores y de perfiles seguidos. Las cuentas falsas, muchas veces, presentan una cantidad muy baja de seguidores y siguen a un número muy considerable de cuentas. Este desequilibrio suele indicar que la cuenta compra seguidores o son cuentas creadas por bots.
No en todos los casos se trata de una cuenta falsa, sino que hay algunas cuentas reales que se valen de esta técnica para aumentar sus seguidores. De todas maneras, siempre es un buen punto a tener en cuenta.
· Se contactan ofreciendo un beneficio demasiado bueno: es frecuente que las cuentas falsas se valgan de beneficios exclusivos o premios demasiado buenos para ser verdad para intentar encontrar nuevas víctimas. El modus operandi es sencillo: se etiqueta a la posible víctima en una publicación, solicitan luego que siga la cuenta para hacerse del premio/beneficio.
Para recibir el supuesto premio, la persona debe brindar sus datos personales y hasta, en algunos casos, entregar dinero. El engaño también puede incluir que el usuario reciba un link a una plataforma de pago falsa que permite al ciberdelincuente obtener los datos de la tarjeta de crédito de la víctima.
Otro alarma a tener en cuenta es la inmediatez: es decir, cuando el supuesto beneficio es “solo por tiempo limitado”. Los ciberatacantes tienen muy en cuenta que ante situaciones de presión, la atención a las señales de alerta suelen disminuir.
“Las estafas en Instagram son una realidad y, además de prestar atención a las cuentas falsas, es necesario poner el ojo a los intentos de phishing, vendedores de dudosa reputación, estafas amorosas. Si bien desde la propia red social están constantemente moderando su plataforma para mantenerla lo más limpias posible, sigue siendo muy complejo poder detener a los estafadores que a través de engaños buscan datos confidenciales y dinero de diversas víctimas. Es necesario estar alerta, prestar atención a aquellos indicios o alarmas que invitan a la duda, y también mantener la cuenta configurada correctamente.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
jueves, 5 de octubre de 2023
En muchos estados las normativas relativas a la protección de datos personales son antiguas y varios países buscan actualizarse. ESET, compañía de seguridad informática, repasa cuál es la situación en Latinoamérica.
Los ejes temáticos principales que se encuentran en discusión actualmente son muy diversos y se pueden resumir en los siguientes:
- Regulación del tráfico de información a través de internet.
- Traspaso internacional de datos.
- Huella Digital.
- Tecnologías de procesamiento de datos a gran escala.
- Reevaluación de métodos de protección de datos y acceso a la justicia.
- Descentralización de tratamiento de la información y de autoridades a cargo del control.
- Primacía del consentimiento de los titulares de datos.
“La mayoría de las normativas relativas a la protección de datos personales, en muchos de los estados de Latinoamérica, data de hace más de 10 o 20 años y resultan insuficientes frente al actual estado de la tecnología y las necesidades de esta era. Dada esta circunstancia, varios países latinoamericanos, como Chile y Argentina, buscan regular, reformular y actualizar sus normas vigentes, mientras que otros continúan estáticos”, comenta Fabiana Rodriguez, Investigadora de Seguridad Informática de ESET Latinoamérica.
A continuación desde ESET repasan el estado de la situación normativa en Argentina, Chile, Colombia, Ecuador y México:
Argentina: En la Argentina, la protección de datos personales se encuentra sujeta a la Ley 25326, sancionada y promulgada en el 2000, que dio lineamientos generales respecto a la forma de almacenar y transferir datos, y reconoció en forma explícita algunos derechos en favor de los titulares de datos, como la modificación y extinción de los registros.
“Si bien cumplió su cometido regulatorio, también dejó fuera algunas situaciones que, quizás al momento de su creación, eran impensadas, o implicaban tecnologías incipientes: por ejemplo, la ley no menciona el término “internet”, lo cual incluso para esa época ya era necesario. Frente a varias problemáticas actuales, resulta insuficiente y puede poner en peligro los derechos fundamentales de los titulares de datos”, comenta Rodriguez.
