La compañía ha descubierto más de 4,700 páginas de phishing creadas por los ciberdelincuentes para vulnerar las cuentas de los usuarios.

Entre marzo y mayo de 2024, las soluciones de Kaspersky detectaron más de 4,700 páginas de phishing apoyadas de bots automatizados (bots OTP), con el objetivo de vulnerar las cuentas de usuarios protegidas con la autenticación de doble factor (2FA).

En la actualidad, diferentes plataformas digitales, como las redes sociales o la banca en línea, permiten habilitar esta autenticación de dos factores, la cual consiste en validar la identidad de un usuario a través de un segundo mecanismo de verificación (adicional a la contraseña habitual), para que pueda acceder a sus perfiles; usualmente, se trata de un código de un solo uso enviado por mensaje de texto, correo electrónico o una app específica, representando una capa adicional de protección. El bot, empleado por los delincuentes, es un software automatizado que solicita este código de 2FA a las víctimas con técnicas de ingeniería social para engañarlas, robarlo y así acceder a sus cuentas.

¿Cómo funciona la ciberestafa?

Los sitios de phishing descubiertos por los expertos de Kaspersky imitan las páginas oficiales de inicio de sesión de bancos, servicios de correo electrónico, entre otras plataformas en línea. Cuando una persona intenta acceder a alguna de sus cuentas desde estos sitios e introduce su nombre de usuario y contraseña, el ciberdelincuente roba esa información para intentar ingresar, desde las plataformas oficiales, al perfil de la víctima quien; en caso de tener activada la 2FA, recibirá el código en su dispositivo móvil.

Inmediatamente, el usuario recibe una llamada de un bot que simula ser empleado de una empresa de confianza. Éste utiliza una grabación convincente para persuadirlo de que comparta o introduzca por su cuenta, el código de seguridad que recibió en su dispositivo. Con el código y la información que se acaba de proporcionar, el ciberdelincuente puede ingresar a la cuenta de la víctima.

Sitio de phishing que imita el diseño de una página de inicio de sesión de banca electrónica

Los delincuentes prefieren hacer llamadas en lugar de enviar mensajes, ya que estas aumentan las posibilidades de que la víctima responda rápidamente. Los bots automatizados pueden imitar el tono y la urgencia de una llamada legítima, para hacerla más convincente; otra de sus ventajas es que pueden controlarse a través de paneles en línea o plataformas de mensajería como Telegram.

Además, tienen varias funciones y planes de suscripción: se pueden personalizar para hacerse pasar por diferentes organizaciones, utilizan distintos idiomas e incluso, permiten elegir entre voces masculinas y femeninas. Las opciones avanzadas incluyen la suplantación de números de teléfono para que el identificador de llamadas los registre a nombre de una organización legítima.

“Cada vez es más fácil obtener los códigos 2FA. Antes, el delincuente lo hacía manualmente al estilo man-in-the-middle; esperaba que la víctima introdujera el token por su cuenta en las páginas de inicio de sesión al solicitárselo. Hoy en día, con los robots, este proceso se ha automatizado, por lo que es fundamental estar atentos y utilizar las mejores prácticas de ciberseguridad para protegernos y no convertirnos en víctimas”, afirma Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky.

Aunque la autenticación de dos factores es una importante medida de ciberseguridad, no es invulnerable. Para protegerte de estas sofisticadas estafas, Kaspersky te recomienda:

• Comprueba automáticamente si hay filtraciones de datos que afecten a tus cuentas vinculadas a direcciones de correo electrónico y números de teléfono, tanto tuyos como de tu familia. Si detectas una filtración, como mínimo, cambia tu contraseña inmediatamente.

• Crea contraseñas fuertes y únicas para todas tus cuentas. Los estafadores sólo podrán atacarte con bots OTP si conocen tu contraseña. Por tanto, genera claves de acceso complejas y guárdalas de forma segura.

• Asegúrate de que estás en un sitio legítimo antes de introducir información personal. Uno de los trucos utilizados por los estafadores es dirigir al usuario a un sitio de phishing sustituyendo algunos caracteres en la barra de direcciones.

• Nunca compartas los códigos de un solo uso con nadie ni los introduzcas en el teclado de tu teléfono durante una llamada. Recuerda que los empleados legítimos de bancos, tiendas, proveedores de servicios, e incluso las autoridades, nunca te los pedirán.

Más información sobre los bots OTP en Securelist.

La entrada Phishing y bots: la nueva estrategia de ciberdelincuentes para robar códigos de 2FA se publicó primero en Technocio.

El spyware es capaz de recopilar archivos borrados, así como captar señales de streaming en vivo, grabar datos y obtener acceso a la cámara web y micrófono del dispositivo infectado.

