ESET analizó campañas de phishing que combinan técnicas tradicionales con el uso de tecnologías de iOS y Android para instalar aplicaciones bancarias maliciosas sin el consentimiento del usuario.

ESET identificó una campaña de phishing dirigida a usuarios de móviles que tenía como objetivo a clientes de bancos. Esta novedosa técnica instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de aplicaciones de terceros, la misma afecta tanto a usuarios de iOS como Android. La mayoría de los casos conocidos al momento se han producido en Republica Checa, y aplicaciones dirigidas al banco húngaro OTP Bank y al banco georgiano TBC Bank.

El equipo de investigación de ESET identificó una serie de campañas de phishing dirigidas a usuarios móviles que utilizaban tres mecanismos de entrega de URL diferentes: llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.

La entrega de llamadas de voz se realizó a través de una llamada automatizada que advertía al usuario sobre una aplicación bancaria desactualizada y le pedía que seleccione una opción en el teclado numérico. Tras pulsar el botón correcto, se enviaba una URL de phishing por SMS.

El acercamiento inicial por SMS se realizó mediante el envío indiscriminado de mensajes a números de teléfono checos. El mensaje enviado incluía un enlace de phishing y un texto para que las víctimas realizaran ingeniería social y visitaran el enlace.

La propagación a través de anuncios maliciosos se realizó mediante el registro de anuncios en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios a que «descargaran una actualización a continuación». Esta técnica permitió a los actores de amenazas especificar el público objetivo por edad, sexo, etc. Los anuncios aparecían entonces en las redes sociales de las víctimas.

Después de abrir la URL entregada en la primera etapa, las víctimas de Android se encontraban con una página de phishing de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación de la aplicación.

Pie de imagen: Flujo de phishing de la PWA

A partir de ahí, se pide a las víctimas que instalen una «nueva versión» de la aplicación bancaria. Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (sólo para usuarios de Android), o como Aplicación Web Progresiva (PWA, por sus siglas en inglés) para usuarios de iOS y Android. Lo destacado de esta instancia es que elude las advertencias tradicionales de los navegadores de «instalar apps desconocidas»: este es el comportamiento por defecto de la tecnología WebAPK de Chrome, de la que abusan los atacantes.

Pie de imagen: Ejemplo de página de instalación de imitación

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS. Al final, no se advierte a los usuarios de iOS sobre la adición de una aplicación potencialmente dañina a su teléfono.

Pie de imagen: Instrucciones emergentes de iOS tras hacer clic en «Instalar» (crédito: Michal Bláha)

Tras la instalación, se pide a las víctimas que introduzca sus credenciales bancarias por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información facilitada se envía a los servidores de C&C de los atacantes.

Los anuncios maliciosos incluían una mezcla de la mascota oficial del banco (camaleón azul), así como logotipos del banco y texto que prometía una recompensa económica al instalar la aplicación o advertía a los usuarios de que se había lanzado una actualización crítica.

Pie de imagen: Ejemplo de anuncio malicioso utilizado en estas campañas

Toda la información de acceso robada se registraba a través de un servidor backend, que luego enviaba los datos de acceso bancario introducidos por el usuario a un chat de grupo de Telegram. Las llamadas HTTP para enviar mensajes al chat de grupo del actor de la amenaza se realizaron a través de la API oficial de Telegram. Según mencionan desde ESET, esta técnica no es nueva y se utiliza en varios kits de phishing.

“Dado que se emplearon dos infraestructuras de C&C drásticamente diferentes, hemos determinado que dos grupos distintos son responsables de la propagación de las aplicaciones de phishing. Seguramente se crearán más aplicaciones de imitación, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing. Toda la información sensible encontrada durante nuestra investigación se envió rápidamente a los bancos afectados para su procesamiento. También coordinamos el desmantelamiento de múltiples dominios de phishing y servidores de C&C.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La entrada Nuevo método de phishing adaptado a usuarios de Android e iOS se publicó primero en Technocio.

Más de 20 mil sitios WordPress fueron afectados en el último semestre por plugins maliciosos que distribuyen malware, con oleadas de detecciones observadas en la telemetría ESET.

ESET advierte que cibercriminales están atacando a miles de sitios web de WordPress aprovechando vulnerabilidades en plugins populares como PopUp Builder, que les permite tomar el control completo de los servidores. Tal como se analiza en el último ESET Threat Report, la banda detrás de Balada Injector ha comprometido más de 20.000 sitios web en los últimos meses, distribuyendo JavaScripts maliciosos en distintas oleadas.

En el último semestre de 2023 se identificó un aumento de este tipo de ataques, y desde enero 2024, las detecciones de ESET tuvieron una subida considerable. El método de ataque es la explotación de vulnerabilidades presentes en el plugin PopUp Builder, usado para la creación de Pop ups de WordPress. La explotación de vulnerabilidades en plugins para WordPress es una de las formas de acceso inicial favoritas usadas por los atacantes detrás de Balada Injector.

Pie de imagen: Tendencias en las detecciones de JS/Agent desde junio 2023 a mayo 2024, media móvil de 7 días.

WordPress es una herramienta usada por más del 43% de los sitios web para la creación de sitios web y gestión de contenidos, según un relevamiento de w3techs.com, por lo que, según ESET, se ha convertido en un blanco predilecto de distintos actores de amenazas.

Los operadores detrás de Balada Injector son conocidos por explotar vulnerabilidades de los complementos para WordPress, y tiene la habilidad de instalar múltiples mecanismos de persistencia. Ján Adámek, ingeniero sénior de detección de ESET, advierte que los scripts de Balada Injector pueden tomar el control completo del servidor web, por lo que una vez detectados es importante eliminar el complemento malicioso y actualizar todo complemento asociado a WordPress.

Por la habilidad que tiene para instalar mecanismos de persistencia, desde ESET recomiendan comprobar si existen cuentas de administrador maliciosas y archivos apócrifos en el servidor web. Cambiar las credenciales de acceso es una forma de prevenir cualquier intrusión no deseada.

Algunos indicadores de compromiso en WordPress a los que se debe prestar atención son:

• El sitio web está en la lista negra de Google, Bing, etcétera.

• El host deshabilita el sitio.

• La web es marcada por distribuir malware

• Detección de comportamientos no autorizados, como usuarios nuevos desconocidos, por ejemplo.

• El sitio se ve extraño

En caso de detectar actividad maliciosa, ESET comenta que las principales medidas a tomar son:

• Controlar los accesos y revocar aquellos que son dudosos

• Documentar toda actividad sospechosa para tener un reporte de incidente

• Escanear el sitio y su entorno

• Una vez que se logra determinar que el sitio está limpio de la amenaza, cambiar las contraseñas y credenciales de acceso, recordando utilizar contraseñas robustas

“Como insistimos desde ESET mantener los sistemas y aplicaciones actualizadas es una manera contar con los parches y mejoras en seguridad que ofrece cada desarrollador. El software actualizado asegura el abordaje de problemas de seguridad que puedan descubrirse. En el caso de WordPress asegúrate de tener la última versión, que es la serie 6.6 y es la versión más segura de usar ya que se mantiene actualizada activamente”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La entrada Cibercriminales explotan vulnerabilidad en sitios WordPress se publicó primero en Technocio.

ESET Latinoamérica celebra sus 20 años y repasa la evolución del malware y el cibercrimen a nivel global y en América Latina, y advierte como el ciberespionaje, los fraudes, la extorsión digital y el cibercrimen presentan desafíos de seguridad particulares en toda Latinoamérica.

ESET celebra sus primeros 20 años en América Latina y analiza la evolución del malware en la región, desde las primeras apariciones hasta los ciberataques elaborados a nivel local, donde se destacan el ciberespionaje, los fraudes, la extorsión digital y el cibercrimen, con el objetivo de reflexionar sobre los desafíos actuales y a futuro para la ciberseguridad de las organizaciones y los usuarios.

En las últimas dos décadas, el panorama de la ciberseguridad experimentó una transformación radical y el malware, en sus múltiples formas, evolucionó desde simples virus diseñados por entusiastas, hasta sofisticadas herramientas de espionaje y sabotaje utilizadas por actores estatales y criminales organizados para atacar a empresas, gobiernos y personas. ESET, repasa lo más destacado:

Primeros Pasos del Malware (2000-2010):

Los virus y gusanos informáticos eran las principales amenazas, causando molestias y daños considerables. Ejemplos como Melissa y Love Bug sembraron el caos en la incipiente era digital; estos virus y gusanos causaban daños mediante la eliminación de archivos y la congestión de redes. En Latinoamérica, estos ataques empezaron a hacerse sentir con fuerza debido a la rápida expansión del acceso a internet y la falta de una cultura de ciberseguridad. La rápida propagación de este tipo de amenazas a través de correos electrónicos con un asunto atractivo evidenció la necesidad de una mayor educación en ciberseguridad.

La Era del Crimen Organizado (2010-2020):

La profesionalización del cibercrimen. Amenazas como el ransomware, que secuestran datos a cambio de un rescate, causaron estragos a nivel mundial. El malware se volvió más sigiloso y dirigido. El phishing, el ransomware y los ataques de APT (Amenazas Persistentes Avanzadas) se intensificaron.

El macromalware, que utiliza macros en documentos de Office para infectar sistemas fue de los métodos de propagación de malware más utilizados. Estos documentos maliciosos se distribuyen a través de correos electrónicos de phishing, engañan a los usuarios para que habiliten las macros y ejecutan el malware. Esta amenaza fue particularmente efectiva en atacar organizaciones con menores niveles de conciencia y formación en ciberseguridad.

Uno de los incidentes que más conocido en los últimos 20 años, fue cuando WannaCry en 2017 afectó a sistemas en más de 150 países. Este ataque destacó la vulnerabilidad de los sistemas sin parches y la importancia de una gestión adecuada de actualizaciones de software. El ransomware siguió creciendo hasta la actualidad a nivel global y también en la región, algunos muy recordados como el ataque de Conti a Costa Rica, o REvil, que en 2021 atacó a un gran número de empresas globalmente y, a nivel local, a países como México, Colombia y Argentina, mediante un ataque a la cadena de suministro.

APTs y la geopolítica del malware (2020-presente):

Las Amenazas Persistentes Avanzadas (APT) han ganado protagonismo, estos ataques se centran en el espionaje y el sabotaje a largo plazo. Latinoamérica no ha sido inmune a estas amenazas, con varios incidentes que sugieren la participación de actores estatales. La pandemia impulsó la transformación digital, expandiendo la superficie de ataque. La inteligencia artificial (IA) se integra al malware, y los ciberataques tienen a ser más complejos y personalizados.

El grupo Lazarus, vinculado a Corea del Norte, ha llevado a cabo múltiples ataques en Latinoamérica, enfocándose en sectores financieros y gubernamentales. Sus tácticas avanzadas, incluyendo el uso de malware sofisticado y técnicas de ingeniería social, han subrayado la necesidad de una colaboración internacional en ciberseguridad.