El nuevo proyecto de Ley de Protección de Datos Personales, que se está tratando en el Congreso de la Nación, pretende dar una nueva perspectiva a la cuestión, desde una mirada centrada en los avances tecnológicos. Entre los principales cambios que se proponen se destacan: la posibilidad de que los niños a partir de los 13 años puedan prestar consentimiento para el tratamiento de sus datos (de acuerdo con ciertas circunstancias), la aplicación de la Ley para habitantes de la Nación, sin importar dónde se encuentren almacenados los datos A, y la ampliación del concepto de dato sensible.
México: La Ley Federal de Protección de Datos Personales en Posesión de los Particulares, vigente desde el año 2010, es la norma que rige la temática en el país. También da lineamientos generales en cuanto a clasificación de datos, estableciendo algunos principios sobre el tratamiento de estos, aplicable en figuras públicas y privadas. El eje central de esta ley es la garantía a los particulares de los derechos ARCO (aceptación, rectificación, cancelación y oposición). Sin embargo, la ley cuenta con más de diez años y no abarca cuestiones actuales como la internet, la Inteligencia Artificial, entre otras.
Por otro lado, algunos estados del país cuentan con sus propias leyes, como es el caso de la Ciudad de México y su ley de Protección de Datos Personales en Posesión de Sujetos Obligados, que recientemente sufrió una reforma orientada a que personas de grupos vulnerables puedan ejercer sus derechos vinculados con la ley en forma equitativa.
Chile: Se encuentra en vigencia la Ley 19628, sobre “Protección de Datos de Carácter Personal” también denominada “Ley de Protección de la Vida Privada” que fue sancionada en 1999. En el año 2018 se modificó la Constitución de Chile y se consagró textualmente a la protección de datos como derecho fundamental. Sin embargo, y en consonancia con lo que sucede en otros países, la actual regulación no es eficaz en su aplicabilidad a diferentes situaciones que plantea la digitalización y el uso de tecnologías en constantes cambios, razón por la cual se encuentra en tratativas un nuevo proyecto de ley.
Esta nueva propuesta busca enfocarse en que el tratamiento de la información se realice con el consentimiento del titular de dichos datos o en los casos que lo autorice la ley. Además, procura que se aseguren estándares de calidad, información, transparencia y seguridad. Todo esto basándose en la situación en que se encuentra la información frente a la tecnología. Como novedad, se crearía la Agencia de Protección de Datos Personales, un órgano público competente en la materia y definiría nuevos principios de tratamiento de la información como la licitud y lealtad, la finalidad y calidad de datos, que complementarían a los existentes.
Ecuador: El 26 de mayo de 2021, se sancionó la primera ley referida a datos en Ecuador. La Ley Orgánica de Protección de Datos Personales establece los lineamientos y principios que se deben aplicar para garantizar la privacidad de los datos personales de los ciudadanos. Por otro lado, regula el derecho a acceso y decisión sobre la información que se recopila sobre estos con el objetivo de empoderarlos frente a los desafíos del mundo digital.
Sin embargo, esta ley entró en plena vigencia el 26 de mayo de 2023, dado que al momento de su promulgación se otorgó un plazo de gracia a las empresas y organizaciones que tratan información para reorganizar sus sistemas de acuerdo con la ley en cuestión. A partir de este año, se volvieron aplicables las multas previstas por incumplimiento de la ley, que pueden alcanzar hasta el 1% del capital de negocios de quien la infringe.
Colombia: La Ley 1581 del 2012, es la norma central de la regulación de las cuestiones que atañen a la protección de datos personales, que está complementada por el derecho constitucional de habeas data y otras regulaciones. Esta ley desarrolla los derechos de los titulares de datos a conocer, actualizar y rectificar las informaciones que se hayan recolectado sobre ellos en bases de datos o archivos, siendo una norma similar a las leyes de protección de datos iniciales de Latinoamérica y que establece principios generales.