Los investigadores de Kaspersky presentaron una investigación exhaustiva sobre todas las actualizaciones recientes introducidas en el software espía FinSpy para Windows, Mac OS, Linux y sus instaladores. La investigación, que tardó ocho meses en completarse, descubrió medidas de ofuscación de cuatro capas y anti análisis avanzadas que los programadores del software espía emplearon, así como un kit de arranque UEFI para infectar a las víctimas. Estos hallazgos sugieren un gran énfasis en medidas de defensa por evasión, lo que convierte a FinFisher en uno de los programas espías más difíciles de detectar hasta la fecha.

FinFisher, también conocido como FinSpy o Wingbird, es una herramienta de vigilancia que Kaspersky ha estado rastreando desde 2011. Es capaz de recopilar varias credenciales, listados de archivos y archivos borrados, así como diferentes documentos, señales de streaming en vivo o grabar datos y obtener acceso a la cámara web y micrófono. Sus implantes en Windows se detectaron e investigaron varias veces hasta 2018, cuando FinFisher parecía haber desaparecido.

Después de esta fase, las soluciones de Kaspersky comenzaron a detectar instalaciones sospechosas de aplicaciones legítimas como TeamViewer, VLC Media Player y WinRAR, que contenían código malicioso, no asociado a algún malware conocido. A partir de esto descubrieron un sitio web en birmano que contenía los instaladores infectados y muestras de FinFisher para Android, ayudando así a identificar que estaban troyanizados con el mismo spyware. Este descubrimiento impulsó a los investigadores de Kaspersky a indagar más sobre FinFisher.

A diferencia de las versiones anteriores del software espía, que contenían el troyano en la aplicación infectada, las nuevas muestras están protegidas por dos componentes: un prevalidador no persistente y un posvalidador. El primero de estos componentes ejecuta varias comprobaciones de seguridad para garantizar que el dispositivo que está infectando no pertenezca a un investigador de seguridad. Solo cuando se aprueban las comprobaciones, el servidor proporciona el componente pos-validador; este componente garantiza que la víctima infectada sea la prevista. Es en este instante cuando el servidor ordena la implementación de la plataforma troyana completa.

FinFisher cuenta con cuatro ofuscadores complejos hechos a la medida. La función principal de esta ofuscación es ralentizar el análisis del software espía. Además de eso, el troyano también emplea formas peculiares de recopilar información. Por ejemplo, utiliza el modo de desarrollador en los navegadores para interceptar la protección del tráfico, a través del protocolo HTTPS.

Ejemplo de propiedades de tareas programadas

Los investigadores también descubrieron una muestra de FinFisher que reemplaza el cargador de arranque UEFI de Windows, un componente que inicia el sistema operativo después de que se lanza el firmware, por uno malicioso. Esta forma de infección permite a los atacantes instalar un bootkit sin la necesidad de eludir las comprobaciones de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, pues se destacan por su evasión y persistencia. Aunque, en este caso, los atacantes no infectan el firmware UEFI en sí, sino la siguiente etapa de arranque, el ataque es especialmente sigiloso, ya que el módulo malicioso se instala en una partición separada que puede controlar el proceso de arranque de la máquina infectada.

“El esfuerzo destinado a hacer que FinFisher sea inaccesible para los investigadores de seguridad es particularmente preocupante y bastante impresionante. Al parecer, los programadores enfocaron sus esfuerzos, tanto en las medidas de ofuscación y anti análisis, así como en el propio troyano. Como resultado, su capacidad para evadir cualquier detección y análisis hace que este software espía sea particularmente difícil de rastrear y detectar. El hecho de que este spyware se despliegue con extrema precisión y sea prácticamente imposible de analizar, hace que sus víctimas sean especialmente vulnerables, resultando en que los expertos se enfrenten a un desafío especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras. Amenazas complejas como FinFisher destacan la importancia de la cooperación y el intercambio de conocimientos entre los investigadores de seguridad, así como la inversión en nuevas soluciones de seguridad que tienen como objetivo combatir estas amenazas”, comenta Igor Kuznetsov, investigador principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.

Para protegerse contra amenazas como FinFisher, Kaspersky recomienda:

• Bajar las aplicaciones y programas desde sitios web confiables.

• Actualizar el sistema operativo y todo el software con regularidad. Muchos problemas de seguridad se pueden resolver instalando versiones actualizadas del software.

• Desconfiar siempre de los archivos adjuntos en el correo electrónico. Antes de hacer clic para abrir un archivo adjunto o seguir un enlace, considere los siguiente: ¿Es de alguien que conoce y en quien confía? ¿Es algo que espera?; ¿Está limpio? Coloque el cursor sobre los enlaces y los archivos adjuntos para ver su nombre o adónde van realmente.

• Evitar instalar software procedente de fuentes desconocidas. Puede contener archivos maliciosos y, a menudo, los contiene.

• Utilizar una solución de seguridad robusta como Kaspersky Internet Security for Android o Kaspersky Total Security en todas las computadoras y dispositivos móviles.