En este tiempo también crecieron las amenazas con sello latinoamericano, ESET describe las más destacadas:

• Ciberespionaje: Gobiernos e instituciones son blancos de ataques para robar información confidencial. En 2014, se descubrió la campaña de ciberespionaje «Machete«, dirigida principalmente a instituciones militares y gubernamentales en América Latina que volvió en 2019 apuntando organismos gubernamentales de Ecuador, Colombia, Nicaragua y Venezuela. Utilizando malware diseñado para extraer documentos sensibles, esta operación subrayó la vulnerabilidad de la región a los ataques dirigidos.

Además, otras campañas de espionaje utilizando commodity malware fueron identificadas de manera sostenida apuntando a países de la región, lo que demuestra un aumento significativo del este tipo de malware y su uso en campañas dirigidas a Latinoamérica. ESET presentó en Virus Bulletin “Operación Rey Tut” donde se muestra la sofisticación de este tipo de amenazas en la región y el cambio en los blancos de ataque hacia usuarios de alto perfil.

• Cibercrimen: El robo de datos personales y financieros es un negocio lucrativo. Los troyanos bancarios, han sido una amenaza persistente en Latinoamérica. Estos programas maliciosos se diseñan para robar información financiera, como credenciales de banca en línea, números de tarjetas de crédito y otra información personal sensible. Ejemplos como Amavaldo, Grandoreiro o Mekotio, dentro de un total de 12 familias de troyanos bancarios apuntan específicamente a la región causando significativos problemas a individuos y empresas en la región.

• Fraudes: El phishing también ha evolucionado, a principios de los 2000, las campañas eran masivas y relativamente fáciles de identificar debido a sus errores gramaticales y ortográficos. Sin embargo, a medida que los ciberdelincuentes perfeccionaron sus técnicas, se volvió más sofisticado y dirigido. Hoy en día, el spear phishing, se enfoca en objetivos específicos mediante la personalización de los correos electrónicos en función de la información disponible sobre la víctima, convirtiéndose en una amenaza mucho más peligrosa.

• Extorsión digital: La extorsión digital se ha convertido en una de las amenazas más disruptivas para las empresas e instituciones en Latinoamérica, con el ransomware a la vanguardia de esta tendencia. En los últimos años, Latinoamérica ha sido testigo de este tipo de ataques con un alto impacto mediático, que además de los costos financieros directos asociados con el pago del rescate y la restauración de los sistemas, estos incidentes también han expuesto no solamente vulnerabilidades críticas en la infraestructura de muchas empresas sino también datos sensibles de empresas y personas.

“Desde 2004, trabajamos en la construcción de una empresa sólida y de vanguardia en la industria de la ciberseguridad. Llegamos hasta este punto de una forma socialmente responsable, a través de la educación, la concientización y el compromiso con la investigación y el desarrollo de soluciones tecnológicas, y siempre entendiendo que la mejor forma de protección para un usuario y/o una empresa es la combinación entre una tecnología de protección de calidad y usuarios capacitados con conciencia en seguridad de la información y seguridad digital. Con la sostenibilidad, la pasión y el coraje como grandes pilares y nuestra forma de entender el progreso ya son dos décadas forjando lazos fuertes con nuestros socios comerciales para proteger la vida digital de las personas y de las empresas.”, comenta Federico Pérez Acquisto, presidente de ESET Latinoamérica.

La entrada La evolución del malware en los últimos 20 años se publicó primero en Technocio.

ESET advierte cómo mitigar el riesgo de seguridad y limitar la información que compartes al usar estas y otras aplicaciones.

En la era digital, las funciones de geolocalización de muchas aplicaciones ofrecen una comodidad innegable, como seleccionar el comercio más cercano para realizar una compra urgente para retirar personalmente, pero, en el caso de las redes sociales, las  aplicaciones de citas, los juegos y muchos otros servicios en línea, probablemente no sea la mejor idea compartir la ubicación exacta. En este sentido, el equipo de investigación de ESET alerta cómo algunas apps de citas filtraban ubicaciones exactas de sus usuarios.

Cuando se permite que una aplicación utilice la ubicación del dispositivo, por ejemplo en una aplicación de citas, es razonable suponer que la ubicación es generalizada, por ejemplo: “situado en Tampa a 23 millas”. Con una población de unos 400.000 habitantes, localizar la ubicación exacta de alguien debería ser una tarea difícil. Sin embargo, la semana pasada en Black Hat USA, un equipo de investigación belga demostró cómo algunas aplicaciones de citas filtraban inadvertidamente datos de ubicación exacta de los usuarios, con los riesgos y violaciones a la privacidad que esto significa.

“Si bien ya se informó responsablemente del problema a las numerosas aplicaciones de citas afectadas y el problema se ha resuelto, este caso funciona como recordatorio de cómo los hábitos aparentemente inofensivos pueden poner en peligro la privacidad.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Se demostró que a partir de los datos de “X millas de distancia” podían triangular una ubicación exacta del usuario. Seleccionando un perfil de destino, dibujaron un círculo con su ubicación en el centro, hasta la distancia de 23 millas. Luego falseando su ubicación dibujaron un segundo círculo superpuesto al anterior en algún punto. Con una tercera ubicación falseada, y un tercer círculo trazado en el lugar donde se encuentran los tres, pudieron determinar la ubicación exacta del usuario objetivo, que nunca se enteró de dicha filtración.

“La misma técnica se puede utilizar cuando se establecen límites de ubicación; por ejemplo, seleccionando todos los perfiles a 8 km. Si repitiéramos el proceso anterior podrá identificarse la ubicación de un perfil. Solo las aplicaciones o servicios que utilizan la ubicación exacta tienen este problema, si la ubicación se redondea a, por ejemplo, una milla, entonces la ubicación exacta no se puede identificar utilizando este método.”, agrega el investigador de ESET.

Se examinaron 15 aplicaciones de citas en busca de problemas de privacidad, como el descrito anteriormente, a la vez que analizaban sus interfaces API, políticas de privacidad y otros datos. La investigación se centró específicamente en las aplicaciones de citas, pero muchos servicios y aplicaciones utilizan la ubicación de la misma manera. Por ejemplo, en las aplicaciones de juegos, ya que es posible en varias versiones encontrar a otros jugadores del mismo juego que estén cerca.

“Destacar el problema utilizando las aplicaciones de citas como ejemplo hace el caso más llamativo, ya que todos entendemos el problema de los acosadores y depredadores que pueden utilizar estas plataformas. Sin embargo, es importante que todas las aplicaciones y servicios revisen el uso que hacen de la localización para asegurarse de que ocultan suficientes datos de localización como para que sea imposible calcular la ubicación exacta de alguien.”, advierte Gutierrez Amaya de ESET.

ESET comparte algunas medidas para mitigar el problema y limitar la precisión con la que se comparte la ubicación al utilizar los dispositivos móviles:

• Cuando una aplicación pide permiso para utilizar la ubicación al instalarla, se puede cambiar el permiso para desactivar el uso compartido de la ubicación exacta. En iOS se utiliza una ubicación a tres kilómetros de la posición exacta, lo que es una variante suficiente para evitar que alguien triangule la posición.

• En los dispositivos Apple, ir a “Ajustes”, “Privacidad y seguridad” y, a continuación, a “Servicios de localización”; cada aplicación y su permiso correspondiente pueden mostrarse y editarse según sea necesario.

• Si se utiliza un dispositivo Android, mantener pulsado el icono de la aplicación y en “Información de la aplicación” encontrar “Permisos”, incluido “Localización”, donde se podrá seleccionar la opción adecuada.

La entrada Riesgo de privacidad: Apps de citas que filtraban la ubicación exacta de los usuarios se publicó primero en Technocio.

Con el propósito de fomentar la concientización sobre Seguridad Informática a nivel empresarial, la compañía realizó una nueva edición de su ciclo de conferencias en Barranquilla, Cali, Medellín y ahora llega a Bogotá.

En el año de su decimocuarta edición, ESET presenta la edición 2024 de los ESET Security Days en Colombia. El evento se llevó a cabo en diferentes ciudades del territorio nacional iniciando en Barranquilla el 12 de julio; Cali el 18 de julio; Medellín el 25 de julio y cerrará en Bogotá el 22 de agosto.

El ESET Security Day es un evento que se realiza en diferentes países de Latinoamérica hace ya 14 años, con el objetivo de acercarle a las empresas participantes los desafíos más importantes de ciberseguridad y la información necesaria para afrontarlos, y así resguardar y potenciar sus negocios. El ciclo ha llegado a más de 35 mil personas, en 15 países y 21 ciudades de toda la región.

Esta edición contará con la participación de Mario Micucci, Security Researcher de ESET Latinoamérica, quien estará a cargo de la presentación “Protección de Datos, el nuevo oro del siglo XXI”. En un mundo donde los datos son activos altamente codiciados tanto por entidades como por cibercriminales, la protección de la información se vuelve vital para las corporaciones. Durante la presentación, se explorarán los aspectos clave de esta problemática desde el punto de vista de la ciberseguridad: desde la evolución de las brechas de datos y ataques sofisticados de espionaje, hasta las amenazas que enfrentan las organizaciones hoy en día.

Por otro lado, Nicolás Ramírez, IT Cordinator de Frontech – ESET Colombia, estará a cargo de la presentación “Protección de datos: Resguardando el oro corporativo”. Los cibercriminales tienen como principal objetivo comprometer la información de las organizaciones, utilizando técnicas y tácticas cada vez más avanzadas, como así también algunas tradicionales. En este sentido, Guerrero presentará tecnologías y procedimientos a implementar para evitar el acceso de los cibercriminales a la infraestructura de la organización y cómo mitigar el impacto ante algún incidente que pudiera ocurrir.

Además, Alexander Ramírez Duque, CEO de Frontech – ESET Colombia, expondrá sobre “Leyes de protección de datos: un aliado más que un enemigo”, donde se abordará una temática de actualidad como es la protección de datos y la legislación en Latinoamérica. Explicará el alcance de las distintas leyes que existen en América Latina y qué implica su aplicación en las organizaciones.

Así mismo, como cierre del evento el CEO de Frontech – ESET Colombia, realizará la presentación “La cultura de ciberseguridad la construimos entre todos”. En un mundo en constante transformación, las organizaciones se enfrentan a un desafío primordial como es la capacidad de ajustarse a las evoluciones laborales y normativas regionales. Es crucial que cada miembro del equipo tenga acceso a la información necesaria mientras se garantiza su seguridad frente a amenazas cibernéticas. Este cambio de paradigma insta a replantearse las formas de comunicarse, adaptando métodos y hábitos que construyan una cultura de ciberseguridad colaborativa.

La entrada Llega a Bogotá una nueva edición de los ESET Security Days se publicó primero en Technocio.

ESET advierte sobre el whaling, ataques a personas de alto rango en una organización mediante correos electrónicos personalizados que buscan obtener datos confidenciales, instalar malware o inducir a la víctima a realizar transferencias fraudulentas.