Dada la fecha de su sanción, la misma no contempla supuestos actuales relacionados con el aumento desmedido del almacenamiento de datos en medios digitales y el crecimiento de tecnologías de procesamiento de datos, lo cual generó una necesidad casi inmediata de reforma. Esto, sumado a la influencia del RGDP europeo, fue el puntapié para el planteo de un nuevo proyecto de Ley (066 del 2022) que tiene como objeto aumentar el resguardo de los datos personales frente al tráfico de mensajería a través de empresas que prestan esos servicios.
Dentro de las propuestas que incluye se puede mencionar la creación de un registro donde los usuarios puedan solicitar la eliminación de los datos referidos a ellos que se encuentren bases de diferentes entidades, así como la imposición de sanciones a empresas que no cumplan con estas solicitudes. Por otro lado, pretende reformular conceptos principales como datos personales y sensibles y regular cuestiones referidas a las transferencias internacionales de información.
“Del panorama legislativo existente y tendencias de reforma respecto a normativas de protección de datos, se puede concluir que, si bien los estados cuentan con lineamientos de protección de datos, los mismos resultan insuficientes para gestionar las problemáticas actuales. Se podría recomendar fuertemente a los estados el establecimiento de un sistema que permita un constante análisis para acomodar las leyes de acuerdo con las necesidades y evitar procesos legislativos lentos que ocasionen que al momento de entrar en vigencia cada reforma, resulte desactualizada.”, concluye Fabiana Rodriguez de ESET Latinoamérica.
El avance de la tecnología, la influencia del Data Science, el Machine Learning e implementaciones de Inteligencia Artificial, generan una constante necesidad de cambio en la legislación, ya que día a día surgen nuevas formas de vulnerar los derechos de los usuarios.
A las organizaciones y empresas tratantes de datos, desde ESET se recomienda dar importancia e invertir para la implementación de Sistemas de Gestión de la Seguridad de Información, así como tomar los recaudos para cumplir las normas respectivas a la protección de datos existentes y acomodarse a las tendencias, tomando como pilar el respeto de los derechos fundamentales.
Finalmente, para los usuarios finales y particulares, ESET aconseja mantenerse actualizados respecto a las nuevas normativas, evaluar qué tipo de datos se comparte y con quién, e informarse antes de prestar consentimiento. Sobre todo, ser consientes a la hora de exponer su información, principalmente al hacerlo mediante dispositivos tecnológicos conectados a internet y que cuenten con soluciones de seguridad suficientes capaces de detectar intrusiones y lograr así una protección de calidad.
viernes, 22 de septiembre de 2023
ESET, compañía de seguridad informática, analiza los aspectos de seguridad a tener en cuenta sobre estas tecnologías que han marcado un alto crecimiento en los últimos tiempos y que se aplican cada vez más.
Ciudad de México, México - Si bien los sistemas de realidad virtual y sus tecnologías asociadas traen múltiples beneficios, su uso también plantea problemas de seguridad. ESET, compañía líder en detección proactiva de amenazas, advierte que los dispositivos y espacios para utilizarlos crecieron en el último tiempo y los ciberatacantes están al acecho.
La realidad virtual y aumentada ya se aplica en varios campos. Se emplean, por ejemplo, en la simulación de prácticas de profesionales de la salud, la enseñanza y el aprendizaje a distancia, en terapias y atención médica, en el arte, los viajes virtuales. La utilizan, incluso, ejércitos para mejorar las misiones de entrenamiento de los soldados y ciertas fuerzas policiales para identificar a posibles criminales. El crecimiento que se espera en el mercado mundial de chips de realidad aumentada y virtual se estima de entre los 7,760 millones de dólares para 2026 en todo el mundo, según Allied Market Research.
El metaverso, por otro lado, promete la interacción a través de realidad virtual y aumentada con el desarrollo de estándares abiertos, y uno de sus objetivos, anunciados por el Metaverse Standars Forum, en 2022, es fomentar la colaboración en la computación espacial en gráficos 3D interactivos, sistemas geoespaciales, simulación física y creación de contenido fotorrealista.