Para la protección de las organizaciones, Kaspersky sugiere:

• Establecer una política específica para el uso de software no corporativo. Educar a sus empleados sobre los riesgos que implica bajar aplicaciones no autorizadas de fuentes no confiables.

• Brindar a su personal capacitación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.

• Instalar soluciones anti-APT y EDR, lo que permite el descubrimiento y la detección de amenazas, la investigación y la reparación oportuna de las capacidades de incidentes. Proporcione a su equipo de SOC acceso a la inteligencia contra amenazas más reciente y capacítelos periódicamente con entrenamiento profesional. Todo lo anterior está disponible en la estructura de Kaspersky Expert Security.

• Junto con la protección adecuada de endpoints, los servicios dedicados pueden ayudar contra los ataques más prominentes. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener ataques en sus primeras etapas, antes de que los atacantes logren sus objetivos.

La entrada FinFisher: software espía mejora su arsenal con cuatro niveles de ofuscación se publicó primero en Technocio.

Los segmentos financieros, gubernamentales y académicos, entre los más impactados.

Recientemente, la banda de Ransomware Groove publicó archivos que contenían credenciales para los enrutadores o VPNs de un proveedor conocido en su sitio DLS (Data Leak Site). Los mismos datos fueron publicados en un foro de la Deep Web que surgió hace un par de meses y que, posiblemente, está asociado con el grupo. Los archivos se publicaron en carpetas, divididas por número de puertos y regiones / IPS, lo que permitió que los expertos de Kaspersky analizaran el potencial de las víctimas en América Latina.

El breve análisis de los expertos de la compañía indica que empresas de 168 países han sido afectadas, y los segmentos potencialmente más impactados son los financieros, gubernamentales y académicos/universidades. Basado en los datos disponibles, existe un potencial de 451,609 víctimas de una o varias compañías. Teniendo en cuenta las direcciones IP, los cinco países más afectados en América Latina son México (34,985 (posibles víctimas), Brasil (29.2293), Colombia (28.116), Perú (12,146) y Venezuela (9.607).

El Equipo de Investigación y Análisis (GReAT) de Kaspersky también evaluó la infraestructura utilizada por los ciberdelincuentes detrás del ransomware Groove y reveló varias superposiciones de actividades que pueden ser asociadas a tres grupos diferentes de ransomware: Groove, Blackmatter y Babuk. «Esto ofrece una débil indicación que estos criminales pueden estar cooperando entre sí», detalla Dmitry Bestuzhev, director de Equipo de Investigación y Análisis para América Latina en Kaspersky.

Para las empresas que utilizan VPNs u otro tipo de conexión remota, Kaspersky recomienda las siguientes prácticas de seguridad:

• Utilice la autenticación de doble factor para la VPN, como un certificado electrónico en un token y una contraseña. Este incidente demostró que el solo uso de una contraseña no es suficiente para garantizar una alta protección.

• Para las empresas que utilizan una VPN, es necesario mantener una política de actualización constante. Muchos ciberataques exploran vulnerabilidades en esta tecnología para lograr acceder a la red. Aplicando las actualizaciones y parches es la forma más sencilla de evitar un incidente de seguridad.

• Solo permitir accesos remotos (RDP) basados en direcciones IPs, evitando otorgar permisos generales, como por país. Inclusive, estos tipos de permisos genéricos deben ser bloqueados por defecto. Los accesos remotos también deben autenticarse en dos pasos, pues requerir solo una contraseña no es suficientemente seguro.

Realice un monitoreo constante de accesos. Las empresas deben monitorear los intentos de acceso remoto para identificar posibles actividades sospechosas. Esto le permitirá reaccionar rápidamente y evitar que un intento de ataque se desarrolle. Este monitoreo lo puede realizar el equipo de SOC o se puede subcontratar a una empresa que proporcione este servicio.

Para más información sobre los análisis e investigaciones de la compañía, visite Securelist.

La entrada Vulnerabilidad en VPN comercial puede haber afectado a más de 451 mil cuentas se publicó primero en Technocio.

Análisis de Kaspersky revela que la fuerza bruta es el vector inicial más utilizado para penetrar en la red de una empresa, duplicando su crecimiento en comparación con 2020.

En seis de cada diez (63%) ciberataques investigados por el equipo de Respuesta Global a Emergencias de Kaspersky, los ciberdelincuentes utilizaron la fuerza bruta para robar contraseñas, así como la explotación de vulnerabilidades como vectores iniciales para comprometer el entorno de la organización. Los resultados del nuevo Informe analítico de respuesta a incidentes de Kaspersky demuestran que el simple hecho de implementar una política de administración de parches adecuada reduce el riesgo de incidentes en un 30% y una política sólida de contraseñas reduce en un 60% la probabilidad de ser atacado.