A diferencia de los ataques de phishing tradicionales, que se apuntan a cualquier persona sin un objetivo fijo, ESET explica que el whaling es un tipo de phishing dirigido -spearphishing- que busca engañar a quienes tienen cargos de alto nivel dentro de una organización: los llamados peces gordos, de allí el nombre de este ataque dirigido, caza de ballenas en su traducción al español.

Estos ataques tienen una sofisticación que combina técnicas de ingeniería social avanzada y requieren de una investigación previa bien detallada. El resultado puede variar desde que la víctima entregue datos confidenciales de la empresa, o descargue malware en la red de la organización, hasta que, engañada, apruebe transferencias de dinero que va directo a la cuenta de los cibercriminales.

Una técnica que utilizan los cibercriminales para ejecutar este engaño es el llamado fraude del CEO, en el que los cibercriminales suplantan la identidad de personas que ocupan altos rangos y envían mensajes a otras personas de alto rango haciéndose pasar por ellas aunque también puede ir dirigido a todo colaborador de la empresa u organización

“Este tipo de ataques hacen necesario aumentar la conciencia de que toda la información pública puede ayudarles a los cibercriminales a cometer estos ataques en los que se suplanta la identidad de una persona o entidad. A los atacantes le serán útiles los perfiles públicos de las personas, tanto en redes personales como Facebook, Instagram, Twitter, o perfiles profesionales en, por ejemplo, LinkedIn.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los ataques de whaling funcionan al seguir una secuencia estratégica y bien estructurada para garantizar la máxima efectividad. Los pasos clave incluyen:

1. Investigación sobre la organización y sus ejecutivos, a partir de fuentes públicas, como redes sociales, sitios web corporativos e informes de medios de comunicación, con el fin de comprender la estructura organizacional e identificar posibles debilidades.

2. Creación de correos electrónicos falsos altamente personalizados con la información obtenida, diseñados para parecer que provienen de fuentes confiables, a menudo imitando direcciones de correo electrónico de colegas, socios comerciales u otras entidades acreditadas, mediante la técnica de spoofing. Esta técnica permite ocultar la verdadera dirección de correo electrónico y cambiarla por una que parece legítima.

3. Envío del correo electrónico con un sentido de urgencia para inducir una respuesta rápida. Puede incluir solicitudes para transferir fondos, compartir información confidencial, o hacer clic en un enlace malicioso.

Por su nivel de personalización y sofisticación puede ser difícil de detectar, sin embargo, hay algunas señales de advertencia a las que hay que prestar especial atención:

• Remitente falsificado: A veces, puede parecer que los correos electrónicos provienen de una fuente confiable, pero un examen detallado puede revelar ligeras discrepancias en la dirección de correo electrónico.
• Solicitudes inusuales:Siempre se debe comprobar por otros canales de comunicación, si se recibe una solicitud de información confidencial o transferencias financieras urgentes.
• Errores gramaticales y ortográficos: Aunque es una tendencia el uso de inteligencia artificial para la confección de las estrategias de ingeniería social que hacen a los correos de phishing más convincente, es útil prestar atención a posibles errores que puedan contener.

La defensa contra estos ataques comienza con la educación de quienes trabajen o colaboren con organización, sobre todo si son de altos rangos, para que se mantengan en alerta y al corriente sobre las tácticas que los cibercriminales intentan y cómo estás van mutando. ESET comparte algunos puntos clave para protegerse:

• Tener especial cuidado cuando se comparte información personal y profesional en las redes sociales, ya que estos datos pueden ser utilizados por los delincuentes para crear ataques más persuasivos.

• Implementar procedimientos claros para verificar las solicitudes, especialmente aquellas que impliquen transmisión de datos sensibles, o ejecución de movimientos de dinero.

• Agregar un nivel adicional de confirmación para las transacciones críticas, como las reuniones en persona o las llamadas telefónicas, puede proporcionar una capa adicional de seguridad.

• Activar la autenticación multifactor y utilizar herramientas de seguridad avanzadas, son parte fundamental de las políticas de seguridad.

• Utilizar reglas de marcado de correos electrónicos externos ayuda a detectar y bloquear intentos de fraude.

• Por último, es esencial que las empresas se mantengan al día sobre las nuevas técnicas y tendencias en cibercrimen, inviertan en tecnologías emergentes de ciberseguridad y colaboren con expertos de la industria para anticipar y neutralizar las amenazas antes de que causen daños significativos.

“Los ataques de whaling representan una amenaza grave y creciente para las organizaciones, que pueden resultar en pérdidas financieras significativas y comprometer información confidencial. La concientización, la formación y la implementación de medidas de seguridad sólidas son esenciales para proteger a las organizaciones de esta forma insidiosa de ciberdelincuencia. La ciberresiliencia es una prioridad estratégica, y un enfoque integrado y bien informado puede marcar la diferencia en la protección contra este y otros tipos de fraude cibernético.”, concluye Gutiérrez Amaya de ESET Latinaomérica.

La entrada ¿Qué es Whaling y cómo proteger a las organizaciones? se publicó primero en Technocio.

La fecha de cierre para participar se extenderá hasta el jueves 29 de agosto. El trabajo mejor valuado ganará un viaje a la Mobile World Congress 2025, y a las oficinas centrales de ESET en Bratislava, Eslovaquia.

ESET anuncia que continúa abierta la inscripción para participar del Premio ESET al Periodismo en Seguridad Informática. Pueden concursar periodistas de Latinoamérica con notas relacionadas a la temática del certamen, publicadas en medios de la región entre el 30 de agosto de 2023 hasta el cierre del concurso, pautado para el 29 de agosto de 2024.

Esta iniciativa regional cuenta con el apoyo de la Fundación Gabo y la organización ACHIPEC (Asociación Chilena de Periodistas y Profesionales para la Comunicación de la Ciencia).

Los interesados en participar, pueden inscribirse en tres categorías distintas según su desarrollo profesional: Prensa Gráfica, Prensa Digital y Prensa Multimedia. Se permite la inscripción con hasta un trabajo por categoría. El trabajo ganador será premiado con un viaje al Mobile World Congress 2025, uno de los eventos tecnológicos más importantes a nivel mundial, a realizarse en la ciudad de Barcelona, España y tendrá la oportunidad de viajar a las oficinas centrales de la compañía en Bratislava, Eslovaquia. Además, se otorgarán premios a los ganadores de cada categoría. Y como todos los años, se darán distinciones especiales por región (Brasil, México, Región Andina, Región Rioplatense, Región Centroamérica y Región Caribe Sudamericano).

Para la calificación y selección se tendrá en cuenta el enfoque socialmente relevante del tema elegido en materia de seguridad informática y su interés para la comunidad, la originalidad en la investigación, el tratamiento en profundidad de la información, la calidad narrativa y la correcta utilización de la terminología técnica. Una mesa de jurados conformada por reconocidos periodistas y especialistas de la región evaluarán todos aquellos trabajos presentados.

Para inscribirse u obtener más información del certamen, puede ingresar a: http://premios.eset-la.com/periodistas/

La entrada Últimos días para inscribirse al Premio ESET al Periodismo en Seguridad Informática se publicó primero en Technocio.

ESET analiza distintos engaños que circulan actualmente en torno a esta plataforma de compras online y advierte sobre algunos aspectos de seguridad y privacidad en la misma.

Comprar en línea se ha convertido en una práctica cada vez más habitual para las personas. Y así como las posibilidades son cada vez más grandes, también crecen los engaños vinculados a estas plataformas. ESET analiza Temu, una plataforma de compras online china que permite comprar directamente a los fabricantes, las estafas más comunes que la rodean y de qué manera mantenerse protegidos frente a estos.

Temu es la filial occidental de Pingduoduo, una importante empresa china especializada en la venta al por menor en línea, la cual ofrece a los compradores la posibilidad de adquirir productos directamente a fabricantes que destacan por ofrecer precios muy bajos. De hecho, según reporta Statista, es la aplicación de compras más descargada en el mundo. Adicionalmente, brinda a sus usuarios la posibilidad de generar créditos para futuras compras, a través de juegos de ruleta o incentivando a otros a unirse al sitio.

Si bien pareciera ser el sitio ideal para realizar compras, es interesante revisar por ejemplo las reseñas de los clientes: Al momento, el sitio presenta una calificación de 2,45/5 de los visitantes del Better Business Bureau (BBB) ​​de Estados Unidos. Por otro lado, el 40% de las reseñas efectuadas en Trustpilot son de una estrella. Las principales críticas de los usuarios se basan en el spam que generan en la bandeja de entrada, lo dificultoso que es recibir reembolsos y también que muchas veces los artículos llegan en malas condiciones o directamente no llegan.

“Claro que lo enunciado anteriormente no hace de Temu un sitio fraudulento. Pero su popularidad sí lo convierte en un sitio de interés para los estafadores, que buscarán realizar sus estafas aprovechándose de consumidores desprevenidos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las principales estafas relacionadas a Temu, son:

Phishing: Es preciso prestar atención a aquellas publicidades que aparecen en diferentes sitios web o que llegan a través de correos electrónicos no solicitados, las cuales dicen otorgar importantes descuentos en diversos productos de Temu. Muchas de ellas se valen de la ingeniería social para crear una sensación de urgencia para acceder a ofertas increíbles por tiempo limitado, y desde ESET recomiendan tener en cuenta que si es algo demasiado bueno para ser verdad, probablemente no lo sea. Lo que puede suceder es que al hacer clic, en realidad se ingresará a un sitio de phishing, mediante el cual los cibercriminales accederán a los datos personales y financieros que allí se ingresen.

Pie de foto: Imagen de usuario de Reddit que advierte sobre mail de phishing haciéndose pasar por Temu.

Falsa publicidad de celebridades: Otro de los vectores de ataque que utilizan los estafadores consiste en publicaciones falsas de celebridades que se presentan como si tuvieran un vínculo comercial con Temu. El objetivo final es similar al del primer punto: redirigir a un sitio falso para así obtener los datos personales y de la tarjeta de crédito de la víctima.

Productos al límite de la infracción: Si bien de momento no hay evidencia de que Temu incluya productos falsificados en su catálogo, si se han identificado informes de productos duplicados, los cuales rozan los límites de la infracción de patentes (aunque sin cruzarlos). Los productos Apple pueden ser un gran paradigma, ya que es posible que se presenten artículos similares, pero a un precio muy por debajo del real.

Pie de foto: Usuaria de Tiktok muestra cómo recibió un celular distinto al que compró. Fte: Sdpnoticias

Recientemente, Tim Griffin, fiscal general de Arkansas, presentó una demanda acusando a Temu de espiar los mensajes de texto de sus usuarios y de recolectar datos personales sin autorización. Según informa el sitio Wired, la empresa china se mostró “sorprendida” por la demanda e intentó desligarse de inmediato. Más allá de lo que resulte de esta situación judicial, desde ESET comentan que siempre es bueno prestar atención a los apartados de privacidad y seguridad de todo tipo de plataformas.