Desde ESET mencionan que los sistemas de realidad virtual y aumentada pueden recopilar mucha más información personal que los sistemas tradicionales. Por ejemplo, los auriculares VR con micrófonos en vivo, pueden grabar todas las conversaciones; los sistemas de seguimiento sobre HMD con cámaras, obtener videos de espacios privados e, incluso, registrar qué está mirando el usuario. Estos datos, sumados a la información biométrica que recopilan los dispositivos, se convierten en un tesoro para los cibercriminales.
En estos entornos es casi imposible anonimizar los datos de rastreo debido a que los individuos tienen patrones de movimiento únicos que, junto a la información conductual y biológica recopilada en cascos de realidad virtual, hacen identificable al usuario con un alto grado de precisión. Un problema clave de privacidad en estas tecnologías es la naturaleza altamente personal de los datos recopilados: datos biométricos como escaneos de iris o retina, huellas digitales y de manos, la geometría del rostro y las impresiones vocales. Toda esta información es mucho más sensible que la que recopilan los sistemas masivos actuales como las redes sociales, y otras formas de tecnología, que ya son utilizadas, por ejemplo, en ataques de suplantación de identidad.
Algunas de las amenazas en las redes de comunicación según ESET, son:
Robo de credenciales: Los criminales pueden robar las credenciales de red de los dispositivos portátiles que se utilicen. Por ejemplo, en el caso de vendedores que usen tiendas de compra con realidad aumentada y realidad virtual: si no tienen las capas de seguridad necesarias, exponen a sus clientes y los datos grabados en sus perfiles de usuario, como los detalles de la tarjeta de crédito y de las soluciones de pago móvil. Los atacantes podrían obtener acceso a estos perfiles y agotar las cuentas de forma silenciosa.
Ataques de intermediario: Por otra parte, en caso de que las redes no estén adecuadamente gestionadas, se estaría expuesto a ataques de intermediario. Los cibercriminales podrían escuchar las comunicaciones entre el navegador de realidad aumentada y el proveedor de esta tecnología, o propietarios del canal y los servidores de terceros, lo que daría lugar a que los atacantes accedan a información de gran sensibilidad.
Ataques de denegación de servicio: Otro ataque potencial a la seguridad en las comunicaciones es la denegación de servicio. Puede ser el caso de un usuario que depende de la realidad aumentada para trabajar y de repente pierde acceso al flujo de información que estaba recibiendo. Esto podría ser preocupante si se trata de profesionales que utilizan la tecnología para realizar tareas en situaciones críticas: como un cirujano que de repente pierde acceso a información vital en tiempo real en sus lentes de realidad virtual, o un conductor que repentinamente no puede ver el camino debido a que el parabrisas con realidad virtual se volvió una pantalla negra.
“Hoy contamos con pocos recursos dado que estas tecnologías aún siguen en expansión y quedan muchas cosas por definir y trabajar. La conectividad actual es por cable o wifi, pero se espera que las futuras versiones de Bluetooth tengan el ancho de banda para admitir estos dispositivos de realidad virtual y aumentada. Será necesario, entonces, implementar comunicaciones seguras IPsec y TLS de gran ancho de banda. Para salvaguardar la realidad virtual que soporte 5G, será importante implementar seguridad de extremo a extremo, y tener en cuenta que los sistemas de realidad virtual y aumentada aún no han implementado el cifrado para las conexiones de red, como sí sucede con otras aplicaciones.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Proteger la red de la realidad virtual de ataques cibernéticos y asegurar la integridad de los datos transmitidos será fundamental, según ESET, y los dispositivos se volverán más vulnerables a los ataques a medida que estos sean más móviles. Se puede utilizar un sistema VPN que ayude a proteger los datos y la identidad y privacidad en Internet previniendo que la información quede comprometida.