Aunque la importancia de implementar parches y actualizaciones regulares, así como el uso de contraseñas seguras, es bien conocido por aquellos que entienden solo un poco de la ciberseguridad, estos aspectos siguen siendo puntos débiles en una gran cantidad de organizaciones y proporcionan a los criminales una forma de penetrar en el sistema de una empresa. Como resultado, los problemas de seguridad con las contraseñas y el software desprovisto de parches se combinan en la inmensa mayoría de los vectores de acceso inicial durante los ataques.

El análisis de datos anónimos en casos^[1] de respuesta a incidentes (IR, por sus siglas en inglés) muestra que la fuerza bruta, la prueba masiva de contraseñas hasta que el delincuente la acierte, es el vector inicial más utilizado para penetrar en la red de una empresa. En comparación con el año anterior, la proporción de ataques de fuerza bruta se ha disparado del 13% al 31.6%, quizás debido a la pandemia y al auge del trabajo a distancia. El segundo ataque más común es la explotación de vulnerabilidades, cuya proporción es del 31.5%. La investigación mostró que sólo en unos pocos incidentes se utilizaron vulnerabilidades del año 2020. En otros casos, los adversarios utilizaron vulnerabilidades anteriores por ausencia de parches, como CVE-2019-11510, CVE-2018-8453 y CVE-2017-0144.

Más de la mitad de los ataques que comenzaron con correos electrónicos maliciosos, fuerza bruta y explotación de aplicaciones externas se detectaron en cuestión de horas (18%) o días (55%). Algunos de estos ataques, sin embargo, tardaron mucho más, con una duración promedio de hasta 90,4 días. El informe muestra que los ataques que involucran un vector inicial de fuerza bruta son fáciles de detectar en teoría, pero en la práctica solo se identificó una fracción antes de causar algún impacto.

Aunque la prevención de ataques de fuerza bruta y el control de actualizaciones oportunas no parecen ser un problema para un equipo profesional de ciberseguridad, eliminar el 100% de estos problemas es prácticamente imposible:

“Incluso, si el departamento de seguridad de TI hiciera todo lo posible para garantizar la seguridad de la infraestructura de la empresa, factores como el uso de sistemas operativos heredados, equipos de gama baja, problemas de compatibilidad y factores humanos a menudo resultan en fallos de seguridad que pueden poner en peligro la seguridad de una organización. Las medidas de protección por sí solas no pueden proporcionar una ciberdefensa integral. Por lo tanto, siempre deben combinarse con herramientas de detección y respuesta que sean capaces de reconocer y eliminar un ataque en una etapa temprana, así como abordar la causa del incidente”, comenta Konstantin Sapronov, jefe del Equipo de Respuesta Global a Emergencias.

Para minimizar las posibilidades de penetración en su infraestructura, Kaspersky recomienda tomar las siguientes medidas:

• Implementar una política sólida de contraseñas, que incluya autenticación multifactor (MFA) y herramientas de administración de identidad y acceso;

• Asegurarse de que la gestión de parches o las medidas de compensación para aplicaciones de cara al público tengan tolerancia cero. Para la seguridad de la infraestructura de una empresa es crucial aplicar las actualizaciones de las vulnerabilidades que emiten los proveedores de software, así como analizar la red en busca de vulnerabilidades e instalar parches;

• Mantener un alto nivel de conciencia de seguridad entre los empleados. Brindar a los empleados programas exhaustivos y eficaces de formación proporcionados por terceros, es una buena forma de ahorrar tiempo al departamento de TI y obtener buenos resultados;

• Implementar una solución de Detección y respuesta para endpoints con un servicio MDR, para detectar los ataques de manera oportuna y reaccionar a ellos, entre otras medidas. El uso de servicios de seguridad avanzados permite a las empresas reducir el costo que ocasionan los ataques y prevenir consecuencias indeseables.

El informe analítico completo de respuesta a incidentes está disponible en Securelist.

^[1] Kaspersky Incident Response es una solución que ayuda a reducir el impacto de un fallo de seguridad o un ataque al entorno de TI de una empresa. Este servicio abarca el ciclo completo de investigación del incidente, desde la adquisición de evidencia en el lugar hasta la identificación de indicios adicionales de contaminación, preparación de un plan correctivo y eliminación de la amenaza. El informe Incident Response Analytics proporciona conocimientos de los servicios de investigación del incidente realizados por Kaspersky desde enero a diciembre de 2020 en América del Sur y del Norte, Europa, África, Medio Oriente y Asia, así como Rusia y la CEI.

La entrada Políticas de parches y uso de contraseñas reducen el riesgo de ciberataques a empresas se publicó primero en Technocio.

Este pico, registrado en abril de 2021, representa un aumento del 34% en comparación con el mes anterior. Minecraft, Counter Strike y Dota, son los nombres de videojuegos más utilizados como cebo por los ciberdelincuentes.