Debido a este escenario, Temu ha buscado mejorar su seguridad, por ejemplo, con el lanzamiento de un Bug Bounty (o programa de recompensas por errores). De todos modos, el equipo de investigación de ESET Latinoamérica comparte diversas medidas que como usuarios se pueden implementar para hacer de la compra una experiencia placentera y sobre todo, segura:

• No hacer clic en aquellos enlaces que están incluidos en correos electrónicos no solicitados, o en anuncios.

• En caso de querer consultar una oferta de Temu anunciada de manera online, es más prudente visitar el sitio de forma independiente.

• No es recomendable guardar los datos de pago en la cuenta. Adicionalmente, es preferible tener configurada la autenticación de dos factores.

• No creer en aquellas ofertas que piden ingresar un código de referencia en Temu, sobre todo aquellas que son presentadas por celebridades.

• Si bien Temu ofrece ofertas especiales y precios muy bajos, es mejor prestar atención a los grandes descuentos que se aplican porque en general podrían ser una estafa.

La entrada ¿Es seguro comprar en Temu? se publicó primero en Technocio.

ESET analiza las políticas de privacidad en empresas que usan IA, con ejemplos de Windows Recall y Adobe, y destaca la importancia de una comunicación clara y concisa en los términos y condiciones.

La Inteligencia Artificial generativa juega un papel cada vez más importante en la vida pública y privada de las personas, gobiernos y empresas. A la vez, las grandes plataformas tecnológicas modifican y actualizan sus políticas de privacidad, con la incorporación de nuevas funcionalidades con esta tecnología. Sin embargo, ESET advierte que hay casos en los que no está claro el tratamiento que la inteligencia artificial dará a los datos recopilados, aunque algunas empresas directamente advierten que los mismos serán usados para mejorar el modelo de entrenamiento de Inteligencia Artificial, con el fin de mejorar sus productos o servicios.

“El manejo de los datos que requieren estas tecnologías y la administración de la información para nutrirla, hace necesarios contratos que sean claros y concisos, que no presten a confusión o descontento. La violación de la privacidad y los derechos de autor son uno de los principales riesgos que puede acarrear el uso de esta tecnología.”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET analiza los ejemplos de Windows Recall y las nuevas políticas de uso de Adobe, sobre cómo están gestionando la privacidad de los datos, los riesgos que estos cambios implican y la importancia de una comunicación clara y transparente para mantener la confianza de los usuarios y asegurar el cumplimiento legal:

Windows Recall: Los equipos con PC Copilot+ tendrán una función llamada Recall que permitiría encontrar y recordar todo lo visto y hecho en la PC como si se tratara de una línea del tiempo del contenido a la que puede accederse cuando se necesite. Recall, entonces, registra todo lo que se hace en las aplicaciones, las comunicaciones y reuniones, recuerda todas las páginas web que se hayan visitado, todos los libros o artículos leídos. También toma capturas de pantallas para poder identificar más fácil el contenido del que se quiere disponer.

Es por lo que muchos usuarios han mostrado preocupación de hasta dónde puede utilizarse la IA para invadir la privacidad y si dicha información es enviada a la nube. Aunque Microsoft asegura que todo se queda en la misma PC, almacenada localmente y que los datos para esta función están debidamente cifrados. En base a las críticas que había recibido antes de su lanzamiento -ya que en principio no iba a poder ser desactivada- Microsoft lanzó Recall con la posibilidad desactivarlo, o personalizarlo y controlar qué sitios web o aplicaciones pueden excluir, borrar contenidos o incluso desactivar totalmente la captura de pantallas para inhabilitar la recolección de información.

Pie de imagen: Post en Reddit que habla sobre los riesgos para la seguridad y privacidad de los usuarios. Fuente: Reddit

En la documentación oficial de Microsoft se indica que el “Almacenamiento de instantáneas: el contenido permanece local”.

Sin embargo, ESET identificó que al habilitar nuevas características a un sistema operativo que involucren la privacidad del usuario y faciliten su acceso, esto trae consigo nuevas puertas que pueden ser aprovechados por los ciberdelincuentes.

Por ejemplo, previo al lanzamiento oficial de PC Copilot+, un entusiasta de la ciberseguridad demostró que esta función almacena las capturas de pantalla en una base de datos sin cifrar, todo se encuentra en texto plano y puede ser extraído de una manera muy sencilla con una herramienta llamada TotalRecall.

La misma encuentra la base de datos de Recall, copia las capturas de pantalla tomadas y la base de datos en una carpeta de extracción, además analiza las bases en busca de datos especificados por el usuario (por ejemplo, contraseñas, términos de búsqueda, información de tarjetas de crédito, etc.) y luego entrega un resumen que incluye esos datos en cuestión de segundos.

Pie de imagen: Ejemplo de una salida de la herramienta TotalRecall. Fuente GitHub

“Un ciberdelincuente podría obtener una enorme cantidad de información valiosa sobre su víctima, incluyendo sus correos electrónicos, conversaciones personales y cualquier información capturada por Recall. Es importante mencionar que la base de datos principal de Recall es almacenada en el directorio del sistema de la PC y para acceder a ella se necesitan permisos de administrador, no obstante, un atacante puede emplear distintas técnicas para elevar privilegios lo que hace teóricamente posible una exfiltración de datos.”, agrega el investigador de ESET Latinoamérica.

Adobe y su nueva política de uso: Adobe ha tenido una evolución y gran adopción por parte de los sectores públicos y privados. Por eso es relevante tener un lenguaje claro para todo tipo de ámbito, dado que al momento de emitir nuevas políticas, se puede llegar a malinterpretar y generar un descontento por parte de los usuarios.

Adobe introdujo en febrero 2024 una nueva política de uso que planteaba que, para poder seguir utilizando sus productos, los usuarios estaban obligados a darle aceptación, algo que causó inconformidad y preocupación por la comunidad.

Pie de imagen. Usuario no conforme con la nueva política de uso de Adobe. Fuente. X.

Antes esta situación, el director del producto Substance 3D salió a explicar que no se accedería o leería ningún proyecto de sus usuarios, añadiendo que no tendría sentido hacerlo ya que todas las empresas de la industria los abandonarían inmediatamente si fuera el caso y Adobe indicó que está sujeto al Reglamento General de Protección de Datos (RGPD) del Parlamento Europeo.

Otra circunstancia que generó descontento a los usuarios previamente a su actualización el 18 de junio de este año, era en el apartado “C”, donde Adobe Creative Cloud requería de un acceso al contenido del usuario para poder analizarlo y entrenar sus algoritmos de machine learning (Firefly Gen AI), con el fin de mejorar sus servicios. Al darse cuenta de estos hechos, Adobe tuvo que actualizar e incorporar resúmenes con información que fuera más detallada y el motivo para cuál se accederían a los datos.

Imagen. Fragmento del apartado “C” de la política publicada en febrero de este año por Adobe.

Imagen. Actualización de las condiciones generales de uso de Adobe. Fuente Adobe

Para la sección de “Privacidad” en la sección 2.2 “Nuestro acceso a su contenido” por parte de Adobe se deja más claro que el usuario es el propietario de su contenido, pero que se necesita acceder a este según sea necesario para el correcto funcionamiento de sus aplicaciones y los servicios.

Para ESET, las funciones siempre les darán un valor agregado a los fabricantes o desarrolladores pero deben de venir con términos de uso y políticas que utilicen un lenguaje claro, en lugar de ambiguo o demasiado legalista. De esta forma pueden asegurar:

• Accesibilidad y comprensión: Un lenguaje claro y directo permite que una mayor audiencia comprenda fácilmente las condiciones y las nuevas funciones, lo que aumenta la transparencia y la accesibilidad de la información.

• Confianza del usuario: La claridad en la comunicación reduce la percepción de qué fabricantes o desarrolladores están tratando de ocultar algo o de complicar innecesariamente los términos.

• Reducción de conflictos: Términos y condiciones claros ayudan a prevenir malentendidos. Si los usuarios comprenden completamente lo que están aceptando, es menos probable que surjan conflictos legales y se reduce la necesidad de intervenciones legales.

“Cuando las nuevas funciones o características se explican de manera sencilla, los usuarios pueden adoptar y utilizarlas de manera más efectiva. Un entendimiento claro de cómo funcionan las nuevas características puede mejorar la experiencia del usuario y aumentar la satisfacción. La transparencia y la claridad en la comunicación contribuyen positivamente a la imagen de los fabricantes o desarrolladores. Para ambos casos, aquellas que se esfuerzan por ser claras y directas en su comunicación son vistas como más honestas y responsables en el tratado de los datos de sus usuarios.”, concluye Gutiérrez Amaya de ESET.

La entrada La inteligencia artificial y los límites de la privacidad se publicó primero en Technocio.

ESET advierte que ciberdelincuentes, siempre atentos a las últimas tendencias, distribuyen herramientas maliciosas que se hacen pasar por ChatGPT, Midjourney y otros asistentes generativos de IA.

La IA Generativa (GenAI) está causando furor en todo el mundo. ESET advierte que su popularidad y uso generalizado también han atraído la atención de los ciberdelincuentes, y ha dado lugar a ciberamenazas que giran en torno a ella, o en cómo la tecnología puede utilizarse indebidamente para ayudar a los estafadores a crear mensajes de phishing convincentes, producir código malicioso o buscar vulnerabilidades.

¿Cómo utilizan la GenAI como señuelo? Los ciberdelincuentes tienen varias formas de engañar a los usuarios para que instalen malware disfrazado de aplicaciones GenAI. ESET comparte algunos ejemplos

Sitios de phishing: En la segunda mitad de 2023, ESET bloqueó más de 650.000 intentos de acceso a dominios maliciosos que contenían «chapgpt» o un texto similar. Es probable que las víctimas hayan llegado allí después de hacer clic en un enlace en las redes sociales, o de un mensaje de correo electrónico/móvil. Estas páginas de phishing pueden contener enlaces que instalen malware disfrazado de software GenAI.

Extensiones del navegador web: El informe de amenazas H1 2024 de ESET detalla una extensión de navegador maliciosa distribuida a través de anuncios de Facebook que prometían llevar al sitio web oficial de Sora de OpenAI o Gemini de Google. Aunque la extensión se hace pasar por Google Translate, en realidad es un infostealer, diseñado para obtener las credenciales de Facebook de los usuarios.

Stealer haciéndose pasar por una extensión del navegador Chrome (fuente: ESET Threat Report H1 2024)

Desde agosto de 2023, la telemetría de ESET registró más de 4.000 intentos de instalar la extensión maliciosa. Otras extensiones maliciosas afirman ofrecer funcionalidades GenAI, y en realidad pueden hacerlo de forma limitada, así como entregar malware, según Meta.

Aplicaciones falsas: Varios informes muestran aplicaciones GenAI falsas publicadas en tiendas de aplicaciones móviles, muchas que contenían malware. Algunas cargadas de software malicioso diseñado para robar información confidencial del dispositivo del usuario, como credenciales de inicio de sesión, datos de identificación personal, información financiera y mucho más.