“Estas tecnologías son cada vez son más transversales a diferentes áreas de conocimiento y hacen complejo que se puedan abarcar todos los puntos que se deben asegurar, como los dispositivos IOT, dispositivos de realidad virtual con su naturaleza asociada, sistemas de información, y otros. Los cibercriminales siempre buscarán sus ventajas y jugarán en contra de las compañías que hacen esfuerzos para mantener los sistemas seguros. Es importante recordar que los usuarios siempre seremos la línea de defensa ante un ataque y, como mínimo, es importante estar informado y actuar en consecuencia.”, concluye Mario Micucci de ESET Latinoamérica.
Para estar los más protegidos posible, desde ESET aconsejan prestar atención y pensar antes de actuar, sabiendo que en este tipo de universo inmersivo es más difícil distraerse. También, utilizar alguna solución de seguridad como los software antivirus que ayuden a mantener los sistema protegidos y evitar dolores de cabeza contra amenazas relacionadas con malware, phishing y otras.
martes, 19 de septiembre de 2023
ESET, compañía de seguridad informática, analiza las tendencias en cibercrimen a las que las empresas e individuos deberán prestar atención para mejorar su seguridad informática y anticiparse a las amenazas.
Ciudad de México, México – El comportamiento delictivo cada vez más normalizado entre los jóvenes, las mismas víctimas siendo objetivo de múltiples ataques, Estados aliados con ciberdelincuentes, y el robo de datos como epidemia de fraude, son algunas de las tendencias reveladas en los informes de Europol y la Agencia Nacional contra el Crimen del Reino Unido. ESET, compañía líder en detección proactiva de amenazas, las analiza y advierte que tanto empresas e individuos deberán prestar atención para mejorar la seguridad informática.
“Las fuerzas de seguridad son una parte muy importante en la lucha contra adversarios ágiles y cada vez mejor dotados de recursos. Los usuarios y las empresas deben seguir mejorando sus defensas, mientras que los proveedores de Servicios desempeñan un papel clave en la investigación de amenazas emergentes, en incorporar protección a sus productos, e, incluso, en ayudar a la policía a vigilar, desbaratar bandas criminales y reforzar el mensaje de que la ciberdelincuencia no es rentable.”, resume Phil Muncaster, editor de tecnología en ESET.
Dentro de las 5 tendencias de la ciberdelincuencia a tener en cuenta, se encuentran:
Los Estados se alían con los ciberdelincuentes: Durante años, las actividades patrocinadas por el Estado y la ciberdelincuencia fueron áreas muy distintas; la primera giraba en torno al ciberespionaje y los ataques destructivos con fines geopolíticos y militares, y la ciberdelincuencia se centraba solo en ganar dinero.
La Agencia Nacional contra el Crimen del Reino Unido -NCA, por sus siglas en inglés- observa cada vez más una convergencia entre ambas. No solo se manifiesta en el hecho de que algunos actores utilicen técnicas de ciberdelincuencia para robar dinero para el Estado, sino también, en que algunos gobiernos hacen la vista gorda ante las actividades del ransomware y otros grupos. “En el último año, hemos empezado a ver cómo Estados hostiles empiezan a utilizar a grupos de delincuencia organizada -no siempre de la misma nacionalidad- como apoderados”, advierte el jefe de la NCA, Graeme Biggar, y agrega: “Es una evolución que nosotros y nuestros colegas del MI5 y de la policía antiterrorista estamos observando de cerca”.
Se observa un vínculo cada vez mayor entre la delincuencia organizada y los Estados nación. De hecho, hace solo tres meses, el equipo de investigación de ESET advirtió sobre el interesante caso del grupo apodado Asylum Ambuscade, que se mueve entre el crimen y el espionaje. Si esta estrategia se generaliza, desde ESET aseguran que esto dificultará la atribución de las brechas, a la vez que podría dotar a los grupos delictivos de conocimientos más sofisticados.