En 2020, mientras los países alrededor del mundo se veían obligados a permanecer confinados, el número de jugadores en línea se disparó. De hecho, para finales de marzo de 2020, el número de usuarios activos y concurrentes que jugaba activamente en Steam (la plataforma más popular de gaming y tienda de juegos) alcanzó un récord histórico. Este se volvió a batir en marzo de 2021, cuando la plataforma alcanzó casi 27 millones de usuarios.

Naturalmente, a medida que los juegos en línea se han vuelto cada vez más populares, los ciberdelincuentes han buscado formas de aprovecharse de esta tendencia para su beneficio personal. En la primavera del año pasado, los investigadores de Kaspersky descubrieron un aumento significativo en el número de detecciones del antivirus web para sitios con nombres relacionados a videojuegos (es decir, nombres de juegos y plataformas populares): un aumento del 54% en el número diario de redireccionamientos bloqueados en abril de 2020 en comparación con enero de ese mismo año.

Incluso, después de que los bloqueos disminuyeran en la primavera, el número de ataques web que aprovecha el tema de videojuegos siguió aumentando, alcanzando un máximo histórico en noviembre de 2020 de casi 2,500,000. Tras un descenso a principios de 2021, el número de ataques web ha vuelto a aumentar, alcanzando 1,125,010 en abril de 2021, un aumento del 34% en comparación con marzo de este año.

Número de ataques web que utilizaron la temática de videojuegos de enero de 2020 a mayo de 2021

Al igual que el año pasado, el juego más popular utilizado como señuelo es Minecraft, aunque a medida que avanza el año 2021, Counter Strike: Global Offensive ha ido superando a Minecraft como el juego más popular utilizado como cebo. También hubo un pico importante del juego Dota en el verano de 2020. Las amenazas más comunes encontradas en estos enlaces maliciosos que se aprovechaban de la temática de los videojuegos fueron varios troyanos (archivos maliciosos que permiten a los ciberdelincuentes borrar y bloquear datos hasta interrumpir el rendimiento de la computadora) con el malware disfrazado de versiones gratuitas, actualizaciones o extensiones para juegos populares, así como programas de trucos.

«Actualmente hay un número sin precedentes de jugadores a nivel mundial, casi 3,000 millones. Además, se ha demostrado que el gaming es una estupenda forma de relajarse frente a la actual coyuntura. Por supuesto, esto significa que los ciberatacantes seguirán interesados en el sector y, dado que cada vez más personas juegan en sus dispositivos de trabajo, esto pone en riesgo los recursos de la empresa. Sin embargo, los jugadores pueden seguir disfrutando de esta actividad de forma segura, sólo tienen que seguir las mejores prácticas básicas de ciberseguridad», comenta Maria Namestnikova, jefa del Equipo de Investigación y Análisis Global de Rusia.

Para mantenerse a salvo de los ataques mientras se juega, los expertos de Kaspersky recomiendan:

• Utilizar contraseñas seguras y autenticación de dos factores (2FA) siempre que sea posible para proteger tus cuentas de videojuegos.

• Desconfiar de las copias piratas de videojuegos y páginas de trucos, ya que es uno de los señuelos favoritos de los ciberdelincuentes.

• Utilizar una solución de seguridad potente y fiable que no ralentice tu computadora mientras juegas, como Kaspersky Total Security. Funciona sin problemas con Steam y otros servicios de juegos.

• Comprar juegos sólo en sitios oficiales. Además, estos ofrecen rebajas con bastante frecuencia, por lo que no te quedarás de brazos cruzados por mucho tiempo.

• Ten cuidado con las campañas de phishing y con los jugadores desconocidos. Comprueba la autenticidad de los sitios web a los que te redirigen a través de enlaces en correos electrónicos, así como la extensión de los archivos antes de abrirlos.

• No hacer clic en ningún enlace a sitios externos desde el chat del juego, y comprobar cuidadosamente la dirección de cualquier recurso que te pida introducir tu nombre de usuario y contraseña; la página puede ser falsa.

La entrada Se registran más de un millón de ciberataques utilizando nombres de juegos y plataformas de gaming se publicó primero en Technocio.

La pandemia de COVID-19 que enfrentamos desde el año pasado obligó a 1.5 mil millones de estudiantes de todo el mundo a dejar las aulas para tomar clases en línea. Este 2021 no será diferente, gracias a la gran cantidad de herramientas educativas digitales que llegaron para quedarse. De hecho, es muy probable que la digitalización educativa continúe y se potencialice como medio para fortalecer la enseñanza, aunque también podría traer consigo nuevas amenazas cibernéticas para maestros y estudiantes.

Si bien la digitalización del mundo académico ha avanzado de manera paulatina en los últimos años, en 2020 se aceleró cuando los sistemas educativos de todo el orbe tuvieron que migrar de a las clases en línea, forzando a los profesores a dominar nuevas herramientas como las plataformas de videollamadas y, además, enfrentaron el reto de mantener la calidad de la educación en esta nueva realidad.