Esta falsa aplicación web ChatGPT envía claves API OpenAI a su propio servidor (fuente: ESET Threat Report H2 2023)

Anuncios maliciosos: Los actores maliciosos aprovechan las herramientas GenAI para engañar a los usuarios y que hagan clic en anuncios maliciosos. Este tipo de anuncios en Facebook son especialmente frecuentes, Meta advirtió el año pasado que muchas de estas campañas están diseñadas para comprometer a “empresas con acceso a cuentas de anuncios en todo Internet”.

Pantalla splash mostrada por el instalador del infostealer Vidar y suplantando a Midjourney (fuente: ESET Threat Report H1 2024)

Los delincuentes secuestran una cuenta o página legítima, cambian la información del perfil para que parezca una página auténtica de ChatGPT u otra página de la marca GenAI, y luego utilizan las cuentas para publicar anuncios falsos. Estos anuncios ofrecen enlaces a la última versión de las herramientas GenAI, pero en realidad despliegan malware de robo de información, según investigadores.

Desde ESET aseguran que como usuarios es muy común caer en este tipo de trucos, sobre todo si se tiene prisa, o si se ve el contenido directamente desde un dispositivo móvil. En lo que respecta a la GenAI, los creadores de malware son cada vez más sofisticados. Utilizan múltiples canales para difundir sus mentiras. Y disfrazan el malware de todo, desde ChatGPT y el creador de vídeos Sora AI, hasta el generador de imágenes Midjourney, DALL-E y el editor de fotos Evoto. Muchas de las versiones que promocionan aún no están disponibles, lo que atrae a la víctima: «ChatGPT 5» o «DALL-E 3», por ejemplo. Se aseguran de que el malware siga volando bajo el radar y dedican mucho tiempo y esfuerzo a asegurarse de que sus señuelos (como los anuncios de Facebook) tengan el aspecto adecuado”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Algunas buenas prácticas probadas y comprobadas que mantendrán a los usuarios lejos de las amenazas GenAI, según ESET, son las siguientes:

• Instalar solo aplicaciones de tiendas oficiales: Google Play y Apple App Store cuentan con rigurosos procesos de selección y supervisión periódica para eliminar las aplicaciones maliciosas. No descargar aplicaciones de sitios web de terceros o de fuentes no oficiales, ya que es mucho más probable que alojen productos maliciosos.

• Comprobar los desarrolladores de las aplicaciones y las reseñas del software: Antes de descargar una aplicación, verificar las credenciales del desarrollador, buscar otras aplicaciones que haya desarrollado y leer los comentarios de los usuarios. Las aplicaciones sospechosas suelen tener descripciones mal redactadas, un historial de desarrollo limitado y comentarios negativos que ponen de manifiesto problemas.

• Desconfiar de los anuncios digitales: Los anuncios digitales, especialmente en plataformas de redes sociales como Facebook, pueden ser un vector habitual de distribución de aplicaciones maliciosas. En lugar de hacer clic en los anuncios, buscar directamente la aplicación o herramienta en la tienda oficial de aplicaciones.

• Comprobar las extensiones del navegador web antes de instalarlas: Las extensiones del navegador web pueden plantear riesgos para la seguridad, pero antes de instalar alguna comprobar los antecedentes del desarrollador y leer las reseñas. Usar solo extensiones con calificaciones altas y de desarrolladores conocidos.

• Utilizar un software de seguridad completo de un proveedor de confianza: Asegurarse de tener instalado un software de seguridad de un proveedor de confianza. Esto proporciona protección en tiempo real contra el malware, los intentos de phishing y otras amenazas en línea.

• Ser consciente del phishing: Tener cuidado con los mensajes no solicitados que invitan a hacer clic en enlaces o a abrir archivos adjuntos. Verificar la identidad del remitente antes de interactuar con cualquier mensaje de correo electrónico, de texto o de redes sociales.

• Activar la autenticación multifactor (MFA) en todas las cuentas en línea: La autenticación multifactor añade una capa extra de seguridad a las cuentas online al requerir múltiples métodos de verificación. Habilitar la MFA siempre que sea posible, de esta forma se protegen las cuentas incluso si la contraseña se ve comprometida.

• Mantener alerta: Los ciberdelincuentes no pueden resistirse a aprovechar el entusiasmo que despiertan los nuevos lanzamientos. Si se observa una oferta para descargar una nueva versión de una herramienta GenAI, verificar su disponibilidad a través de los canales oficiales antes de proceder. Consultar el sitio web oficial o fuentes de noticias de confianza para confirmar el lanzamiento.

La entrada Cuidado con las amenazas de malware disfrazadas de herramientas de IA se publicó primero en Technocio.

ESET Latinoamérica presenta su Reporte de Sostenibilidad 2023 siendo la única empresa en la industria de la ciberseguridad que asume el compromiso de reportar a nivel regional.

ESET Latinoamérica presenta su nuevo reporte de sostenibilidad, este año denominado: Alineando nuestro propósito hacia el futuro sostenible. Este es el décimo segundo reporte consecutivo que desarrolla la compañía y está alineado a los Estándares del Global Reporting Initiative (Estándares GRI), los 10 Principios del Pacto Global de Naciones Unidas, la contribución a los Objetivos de Desarrollo Sostenible de la Agenda 2030 de la ONU y la incorporación de los Estándares SASB.

“Desde ESET concebimos a la sostenibilidad como nuestra forma de gestión. Este año cumplimos 20 años en Latinoamérica y hace 12 años que reportamos, un trabajo que se realiza con mucho esfuerzo pero que nos llena de orgullo. Presentamos la nueva edición de nuestro Reporte de Sostenibilidad, que nos permite transmitir lo que somos y lo que hacemos, y nos destaca como la única empresa en la industria que asume el compromiso de reportar a nivel regional.”, destaca Federico Perez Acquisto, Presidente de ESET Latinoamérica.

Video: Alineando Nuestro Propósito Hacia el Futuro Sostenible

ESET apunta a que un progreso seguro es esencial para el desarrollo sostenible. Esta convicción está definida en el Propósito empresarial de Proteger la tecnología, que permite el progreso y un futuro mejor para toda la humanidad. En consonancia con esta visión, se trazó una hoja de ruta basada en indicadores ESG (Ambiental, Social y de Gobernanza) considerando las expectativas de sus grupos de interés y promoviendo cultura que prioriza el respeto a los Derechos Humanos, la diversidad, inclusión e igualdad de oportunidades, con el convencimiento de que las diferencias enriquecen y contribuyen al desarrollo personal y organizacional.

Este lema también interpela a futuro e impulsa a gestionar la compañía pensando en los desafíos globales y a alinear su Propósito externa e internamente. Durante 2023 ESET trabajó en la alineación global y regional de la gestión sostenible, sin perder de vista las diferentes coyunturas e identidades de ESET en general y de ESET Latinoamérica en particular. Esta alineación representó un desafío constante, donde se buscó generar una estrategia unificada que incluya todas las diversidades, coyunturas y culturas que integran la compañía.

Pie de imagen: El reporte detalla los hitos de la compañía en torno a la sostenibilidad desglosados en Gestión sostenible, Colaboradores, Comunidad, Dimensión ambiental, Cadena de valor, Logros corporativos y Premios y reconocimientos.

Carolina Kaplan, Líder de Sostenibilidad y Diversidad de ESET Latinoamérica, señala: “Como cada año, buscamos la forma de superar y mejorar nuestra gestión de sostenibilidad y, también, la forma en que la reportamos y medimos nuestros impactos. Es por lo que en esta edición incorporamos los Estándares SASB, que incluyen el enfoque sectorial e identifican las cuestiones de sostenibilidad con mayor probabilidad de afectar el desempeño operativo o la situación financiera de la Empresa”.

Para conocer el Reporte completo, puedes ingresar a: https://www.eset.com/latam/acerca-de-eset/sostenibilidad/reporte-2023/

La entrada Alinear el propósito hacia el futuro sostenible se publicó primero en Technocio.

ESET advierte sobre ciberdelincuentes que están aprovechando el público de la Copa América y la Eurocopa para intentar estafas a través de phishing, sitios webs y plataformas de streaming falsas.

El entusiasmo y la atención que generan los eventos deportivos es atractivo para los ciberdelincuentes que buscan aprovecharse de la emoción de los fanáticos y lo usan de anzuelo para engañar a los usuarios. ESET alerta sobre ciberdelincuentes que están aprovechando el público de la Copa América y la Eurocopa a un lado y el otro del Atlántico, para intentar estafas a través de phishing que simulan ser concursos, o de sitios web falsos que prometen transmisiones en vivo de los partidos.

Desde el laboratorio de ESET advierte sobre distintas estafas que buscan robar información sensible:

Correos de phishing: A pesar de ser de las técnicas más reutilizadas por los cibercriminales, su efectividad e impacto siguen dando de qué hablar. En este caso hacen creer a las personas que su dirección de correo ha entrado en un sorteo para poder disfrutar partidos la Eurocopa 2024.

Pie de imagen de Maldito TIMO 2024

El correo electrónico tiene por título “¡No pierdas la oportunidad de ganar entradas para ver los partidos de la EURO 2024 en vivo! Participa en nuestro concurso”. Sin embargo, al analizar que el remitente UEFAEURO2024, se puede observar que la dirección de correo es una cuenta personal.

Pie de imagen: Correo de phishing donde se observa un remitente distinto.

Si la víctima logra dar clic en el botón del cuerpo del mensaje, el correo de phishing dirige a una página web que no es un sitio oficial de la UEFA e invita a responder un formulario que solicita una larga lista de datos personales, como: nombre completo, domicilio, código postal, ciudad, país, número de teléfono, correo electrónico e información de tarjetas de crédito. Además, en la parte final del formulario aparece un banner que indica que se hará un cargo inicial de 10 euros por una suscripción llamada “Club de fidelidad” y posterior al periodo de prueba, se cobrarán 43 euros cada 14 días.

Pie de imagen: Formulario falso para acceder a entradas o tickets

Canales de Telegram que prometen ver los partidos en vivo: Para poder disfrutar de estos eventos las grandes cadenas televisivas ofrecen una membresía o suscripción, sin embargo, muchos usuarios al querer ahorrar este tipo de costos pueden verse afectados por malware capaz de disfrazarse como una transmisión inofensiva, pero que por segundo plano ejecuta código malicioso y su objetivo es robar la información en navegadores no actualizados como contraseñas y cookies de la víctima.

Pie de imagen. Ejemplo de un canal malicioso de Telegram en donde se pueden ver transmisiones de la Copa América 2024.

En cuanto la víctima entra al enlace principal, se encuentra con una página aparentemente normal de trasmisiones en vivo de los partidos de la Copa América 2024, como se ve a continuación:

Imagen obtenida a través de un visor externo. Fuente: URLSCAN.IO

Sin embargo, al analizar los enlaces del canal de Telegram se puede observar que la página que se promociona ya ha sido identificada como fraudulenta, la cual contiene una amenaza en JavaScript del tipo Troyano.