El robo de datos alimenta una epidemia de fraude: En el Reino Unido, el fraude representa ya el 40% de todos los delitos, con tres cuartas partes de los adultos como objetivo en 2022, ya sea por teléfono, en persona o en línea, según la NCA. Esto se debe, en parte, a una avalancha continua de datos comprometidos que fluyen hacia los mercados de la darkweb. Europol va más allá, afirmando que los datos son la “mercancía central” de la economía de la ciberdelincuencia, alimentando la extorsión (por ejemplo, ransomware), la ingeniería social (por ejemplo, phishing) y mucho más.
Cada vez más, los datos que se venden en estos mercados no son solo información estática, -como son los datos de tarjetas-, sino que se recopilan a partir de múltiples puntos de datos extraídos del dispositivo de la víctima, afirma Europol.
La cadena de suministro de la ciberdelincuencia, desde el robo de datos hasta el fraude, puede implicar a muchos agentes distintos, desde los intermediarios de acceso inicial (IAB) y los hosters, hasta los vendedores de contraprogramas antimalware y servicios de cifrado. Esta economía basada en los servicios es sorprendentemente eficaz. Sin embargo, la NCA afirma que estos servicios profesionales también pueden ayudar a las fuerzas del orden al “proporcionar un rico conjunto de objetivos que, cuando se desbaratan, tienen un impacto desproporcionado en el ecosistema delictivo”.
Las mismas víctimas suelen ser objetivo de múltiples ataques: La forma en que funciona el cibercrimen hoy significa que incluso las organizaciones que acaban de sufrir un ataque no pueden respirar aliviadas porque lo peor ya ha pasado. Esto es porque los IABs venden a múltiples actores de amenazas acceso a las mismas organizaciones. Esto significa que el mismo conjunto de credenciales corporativas comprometidas podría estar circulando entre múltiples actores de amenazas, afirma Europol.
Según ESET los grupos de estafadores también están mejorando a la hora de maximizar sus ganancias de las víctimas. Pueden ponerse en contacto con ellas después de haberles robado el dinero, haciéndose pasar por abogados o policías, y ofrecer ayuda a la empresa de la víctima, a cambio de una comisión.
sábado, 19 de agosto de 2023
ESET, compañía de seguridad informática, identificó una nueva campaña de phishing que afectó a empresas y entidades gubernamentales en Ecuador, México, Argentina, Chile, Perú y Brasil.
Zimbra Collaboration es una plataforma colaborativa de software, open-core, y una alternativa muy popular para administrar correos electrónicos empresariales.
Inicialmente, el objetivo recibe un email con una página de phishing en un archivo HTML adjunto. El email advierte al usuario sobre una actualización del servidor de email, desactivación de la cuenta, o un asunto similar, y le ordena hacer clic en el archivo adjunto. El atacante también falsifica el campo De: del correo electrónico para que parezca procedente del administrador del servidor de email.
Luego de abrir el archivo adjunto, al usuario le aparece una página falsa de inicio de sesión a Zimbra personalizada de acuerdo a la organización de pertenencia. El archivo HTML se abre en el navegador de la víctima, que puede ser inducida a pensar que está siendo redirigida a una página legítima, a pesar de que la URL dirige a una ruta local. Se destaca que el campo “Username” se rellena automáticamente en el formulario de inicio, lo que lo hace parecer más legítimo aún.
En segundo plano, las credenciales enviadas se recopilan desde el formulario HTML y se envían mediante una petición HTTPS POST al servidor que controla el atacante.
“Curiosamente, en varias ocasiones, desde ESET se observaron oleadas posteriores de emails de phishing enviadas desde cuentas de Zimbra que habían sido atacadas previamente, de compañías legítimas, como donotreply[redacted]@[
Según ESET, a pesar de que la campaña no es sofisticada, técnicamente hablando, es capaz de difundirse y comprometer a las organizaciones que usan Zimbra Collaboration, lo que la hace atractiva para los atacantes. “El hecho de que los adjuntos HTML contengas código legítimo, y el único elemento revelador sea un elemento que conecta con un host malicioso, es lo que los atacantes aprovechan. De esta forma, es más fácil eludir las políticas antispam, en comparación a las técnicas de phishing en las que el link está directamente en el cuerpo el correo electrónico. La popularidad de Zimbra entre las organizaciones de las que se espera que tengan menor presupuesto en IT, asegura que siga siendo un objetivo atractivo para los cibercriminales”, concluye Gutiérrez Amaya, de ESET Latinoamérica.