El año pasado, las herramientas para difundir educación en línea se ampliaron a plataformas que originalmente no estaban asociadas con la educación. Un ejemplo de ello es TikTok, que se hizo muy popular para distribuir contenido educativo. No obstante, con el aumento de estas herramientas, también se incrementaron las amenazas de ciberseguridad para millones de estudiantes y docentes.

Con base en los cambios que los sistemas educativos de todo el mundo experimentaron en 2020, el Equipo Mundial de Investigación y Análisis de Kaspersky elaboró el pronóstico 2021 de los desafíos y posibles amenazas que profesores y estudiantes enfrentarán durante el presente año, en el que gran parte de la actividad académica seguirá desarrollándose en línea. Estos son los principales puntos a tomar en cuenta:

1. Desarrollo de sistemas de gestión de aprendizaje educativo. Los LMS (Learning Management System), son sistemas de gestión de aprendizaje que permiten a los profesores dar seguimiento al proceso de aprendizaje de sus estudiantes, mostrando su progreso y los aspectos que requieren atención. Aunque ya existen varios sistemas conocidos (Google Classroom, Frog, etc.), se espera que el mercado continúe creciendo. A medida que aumente el número y la popularidad de los LMS, también crecerá el número de sitios de phishing asociados a servicios educativos y de videoconferencia. Sus principales objetivos son el robo de datos personales o la difusión de spam dentro de la comunidad educativa. Además, los LMS abren la posibilidad de nuevas e inesperadas amenazas, como el Zoombombing. Mientras las escuelas continúen con el aprendizaje a distancia, estos sistemas seguirán siendo un blanco de ataque.

2. Incremento de los servicios de vídeo en la vida académica: Es un hecho que en 2021 habrá más creación de contenido de vídeos educativos, ya sea que exista como producto acabado o que sea utilizado parcialmente por los maestros como material adicional en el aula, por medio de herramientas como Youtube, Netflix, SchoolTube, KhanAcademy, etc. De hecho, alrededor del 60% de los profesores ya utilizan YouTube en el aula. Si bien los vídeos pueden ser una poderosa herramienta educativa, también hay mucho contenido inapropiado para ciertas edades que puede encontrarse en los servicios de vídeo más populares, y peor aún, algunos de los creadores de este tipo de contenidos podría utilizar temas educativos para llamar la atención. Si bien, esta amenaza no es nueva, su relevancia aumentará con el crecimiento de la digitalización.

3. Uso de redes sociales durante el proceso educativo. Las redes sociales pueden ser una gran forma de alentar la participación de los estudiantes durante y después de clases, además de servir para que los profesores se conecten con sus alumnos. Sin embargo, existen amenazas relacionadas con la regulación de los contenidos. Actualmente, los profesores o administradores de servicios tienen que regular manualmente el contenido de los LMS y de las aplicaciones de videoconferencia, lo cual es una tarea complicada. Moderar el contenido en las plataformas de redes sociales o en los chats de grupos en línea es una tarea aún mayor, especialmente en los grupos o chats públicos. Es ahí donde puede haber camino para contenido inapropiado, comentarios ofensivos y para el ciberacoso. La privacidad es otra preocupación en este sentido. Una aplicación o servicio mal configurado es una puerta abierta hacia los datos personales, en este caso, los de maestros y estudiantes, que podrían ser víctimas de ataques.

4. El riesgo de los videojuegos en el proceso educativo. Casi todo el mundo en la escuela sabe sobre el uso de Minecraft en el proceso de aprendizaje, pero aparte de ese juego, hay muchos servicios que permiten aprender a través del juego. Sin embargo, tan pronto como se incorporan los juegos en el aula, se expone a los estudiantes a los mismos tipos de riesgos que se enfrentan mientras juegan desde casa: trolls y el ciberacoso, archivos maliciosos disfrazados de actualizaciones o complementos del juego que no lo son en realidad, etc.

“La privacidad será la principal preocupación del futuro. La gestión de la misma en cualquier servicio requiere la implicación del usuario, pero muchos de ellos, especialmente los niños más pequeños, no saben cómo controlar adecuadamente su configuración de privacidad. Además, están aumentando el número de servicios que ofrecen herramientas para el proceso educativo en línea, y es muy probable que los educadores utilicen más de uno. Por consiguiente, para cada herramienta y en cada caso, tendrán que prestar especial atención a la protección no sólo de su información personal, sino también de los datos de sus estudiantes.” señaló Dmitry Bestuzhev, director de Investigación y Análisis para América Latina en Kaspersky.

La versión completa de las Predicciones sobre Educación 2021 está disponible en Securelist.

La entrada Regreso a Clases 2021: la digitalización y ciberamenazas retan a maestros y alumnos se publicó primero en Technocio.