Imagen obtenida de Threatcenter. Fuente: https://threatcenter.crdf.fr/

Incluso hay páginas dedicadas a promocionar estos canales de Telegram en las primeras búsquedas de los navegadores, sin estar conscientes de las “sorpresas” que contienen.

Pie de imagen:  Página que invita a ver los partidos en vivo de la Copa América por canales de Telegram.

Otras formas de engañar: Las redes sociales son otros de los medios por los cuales pueden llevarse a cabo este tipo de estafas y que utilizan los cibercriminales para enviar mensajes de WhatsApp invitando a participar de concursos e ingresar datos personales. Tiktok, es otra de las redes sociales donde se replica esta técnica de ingeniería social, indicando que se pueden conseguir boletos más económicos, solo con ingresar al enlace y éste redirigirá a la víctima a un formulario donde se solicitará información personal.

Pie de imagen: Canal de TikTok que promociona la venta de boletos anticipados de la Copa América 2024.

ESET Latinoamérica comparte algunas recomendaciones para evitar este tipo de estafas:

• Verificar la autenticidad del remitente: Siempre revisar la dirección de correo electrónico del remitente, puesto que los estafadores usan direcciones similares a las legítimas, pero con pequeñas variaciones.

• No hacer clic en enlaces sospechosos ni descargar archivos adjuntos: Las campañas de ingeniería social con temáticas deportivas vienen acompañadas de enlaces y regularmente de archivos adjuntos en los correos electrónicos. Los mismos llevan a sitios web falsos diseñados para robar la información. Si se descarga el adjunto, este puede contener algún código malicioso o puede permitir descargar un malware más avanzado para robar datos; en ambos casos el ciberdelincuente busca lucrar con lo obtenido en la dark web.

• Usar la autenticación de doble factor (2FA): Habilitar la autenticación de doble factor en todas tus cuentas importantes añade una capa de seguridad más hacia el acceso a la información personal.

• Utilizar soluciones antimalware que permitan detener aquellos intentos de phishing en el correo electrónico: Contar con una solución de última generación que filtre automáticamente todos aquellos correos electrónicos sospechosos es fundamental para evitar este tipo de estafas.

• Ver los partidos en los canales o sitios permitidos por los organizadores: Es mejor invertir para poder disfrutar de estos eventos que ver comprometida la información personal y que termine comercializada en el mercado negro por algún agente malicioso.

• Dudar de las buenas ofertas en diferentes medios y redes sociales: Al encontrar con algún descuento que parece irreal o demasiado bueno para este tipo de eventos, puede tratarse de una estafa.

La entrada Copa América y Eurocopa: Se detectaron estafas y engaños alrededor de estos eventos deportivos se publicó primero en Technocio.

Con el propósito de fomentar la concientización sobre Seguridad Informática a nivel empresarial, la compañía realizará una nueva edición de su ciclo de conferencias en Barranquilla, Cali, Medellín y Bogotá.

En el año de su decimocuarta edición, ESET presenta la edición 2024 de los ESET Security Days en Colombia. El evento se llevará a cabo en diferentes ciudades del territorio nacional iniciando con Barranquilla el 12 de julio; Cali el 18 de julio; Medellín el 25 de julio de manera presencial y Bogotá el 15 de agosto en formato híbrido.

El ESET Security Day es un evento que se realiza en diferentes países de Latinoamérica hace ya 14 años, con el objetivo de acercarle a las empresas participantes los desafíos más importantes de ciberseguridad y la información necesaria para afrontarlos, y así resguardar y potenciar sus negocios. El ciclo ha llegado a más de 35 mil personas, en 15 países y 21 ciudades de toda la región.

Esta edición contará con la participación de Nicolás Ramírez, IT Cordinator de Frontech – ESET Colombia, quien estará a cargo de la presentación “Protección de Datos, el nuevo oro del siglo XXI”. En un mundo donde los datos son activos altamente codiciados tanto por entidades como por cibercriminales, la protección de la información se vuelve vital para las corporaciones. Durante la presentación, se explorarán los aspectos clave de esta problemática desde el punto de vista de la ciberseguridad: desde la evolución de las brechas de datos y ataques sofisticados de espionaje, hasta las amenazas que enfrentan las organizaciones hoy en día.

Por otro lado, Andrés Guerrero, IT Manager de Frontech – ESET Colombia, estará a cargo de la presentación “Protección de datos: Resguardando el oro corporativo”. Los cibercriminales tienen como principal objetivo comprometer la información de las organizaciones, utilizando técnicas y tácticas cada vez más avanzadas, como así también algunas tradicionales. En este sentido, Granados presentará tecnologías y procedimientos a implementar para evitar el acceso de los cibercriminales a la infraestructura de la organización y cómo mitigar el impacto ante algún incidente que pudiera ocurrir.

Además, Alexander Ramírez Duque, CEO de Frontech – ESET Colombia, expondrá sobre “Leyes de protección de datos: un aliado más que un enemigo”, donde se abordará una temática de actualidad como es la protección de datos y la legislación en Latinoamérica. Explicará el alcance de las distintas leyes que existen en América Latina y qué implica su aplicación en las organizaciones.

Así mismo, como cierre del evento el CEO de Frontech – ESET Colombia, realizará la presentación “La cultura de ciberseguridad la construimos entre todos”. En un mundo en constante transformación, las organizaciones se enfrentan a un desafío primordial como es la capacidad de ajustarse a las evoluciones laborales y normativas regionales. Es crucial que cada miembro del equipo tenga acceso a la información necesaria mientras se garantiza su seguridad frente a amenazas cibernéticas. Este cambio de paradigma insta a replantearse las formas de comunicarse, adaptando métodos y hábitos que construyan una cultura de ciberseguridad colaborativa.

La entrada Llega a Colombia una nueva edición de los ESET Security Days se publicó primero en Technocio.

ESET comparte diez puntos esenciales para evitar ser víctima del cibercrimen en las redes sociales y proteger tu información personal.

La vida digital tiene una relevancia y preponderancia cada vez más importante en el día a día. Las redes sociales se han convertido en una de las principales herramientas mediante las cuales nos vinculamos con la familia, las amistades, el ámbito laboral/estudiantil y nuestros hobbies e intereses. ESET asegura que para mantener protegida toda la información personal que circula y lejos del alcance del cibercrimen, es necesario aplicar buenas prácticas que aseguren su integridad y privacidad.

A continuación, ESET Latinoamérica presenta los 10 mandamientos de la seguridad en redes sociales.

1. Publicar solo lo necesario: Cualquier información que se publique en las redes sociales es una puerta que se abre de tu vida privada. Y solo alcanza con que esa información caiga en las manos erróneas para vivir una situación indeseada, ya sea de suplantación de identidad, estafa o engaño. Un párrafo aparte merece la publicación de fotografías de niños y niñas. Sobre todo, porque las leyes de protección del menor son cada vez más fuertes respecto del cuidado de la privacidad infantil, contemplando que todo lo que se publica en internet queda fuera del control de quién lo publicó.

2. Configurar la privacidad de cada cuenta: El cibercrimen ha evolucionado a tal punto que cualquier datos puede servir para suplantar la identidad o para llevar adelante algún tipo de estafa. Es por eso que información tan sensible como nuestra fecha de nacimiento, lugar de residencia, trabajo o estudio puede ser utilizado en nuestra contra. Gestionar la privacidad de la información de manera correcta y consciente en cada cuenta que tengamos perfil, es la mejor manera de proteger esta información.

Los datos son considerados el nuevo petróleo y son tan atractivos tanto para las empresas como para los cibercriminales. ESET recomienda que antes de publicar algo se analice brevemente si es información que pueden ver todos, y en caso de que no lo sea quizás lo mejor sea no publicarla. Esto refuerza la importancia de prestar atención a los permisos que damos a las aplicaciones que instalamos o a los servicios en los que creamos una cuenta.

3. Desconfiar de las personas que no se conocen: Más allá de todos los beneficios que tiene Internet, también existe un Lado B que es necesario tener en cuenta para no llevarse un gran disgusto. Los casos de fraude o acoso lamentablemente son muy comunes en el mundo digital y las redes sociales se han convertido en un nicho cada vez más explotado por los cibercriminales para realizar este tipo de prácticas.

La cautela y la desconfianza son dos grandes aliados a la hora de entablar algún tipo de contacto o relación con alguna persona desconocida. Por eso nunca es recomendable aceptar solicitudes de amistad de desconocidos, como tampoco proporcionarles información personal.

4. Verificar antes de hacer clic en los enlaces que llegan por mensajes: A través de nuestras redes sociales se reciben mensajes de contactos desconocidos, con promesas de algún beneficio/premio y un link que parecería ser la llave que abre el cofre del tesoro. Pero no: un clic puede derivar a un sitio comprometido que solicita nuestros datos personales o bien a la descarga de software malicioso. Desde ESET sugieren seguir una regla de oro que en estos casos aplica de manera efectiva: cuando algo es demasiado bueno para ser verdad, probablemente no lo sea.

5. Elegir contraseñas largas y complejas: Optar por una contraseña robusta y extensa es otro gran paso para proteger las cuentas de las diferentes redes sociales. Idealmente, deben ser frases que incluyan alrededor de 20 caracteres, letras, números, mayúsculas y caracteres especiales. Un último tip es no reutilizar la misma contraseña en diferentes cuentas, ya que, si una se ve vulnerada, le dará al ciberatacante acceso al resto de las redes sociales. Un gran aliado para crear contraseñas fuertes y no tener que recordarlas es la implementación de un administrador de contraseñas.

6. Implementar la autenticación en dos pasos: Todas las redes sociales hoy cuentan con la posibilidad de habilitar este segundo factor de seguridad, para así asegurar una correcta protección de las cuentas. De esta manera, por más que alguien obtenga de alguna manera un usuario y contraseña, no podrá acceder gracias a esta capa extra de seguridad.

7. Utilizar una conexión a Internet segura: Un buen primer paso es asegurar que la conexión a la red Wi-Fi cuente con una contraseña segura y verificar que la configuración del router sea la adecuada. En el caso de utilizar una red de Wi-Fi pública, lo ideal es realizar la conexión a través de una VPN y, si se necesita ingresar información sensible o credenciales de acceso, utilizar los móviles para navegar por internet desde el smartphone.

8. Realizar backup de la información: Tan importante como mantener protegidos los accesos a los datos personales, es realizar un backup de la información más importante, algo que, ante escenarios como un robo o extravío de un dispositivo o bien ante una infección con malware, será de gran ayuda. Al momento de realizar un backup puede ser muy útil tener en cuenta cómo hacerlo correctamente y cuáles son los errores más comunes que deberás evitar.

9. Cerrar aquellas cuentas que ya no se utilicen: Con el paso de los años, algunas plataformas van quedando obsoletas y dejan de utilizarse. Las cuentas que se hayan creado pueden representar un eslabón muy débil en lo que refiere a la seguridad en Internet. Por un lado, porque seguramente las contraseñas sean débiles y por otro, porque es posible que estas plataformas no cuenten con una política de protección de datos eficientes y segura.