De acuerdo a la telemetría de ESET, el mayor número de afectados se localizan en Polonia, seguida por Ecuador e Italia. En Latinoamérica, además, apuntó a objetivos en México, Argentina, Chile, Perú y Brasil.
Las organizaciones atacadas varían, no se focaliza en ninguna vertical específica; la única conexión entre las víctimas es que utilizan Zimbra. A la fecha, no se ha atribuido esta campaña a ningún actor de amenazas conocido.
viernes, 18 de agosto de 2023
Para fortalecer la privacidad y seguridad en línea, ESET, compañía de seguridad informática, recomienda liberarse de lo que no se utiliza y así reducir la huella digital.
“Cuanto más sean los sitios y aplicaciones con los que compartas información personal y de tu cuenta, más posibilidades tendrás de que tus datos terminen siendo expuestos, tanto si una de esas compañías se ve comprometida o si los cibercriminales te atacan directamente. También hay más probabilidades de que la información de navegación y otros datos se compartan con anunciantes externos y terceras partes. Y, por supuesto, si se publica contenido en las redes sociales, se invita a todo el mundo a observar tu vida diaria lo que no solo podría poner en riesgo tu propia seguridad y privacidad sino que en caso de utilizar un dispositivo de trabajo o compartir información corporativa, también puede representar una amenaza para tu empleador, lo que aumenta aún más el alcance de los riesgos. Incluso algo bastante inocuo como el nombre de tu mascota o el cargo que ocupas podrían ser utilizados por los cibercriminales para tratar de abrir cuentas en línea y/o personalizar los ataques de phishing para obtener información aún más confidencial”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Restringir lo que se publica y compartes en línea tiene sentido en un mundo digital cada vez más poblado por cibercriminales y estafadores. Pero con tanta información distribuida en potencialmente tantos sitios web, cuentas y dispositivos, puede ser difícil saber por dónde empezar.
ESET comparte 10 maneras de reducir la huella digital:
· Descargar menos aplicaciones: Las aplicaciones móviles a menudo requieren que los usuarios ingresen una cantidad significativa de información personal y/o financiera para funcionar según lo previsto. También pueden rastrear la ubicación, la actividad de navegación y otra información que luego se comparte con terceros. Es lógico pensar que cuanto menos sean las aplicaciones en las que se haya registrado, menos expuesta este la información.
Antes de realizar una descarga investigar para analizar si se trata de algo que realmente se necesita. Además se recomienda "limpiar" regularmente los dispositivos para eliminar cualquier aplicación que no se haya utilizado en mucho tiempo y chequear los permisos de las aplicaciones que conserven.
· Configurar menos cuentas en línea y limpiar las existentes: Las empresas no solo quieren atención, quieren lealtad. Es por eso que muchas presionan para configurar cuentas y que se comparta información que luego se monetizará. Este podría ser el caso de una tienda online o hasta de un portal de noticias. Es importante evitarlo, incluso si eso significa que el pago y las credenciales de inicio no se guardarán en el navegador y se necesitará colocarlos manualmente la próxima vez que se ingrese. Volver a cargar esta información es un pequeño paso extra que representa, a menudo, el precio que se paga por una mayor privacidad y seguridad. Por otro lado, si a lo largo de los años se configuraron cuentas para acceder a aplicaciones o servicios que realmente ya no se necesitan ni utilizan, ciérralas.