La nueva familia de troyanos bancarios monitorea a más de 150 aplicaciones de la banca móvil, fintechs, corredurías y criptomonedas de América Latina, Europa y África

Después de un análisis más profundo de la versión móvil de Guildma, una familia de troyanos bancarios anunciada a finales de septiembre, Kaspersky descubrió características únicas de la ciberamenaza y decidió clasificar esta nueva versión del troyano centrada en teléfonos móviles Android como una nueva familia: Ghimob. Entre los principales hallazgos está la confirmación de que el troyano está listo para operar fuera de Brasil, donde ya cuenta con activas campañas masivas, y que tiene en la mira a bancos, fintechs, y corredurías, tanto de valores como de criptomonedas, ubicados en América Latina, Europa y África.

Para llevar a cabo la infección del celular, los delincuentes detrás de Ghimob lanzan campañas de phishing masivas que alertan sobre una supuesta deuda e incluyen un enlace para que la víctima obtenga más detalles. Tan pronto el usuario hace clic, se instala un RAT (troyano que otorga acceso remoto), el cual envía un mensaje al cibercriminal indicándole que la infección fue exitosa junto con información sobre el modelo del teléfono, si la pantalla cuenta con bloqueo de seguridad y una lista de todas las aplicaciones en el dispositivo de la víctima que el malware puede atacar.

Ghimob cuenta con una extensa lista de aplicaciones que puede espiar, la cual incluye a más de 110 apps de instituciones bancarias en Brasil. Además, el troyano también tiene como objetivo aplicaciones de criptomonedas de diferentes países (13 aplicaciones), sistemas de pago internacionales (9 aplicaciones) y banca móvil de instituciones que operan en Alemania (5 aplicaciones), Portugal (3 aplicaciones), Perú (2 aplicaciones), Paraguay (2 aplicaciones), Angola y Mozambique (1 aplicación de cada país).

En cuanto a su funcionalidad, Ghimob es un completo espía en el bolsillo. Una vez realizada la infección, el cibercriminal puede acceder de forma remota al dispositivo infectado y completar el fraude usando el smartphone de su víctima, lo que le permite eludir la identificación automática y las medidas de seguridad, así como sistemas de comportamiento anti-fraude implementadas por las instituciones financieras. Incluso, si el usuario utiliza un patrón de bloqueo de pantalla, Ghimob tiene la habilidad de grabarlo y reproducirlo para desbloquear el dispositivo. Cuando el cibercriminal está listo para realizar la transacción, superpone una pantalla negra o abre un sitio web que ocupa toda la pantalla, ocultando así la transacción que este realiza en segundo plano usando la app financiera que la víctima ha abierto o activado. Según Fabio Assolini, analista senior de seguridad en Kaspersky, la pantalla negra se usa para obligar a la víctima a usar sus datos biométricos para “desbloquear la pantalla” y así burlar esta medida de autenticación empleada por las apps financieras.

“El deseo de los ciberdelincuentes latinoamericanos por un troyano bancario móvil con alcance global tiene una larga historia. Hemos visto a Basbanke, luego a BRata, pero ambos estaban muy centrados en el mercado brasileño. De hecho, Ghimob es el primer troyano brasileño para la banca móvil listo para internacionalizarse y creemos que esto no tardará, ya que comparte la misma infraestructura que Guildma, un troyano para Windows que ya opera fuera del país”, alerta Assolini.  “Recomendamos que las instituciones financieras monitoreen de cerca estas amenazas para mejorar sus procesos de autenticación y tecnologías antifraude con datos de inteligencia de amenazas. Comprender su comportamiento es la forma más eficaz de mitigar los riesgos de esta nueva familia de RAT móviles”, destaca el experto de Kaspersky.

Todos los productos de Kaspersky ya detectan y bloquean esta amenaza como Trojan-Banker.AndroidOS.Ghimob.

Los detalles e Indicadores de Compromiso para reconocer esta amenaza están disponibles para los usuarios de los servicios Threat Intelligence de Kaspersky – Sector financiero.

Para estar protegido contra las amenazas RAT y otros ataques financieros, Kaspersky recomienda tomar las siguientes medidas de seguridad:

• Proporcione a su equipo de seguridad operativa (SOC) acceso a la información más reciente sobre nuevas amenazas (Threat Intelligence), como el portal de Kaspersky, que ofrece datos de ciberataques recopilados por la empresa durante más de 20 años.

• Informe a sus clientes sobre los trucos que emplean los malhechores. Envíeles información periódica sobre cómo identificar el fraude y cómo eliminarlo.

La entrada Ghimob: nuevo troyano bancario para Android ataca apps financieras se publicó primero en Technocio.