Los ciberdelincuentes podrían utilizar la huella digital en ella. Por ejemplo, usar información sensible como fecha de nacimiento, lugares de trabajo, de estudio o de vivienda, entre otros, para armar un perfil falso que se utilice en una estafa u otro tipo de engaño, usurpando la identidad de algún usuario.

10. Contar con una solución de seguridad: Todos los puntos anteriores se verán potenciados con la implementación de una solución de seguridad robusta que brinde protección contra los intentos de phishing, el malware y aquellos sitios o archivos sospechosos que pueden llegarnos a través de las redes sociales.

“Así como los cibercriminales van actualizando sus estrategias, es necesario que como usuarios tomemos conciencia de lo importante que es mantener seguras nuestras cuentas, ya que allí se comparten informaciones de diversa índole que, en las manos equivocadas, pueden ser utilizadas en nuestra contra. Las soluciones de ESET ofrecen diversas funcionalidades que contemplan todas las necesidades actuales de los usuarios. Por ejemplo, la posibilidad realizar acciones de manera remota en un equipo en caso de robo o extravío, bloquearlo y enviar un SMS de alerta a usuarios seleccionados, hasta eliminar los datos del dispositivo para así mantener nuestras cuentas seguras.”, concluye Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La entrada Los 10 mandamientos de la seguridad en redes sociales se publicó primero en Technocio.

ESET analiza esta tecnología cada vez más presente en la vida cotidiana para pagos sin efectivo y control de dispositivos inteligentes.

La tecnología Near Field Communication (NFC, o comunicación de campo cercano) está revolucionando la interacción con el mundo, desde pagos sin efectivo hasta el control de dispositivos inteligentes. ESET comparte los puntos principales para conocer su nivel de seguridad y saber cómo protegerse de los posibles riesgos.

Esta tecnología permite la transmisión inalámbrica de información entre dispositivos cercanos y tiene una amplia gama de utilidades. Basada en la identificación por radiofrecuencia (RFID, por sus siglas en inglés), tuvo su origen a principios de los 2000.

Para entender cómo funciona la comunicación entre dispositivos mediante NFC, es necesario distinguir dos modos en los que se pueden vincular. Uno activo, donde ambos dispositivos generan su propio campo electromagnético, lo que les permite intercambiar datos por turnos. Por el otro lado, el pasivo, donde un dispositivo genera el campo magnético, mientras que el otro responde. En este caso, el dispositivo generador lee la información del otro. El dispositivo pasivo cuenta con un chip que detecta el campo electromagnético, utiliza su energía para encenderse y luego enviar los datos. Por ejemplo, los tags son pequeños dispositivos que contienen un chip con tecnología NFC que puede ser leído por dispositivos compatibles. Estos pueden contener y ser programados para diferentes tipos de datos, como direcciones web, información de contacto, o comandos para realizar acciones en un dispositivo móvil.

Además de los pagos, desde el equipo de ESET explican que esta tecnología que se está implementando en distintos ámbitos, entre los que se incluyen:

• Control de acceso: Utilización de tarjetas o dispositivos móviles NFC para acceder a edificios, habitaciones de hotel, eventos, etc.

• Intercambio de información: Compartición rápida de información entre dispositivos, como contactos, enlaces web, fotos, videos, etc.

• Transporte público: Uso de tarjetas o móviles para pagar el transporte público.

• Etiquetas inteligentes: Etiquetas NFC incorporadas en productos para proporcionar información adicional, como características del producto y promociones.

• Autenticación y seguridad: Uso de dispositivos NFC para autenticar usuarios en sistemas de seguridad, como llaves electrónicas para vehículos o sistemas de seguridad en el hogar.

• Interacción con dispositivos IoT: Control de dispositivos del Internet de las cosas (IoT), como luces, termostatos, cámaras, etc., a través de dispositivos móviles habilitados con NFC.

Según comenta el equipo de investigación de ESET Latinoamérica, la tecnología NFC se considera mayoritariamente segura por distintas razones. Por un lado, la corta distancia de comunicación, ya que la comunicación NFC se produce a distancias muy cortas, generalmente de unos pocos centímetros, lo que dificulta la interceptación. A eso se le suma la necesidad de autenticación, donde muchas implementaciones de NFC requieren que el usuario autorice la comunicación tocando activamente los dispositivos NFC, reduciendo el riesgo de acceso no autorizado. A su vez, cuenta con protocolos de seguridad, por ejemplo los protocolos de autenticación como ISO/IEC 14443 e ISO/IEC 18092, que garantizan que los dispositivos involucrados en la comunicación sean legítimos. También incluyen medidas para proteger contra ataques de intermediarios, como el uso de autenticación de dos factores o tokens de sesión.

Asimismo, como con cualquier tecnología, existen algunos riesgos potenciales asociados con NFC. Por un lado, el Malware NFC que puede alojarse en etiquetas NFC y transferirse a dispositivos vulnerables. El Sniffing NFC, donde los atacantes pueden usar dispositivos especiales para interceptar comunicaciones NFC. Otro de los riesgos es el robo de datos, si un dispositivo NFC se pierde o se roba, los datos almacenados en él podrían ser vulnerables.

Para mitigar estos riesgos, desde ESET Latinoamérica recomiendan:

• Descargar aplicaciones NFC de fuentes confiables.

• Mantener el software de los dispositivos actualizado.

• Utilizar contraseñas seguras para proteger los dispositivos NFC.

• Estar atento a actividades inusuales en los dispositivos NFC.

• Evitar tocar etiquetas NFC desconocidas.

• Contar siempre con una solución de seguridad instalada y actualizada.

“NFC es una tecnología versátil y segura que ofrece una amplia gama de posibilidades. Al ser conscientes de los riesgos potenciales y tomar las precauciones adecuadas, se pueden aprovechar al máximo los beneficios de NFC.”, concluye Fabiana Ramirez, Investigadora de Seguridad Informática de ESET Latinoamérica.

La entrada NFC: ¿Qué es, cómo funciona y qué riesgo de ciberseguridad tiene? se publicó primero en Technocio.

ESET analiza de qué manera el cibercrimen puede sacar provecho de una industria que mueve millones y cuál puede ser el impacto para las entidades deportivas.

Así como supo abrirse camino en diversas industrias, la tecnología también logró convertirse en una herramienta fundamental para los clubes de fútbol: desde mejorar el scouting de jugadores, obtener información sobre el rendimiento de sus planteles hasta ofrecer experiencias distintivas y únicas a sus fanáticos. Pero lo cierto es que esto los puso en el foco del cibercrimen, el cual busca aprovechar este escenario para obtener data sensible y crítica de las instituciones deportivas y obtener algún redito económico. ESET analiza qué incidencia tiene la tecnología actualmente en los clubes de fútbol, a qué riesgos están expuestos y cuáles pueden ser las consecuencias de un ataque a sus infraestructuras.

La tecnología fue ganando terreno en el ámbito futbolístico, tanto dentro como fuera del campo de juego. Por ejemplo, en el arbitraje la utilización del VAR permite revisar decisiones con el objetivo de minimizar el error y las injusticias; o en el scouting de futbolistas la tecnología les permite un análisis bien exhaustivo de jugadores para identificar a aquellos talentos que se ajustan a los objetivos del equipo.

También, los clubes confían cada vez más en la tecnología de punta para el análisis táctico, manejando datos e informaciones que en su conjunto ofrecen una visión profunda del rendimiento de atletas, las estrategias de los rivales y la planificación estratégica. Asimismo, hay futbolistas que llevan rastreadores GPS, pulsómetros y cualquier otro tipo de dispositivo destinados a medir su rendimiento y condición física e información en tiempo real sobre sus movimientos, la carga de trabajo y los niveles de forma física.

Por otro lado, las instituciones están aprovechando de manera significativa las bondades de la tecnología para ofrecer a sus aficionados y aficionadas, distintos servicios extras mediante aplicaciones móviles, realidad virtual y hasta realidad aumentada, con contenidos exclusivos y experiencias inmersivas.

La introducción de la tecnología al ámbito futbolístico también cuenta con otras características que abrieron la puerta a diversos riesgos de ciberseguridad. Los datos personales son el nuevo petróleo para los cibercriminales y los clubes de fútbol se convirtieron en un objetivo muy tentador por la gran cantidad de información confidencial que manejan en sistemas, informes, análisis, estrategias y hasta data sensible de jugadores. “Hoy el deporte se encuentra en el foco, con el riesgo concreto de una posible exposición de datos confidenciales como contratos, registros médicos y hasta información de sus propios simpatizantes. Los ciberdelincuentes podrían obtener el acceso a cuentas y transacciones financieras, pudiendo provocar pérdidas económicas considerables. También podrían ser víctimas de ataques de ransomware que provoquen interrupciones en la operativa del club o un ataque distribuido de denegación de servicio (DDoS) que permita la caída de sitios web, lo que podría llevar a la interrupción de por ejemplo la venta de entradas, la transmisión de los partidos y cualquier otro tipo de servicio digital” advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Casos de clubes que se vieron afectados:

Un ejemplo paradigmático de cómo los clubes están en el foco de los cibercriminales es el que protagonizó el Manchester United a finales del año 2020. El propio equipo inglés emitió un comunicado confirmando el hecho, y más allá del impacto que tuvo el ataque, afirmó que “todos los sistemas críticos necesarios para que los partidos se celebren en Old Trafford siguen siendo seguros y operativos”. Pero no fue el único caso: su archirrival, el Manchester City también fue víctima de una filtración de datos, puntualmente de su base de datos de scouting mundial, durante el año 2013.

Otro caso reciente fue el protagonizado por la Real Sociedad. El 18 de octubre de 2023, el club de fútbol de San Sebastián confirmó haber sido víctima de un ciberataque mediante un escueto comunicado. El incidente afectó servidores que almacenaban datos sensibles como nombres, apellidos, direcciones postales, casillas de correo electrónico, números de teléfono y hasta cuentas bancarias de sus abonados y accionistas. Ante esta situación, sugirió a los afectados y afectadas que revisen sus cuentas, por si se produjeron movimientos extraños.

El Paris Saint Germain también fue víctima de un ciberataque en abril de este año. En el caso del equipo parisino, el ataque afectó principalmente a su sitio web y al sistema de venta de entradas para los partidos. El club se contactó de manera inmediata con las personas de su base de datos con el objetivo de informarles sobre el incidente y para confirmar que no hubo grandes consecuencias.

Según ESET, para un club de fútbol, las consecuencias de ser víctima de un ataque pueden ser varias y muy peligrosas:

• Desde el daño a la reputación del club, a la pérdida de la confianza que puede derivar en la no concreción de acuerdos de patrocinio.

• También puede haber pérdidas financieras directas: desde el pago de rescate si fue infectado con ransomware al impacto económico que puede representar la restauración de los sistemas después de sufrir un ataque, o la imposibilidad de vender entradas o coordinar partidos.

• Además, puede haber represalias legales, ya que una filtración o violación de datos personales darían lugar a importantes multas o demandas por parte de los damnificados.