· Tener especial cuidado de no compartir datos confidenciales: A veces compartir información es inevitable para obtener los bienes o servicios que necesitamos. Pero es importante tener en cuenta qué información estamos entregando. A menos que sea estrictamente necesario, no compartas cosas como números de teléfono, direcciones de correo electrónico y domicilio, detalles financieros u otra información personal identificable, que tienen una gran demanda en la clandestinidad del delito cibernético. Los correos electrónicos y los números de teléfono se pueden usar, por ejemplo, para enviar spam a los destinatarios con mensajes de phishing. Para reducir aún más el riesgo, utiliza cuentas de invitado cuando hagas compras en línea.
· Pensarlo dos veces antes de compartir algo en las redes sociales: El contenido que se comparta será compartido y prácticamente imposible de eliminar una vez que esté en el dominio digital. Por lo tanto, es importante considerar primero cómo ese contenido puede ser recibido por otros, incluyendo a posibles empleadores, y si contiene información confidencial sobre el trabajo y vida personal. También considerar limitar la visibilidad del perfil a los amigos/contactos en línea, y no agregar a nadie que no se conozca en la vida física. Revisar las preferencias de privacidad y tener en cuenta que cualquier contacto no solicitado puede ser fraudulento.
· Ejercer el derecho al olvido o el derecho de supresión: Para muchas personas en distintas partes del mundo existe lo que se conoce como derecho al olvido y el derecho a la supresión, que permiten a las personas solicitar que cierta información sea borrada de Internet. Se debe buscar tu nombre en Internet para ver qué se encuentra y se contacta a los propietarios del sitio web para solicitar la eliminación. Luego, hay que comunicarse con los motores de búsqueda para hacer lo mismo.
· Mantener la ubicación en secreto: Una de las formas más intrusivas de capturar datos es la que rastrea la ubicación. A partir de ella, terceros pueden reconstruir una imagen altamente precisa de movimientos y hábitos diarios. Eso no solo pone en riesgo la privacidad digital, sino que también puede poner en peligro la seguridad física. Asegurarse de evitar que las aplicaciones que no lo necesitan rastreen la ubicación.
· No completar cualquier encuesta en línea: Internet está repleta de concursos y ofertas de premios, a menudo a cambio de completar una encuesta o realizar una acción similar. Algunas son campañas de marketing que buscan construir listas de contactos. Otras pueden ser esfuerzos de criminales diseñados para robar información personal para su uso en campañas de phishing y/o para vender en la dark web.
· Ser despiadado con los newsletters: Las empresas suelen enviar newsletters (boletines digitales) y muchos de estos correos no hacen más que obstruir la bandeja de entrada, se recomienda tener un orden y recibir solo lo fundamental. Si se cree necesario, una buena idea es utilizar una dirección de correo electrónico dedicada para estos fines o una cuenta de correo electrónico desechable, especialmente si se está registrando para algo que solo se planea usar una vez.
· Desactivar cookies de terceros: Las cookies son pequeños archivos que se descargan en la PC o dispositivo cuando se visitas un sitio web. Son utilizados por los propietarios de los sitios para perfilar quién está visitando su sitio y para guardar sus preferencias para futuras visitas. Si bien esto puede mejorar la experiencia de navegación, muchas personas prefieren no compartir este tipo de información, que podría incluir nombres de usuario y contraseñas. La próxima vez que se visite un sitio, considera rechazar las cookies. También se puede deshabilitar el seguimiento de terceros yendo a la configuración de privacidad del navegador.
· Limitar el número de dispositivos que se utiliza: Considerar cuántos dispositivos y PC se tienen que utilizar activamente. Cada uno de ellos contiene datos que podrían llegar a quedar expuestos si el dispositivo se pierde o es robado.
“Minimizar la exposición de datos es una de las prácticas que buscan seguir las organizaciones con las que interactuamos a diario, ya que de esta manera reducen su exposición al riesgo regulatorio. Pero también es una práctica que se recomienda seguir a las personas para mejorar su seguridad y privacidad mientras navegan por las traicioneras aguas de Internet”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
.jpeg)
.jpg)