Los honeypots de Kaspersky, redes de copias virtuales de varios dispositivos y aplicaciones conectados a Internet, han detectado 105 millones de ataques a dispositivos IoT provenientes de 276.000 direcciones IP únicas en los primeros seis meses del año. Esta cifra es nueve veces mayor que la cantidad encontrada en el primer semestre de 2018, cuando solo se detectaron alrededor de 12 millones de ataques procedentes de 69.000 direcciones IP. Aprovechando la débil seguridad de los productos de IoT, los ciberdelincuentes están intensificando sus intentos de crear y monetizar botnets de IoT. Este y otros resultados son parte del informe «Internet of Things (IoT): a malware story” (Internet de las Cosas, una historia de malware), sobre la actividad de los honeypots en el primer semestre de 2019.

Los ciberataques a dispositivos IoT están en auge, ya que aunque cada vez más personas y organizaciones compran dispositivos «inteligentes» (conectados a la red e interactivos), como enrutadores o cámaras de seguridad DVR, no todo el mundo considera que es necesario protegerlos. Sin embargo, los ciberdelincuentes ven cada vez más oportunidades de obtener ganancias en la explotación de dichos aparatos. Utilizan redes de dispositivos inteligentes infectados para realizar ataques DDoS o como proxy de otros tipos de acciones maliciosas. Para obtener más información sobre cómo funcionan estos ataques y cómo prevenirlos, los expertos de Kaspersky prepararon honeypots, dispositivos que actúan como señuelos para atraer la atención de los cibercriminales y analizar sus actividades.

Según el análisis de los datos recopilados en los honeypots, los ataques a dispositivos IoT generalmente no son complejos, sino sigilosos, ya que los usuarios no podrían ni siquiera notar que sus dispositivos están siendo explotados. Mirai,la familia de malware que está detrás del 39% de los ataques, es capaz de aprovechar vulnerabilidades, lo que significa que estas botnets pueden colarse en el dispositivo aprovechando la ausencia de parches y así, controlarlo. Otra técnica es la fuerza bruta en las contraseñas, que es el método elegido por Nyadrop, la segunda familia de malware entre las más extendidas de la lista. Nyadrop fue visto en el 38,57% de los ataques y a menudo su función es descargar a Mirai. Esta familia ha sido una de las amenazas más activas durante un par de años. El tercero entre los botnets más comunes que amenazan a los dispositivos inteligentes es Gafgyt, con 2,12%, que también usa la fuerza bruta.

Los investigadores también pudieron localizar las regiones que se convirtieron en fuentes de infección con mayor frecuencia en el primer semestre de 2019. Estas son China, donde se realizó el 30% de todos los ataques, seguida por Brasil, que vio el 19%, y Egipto (12%). Hace un año, en el primer semestre de 2018, la situación era diferente: Brasil encabezaba la lista con un 28%, China seguía siendo el segundo con el 14% y Japón lo seguía con el 11%.

“A medida que las personas se rodean cada vez más de dispositivos inteligentes, somos testigos de cómo se intensifican los ataques a la IoT. A juzgar por la mayor cantidad de ataques y la persistencia de los delincuentes, podemos decir que IoT es un área redituable para los atacantes que utilizan incluso los métodos más primitivos, como adivinar la contraseña y las combinaciones de inicio de sesión. Esto es mucho más fácil de lo que la mayoría de la gente piensa: las combinaciones más comunes son «support/support«, seguida por «admin/admin», «default/default». Es muy fácil cambiar la contraseña predeterminada, por lo que instamos a todos a dar este simple paso para proteger sus dispositivos inteligentes”, dijo Dan Demeter, investigador de seguridad en Kaspersky.

Para mantener sus dispositivos seguros, Kaspersky recomienda a los usuarios:

• Instalar actualizaciones del firmware que utiliza lo antes posible. Tan pronto se encuentra una vulnerabilidad, puede solucionarse mediante parches incluidos en las actualizaciones.

• Cambiar siempre las contraseñas preinstaladas. Utilizar contraseñas complicadas que incluyan letras mayúsculas y minúsculas, números y símbolos, si es posible.

• Reiniciar el dispositivo enseguida si cree que está actuando de manera extraña. Esto puede ayudar a eliminar el malware existente, pero no reduce el riesgo de contraer otra infección.

Kaspersky recomienda a las empresas que tomen las siguientes medidas:

• Mantener restringido por una VPN local el acceso a los dispositivos IoT, y así podrá acceder a ellos desde su red «doméstica», en lugar de exponerlos públicamente en Internet.

Utilizar fuentes de datos de amenazas para bloquear las conexiones de red que se originan en direcciones de red maliciosas detectadas por investigadores de seguridad.

• Asegurarse de que el software de todos los dispositivos esté actualizado. Los dispositivos que no tienen parches deben mantenerse en una red separada, inaccesible para usuarios no autorizados.

La entrada Kaspersky detecta más de 100 millones de ataques a dispositivos inteligentes en el primer semestre de 2019 se publicó primero en Technocio.