• En el plano futbolístico, representaría una ventaja deportiva muy relevante el hecho de que se filtren tácticas, estrategias, informes de scouting de jugadores o datos sensibles vinculados al rendimiento de cada integrante del plantel.

“Así como en otras industrias, la integración de la tecnología con el fútbol produjo transformaciones más que positivas, las cuales impactaron no solo sobre el terreno de juego, sino en dinámicas de las estrategias de gestión, el rendimiento de los jugadores y hasta en la experiencia de los aficionados. Ante este novedoso panorama, los clubes que ponen en práctica estas innovaciones también deben prestar atención a los desafíos vinculados a la ciberseguridad. Tener a la seguridad de su información y sistemas como prioridad es tan clave como fichar al jugador de moda en el mercado de pases.”, agrega Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La entrada Ciberseguridad en el futbol: qué riesgos enfrentan los clubes se publicó primero en Technocio.

ESET explica cómo saber si tus datos fueron expuestos y qué hacer para reducir su impacto.

Las filtraciones de contraseñas se están volviendo cada vez más comunes, ESET explica cómo descubrir si tus claves han sido comprometidas y comparte algunos consejos para reducir el impacto de una brecha de datos que haya expuesto tus credenciales.

Este año un informe analizó “la madre de todas las brechas”, la filtración de datos robados durante una serie de ataques a varias empresas y servicios en línea, incluidos LinkedIn y Twitter (ahora X) que, al parecer, incluía 26.000 millones de registros repletos de información confidencial, como datos gubernamentales y credenciales de acceso. Este número de registros comprometidos se suma las anteriores filtraciones conocidas como la filtración de datos de Cam4 que expuso cerca de 11.000 millones de registros, o la llamada Collection No.1, que expuso 773 millones de nombres de inicio de sesión y contraseñas previamente robados de varias organizaciones.

Este contexto ayuda a comprender que, incluso si se aplican estrictas medidas de seguridad personal, las credenciales de una cuenta aún pueden quedar atrapadas en distintas recopilaciones, principalmente debido a brechas en grandes empresas.

Algunas opciones para averiguar si tus credenciales se han visto comprometidas recomendadas por ESET, son:

Haveibeenpwned.com: Este sitio cuenta con una herramienta gratuita que puede decirte cuándo y dónde aparecieron sus datos, como dirección de correo electrónico o contraseñas. Solo hay que introducir la dirección de correo electrónico, hacer clic en “pwned?” y aparecerá un mensaje informándote del estado de seguridad de tus credenciales, así como de la filtración exacta en la que se vieron envueltas. Para los afortunados, el resultado será verde, lo que indica que no ha habido “pwnage”, y para los menos afortunados, el sitio se volverá rojo, indicando en qué filtración o filtraciones de datos aparecieron sus credenciales.

Pie de imagen: Comprobación de correos electrónicos y contraseñas en haveibeenpwned.com mediante una sencilla consulta de búsqueda

Navegador web: Algunos navegadores web, como Google Chrome y Firefox, pueden comprobar si tus contraseñas han sido incluidas en alguna filtración de datos conocida. Chrome también puede recomendar contraseñas más seguras a través de su módulo de gestión de contraseñas u ofrecer otras funciones para mejorar la seguridad de tus contraseñas.

Pie de imagen: El gestor de contraseñas de Chrome puede ser muy útil para descubrir si tus datos se han filtrado públicamente

Sin embargo, es posible que se quiera ir más allá y utilizar un gestor de contraseñas dedicado que tenga un historial probado, incluso mediante un cifrado robusto. Estas herramientas suelen incluir software de seguridad multicapa de buena reputación.

“Los gestores de contraseñas tienen un valor incalculable cuando se trata de hacer malabarismos con una gran colección de credenciales de inicio de sesión, ya que pueden almacenarlas de forma segura y generar contraseñas complejas y únicas para cada una de sus cuentas en línea. No hace falta decir, sin embargo, que necesitas utilizar una contraseña maestra fuerte pero memorable que contenga las mismas. Si bien no son inmunes a ataques, las ventajas como la comprobación de contraseñas filtradas y la integración con los sistemas de autenticación de dos factores (2FA) disponibles actualmente en muchas plataformas en línea, compensan los riesgos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Asimismo, para evitar el impacto de las fugas de credenciales desde ESET recomiendan:

• No confiar únicamente en las contraseñas. Utilizar la autenticación de doble factor (2FA) en todos los servicios que la permitan, -idealmente en forma de una clave de seguridad dedicada para 2FA o una aplicación de autenticación como Microsoft Authenticator o Google Authenticator-. De este modo, será mucho más difícil para los atacantes obtener acceso no autorizado a las cuentas, incluso si han conseguido de algún modo la(s) contraseña(s).

• Evitar que las contraseñas sean simples y cortas, como una palabra y un número. Una buena práctica es utilizar frases de contraseña, que pueden ser más seguras y fáciles de recordar. En caso de duda, se puede utilizar esta herramienta de ESET para generar contraseñas, o comprobarla fortaleza de las ya existentes.

• Utilizar una contraseña distinta para cada una de sus cuentas para evitar ataques como el “credential stuffing”, que se aprovecha de esto para reutilizar las mismas credenciales en varios servicios en línea.

• En cuanto a la seguridad de las contraseñas como tal, evitar escribir los datos de acceso en papel o almacenarlos en una aplicación para tomar notas. También es mejor evitar almacenar las credenciales de la cuenta en los navegadores web, que suelen guardarlas como simples archivos de texto, lo que las hace vulnerables a la filtración de datos por parte de malware.

Por parte de las empresas, ESET aconseja tener en cuenta los siguientes puntos:

• Invertir en soluciones de seguridad, como software de detección y respuesta, que puedan prevenir brechas e incidentes de seguridad.

• Reducir proactivamente su superficie de ataque y reaccionar en cuanto se detecte algo sospechoso. La gestión de vulnerabilidades es crucial, ya que estar al tanto de las lagunas de software ayuda a prevenir su explotación por parte de los ciberdelincuentes.

• No subestimar la importancia de la formación en ciberseguridad y la seguridad de los endpoints y el correo electrónico para el equipo de trabajo. Un ataque se puede desencadenar facilmente, por ejemplo cuando un empleado abre un archivo adjunto de correo electrónico sospechoso o hace clic en un enlace.

• Implementar una solución de prevención de pérdida de datos (DLP) e implantar una sólida política de copias de seguridad. Además, el manejo de grandes volúmenes de datos de clientes y empleados requiere prácticas de cifrado estrictas. El cifrado local de credenciales puede salvaguardar estos datos sensibles, dificultando a los atacantes la explotación de la información robada sin acceso a las claves de cifrado correspondientes.

“En definitiva, no existe una solución única, y cada usuario o empresa debe adaptar su estrategia de seguridad de datos a sus necesidades específicas y adaptarse a la evolución del panorama de las amenazas. No obstante, una combinación de las mejores prácticas de ciberseguridad contribuirá en gran medida a prevenir las filtraciones y violaciones de datos.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

La entrada Filtraciones de datos: ¿cómo comprobar si has sido afectado? se publicó primero en Technocio.

ESET analiza cómo los cibercriminales hackean cuentas de YouTube para malware, a qué prestar atención y qué pasos seguir si una cuenta fue comprometida.

El robo de cuentas de YouTube, principalmente de creadores de contenidos, se ha vuelto una práctica tan frecuente como peligrosa. El objetivo de los cibercriminales es, una vez que lograron hackear la cuenta, utilizarla para distribuir malware del tipo infostealer. ESET analiza las estrategias que emplean los actores maliciosos para hacerse de estas cuentas, cuáles son las consecuencias para las víctimas, y qué pasos seguir en caso de que una cuenta haya sido vulnerada.

“El hackeo de cuentas de YouTube para la posterior distribución de malware no es algo nuevo, ya que suele ser muy utilizado para distribuir malware a través de descargas de software, películas, tutoriales, contenido vinculado a criptomonedas, cheats para juegos o aplicaciones. Anteriormente, hemos analizado esta problemática desde WeLiveSecurity, compartiendo campañas que roban cuentas de Google y en muy pocos minutos crean una gran cantidad de canales en YouTube para distribuir troyanos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El principal vector de ataque son los correos de phishing. Los ciberatacantes envían un email en el cual tientan con algún tipo de acuerdo al creador de contenido -les proponen patrocinar o promocionar la cuenta- y adjuntan un supuesto archivo en DropBox con el detalle de las condiciones comerciales. Ese archivo será el que contenga malware del tipo infostealer que le permitirá al atacante obtener las credenciales de acceso de la cuenta objetivo (y hasta el 2FA (doble factor de autenticación, por ejemplo).

Pie de imagen: Ejemplo de mail de phishing que le llega a un creador de contenido. Fuente: The PC Security Channel.

En este infostealer se incluye un script que borrará las cookies del equipo y obligará al usuario a volver a poner las credenciales de inicio de la cuenta, y en ese momento es cuando enviará la información al ciberatacante. Una vez con las credenciales de la cuenta en su poder, los cibercriminales la utilizan para distribuir malware, muchas veces compartiendo contenido que nada tiene que ver con la cuenta original y borrando todo el material antiguo. Para la víctima, las consecuencias pueden ser desde el cierre del canal, la desmonetización de sus videos y hasta la pérdida de seguidores.

Son muchas las cuentas que han sido vulneradas utilizando este modus operandi. Tan es así que el Centro de Inteligencia de Seguridad de AhnLab (ASEC) descubrió un número creciente de casos en los cibercriminales acceden a las credenciales de canales famosos de YouTube y luego las aprovechan para distribuir malware del tipo infostealer.

En cada uno de los casos compartidos por ASEC, se evidencia una misma práctica por parte de los actores maliciosos: la de añadir un enlace comprometido de descarga en la descripción o en la sección de comentarios de un vídeo sobre la versión crackeada de programas como por ejemplo Adobe.

Pie de imagen: Ejemplos enlaces maliciosos ubicados en la descripción y/o comentarios de vídeos de YouTube. Fuente: ASEC.

Los cibercriminales también se aprovechan de canales de YouTube que promocionan videojuegos pirateados o crackeados. En estos casos, los piratas informáticos publican enlaces en las descripciones de los vídeos que en realidad llevan a las víctimas a sitios que distribuyen malware del tipo infostealer.

“Lo complejo de esta situación es que este tipo de programas maliciosos permanecen ocultos en el equipo infectado en busca de todo tipo de contraseñas e información bancaria almacenada en el navegador, pero también tienen el potencial de realizar otras acciones en el equipo, como realizar capturas de pantalla.”, comenta el investigador de ESET Latinoamérica.

En 2023 ESET cubrió un caso en el que un usuario resultó víctima de un malware del tipo infostealer por hacer clic en un enlace malicioso publicado en un canal comprometido. La persona había descargado desde YouTube un crack de un popular programa de la suite de Adobe y se infectó con un malware que accedió a sus cuentas de Instagram, Facebook, Twitter, Hotmail, Twitch y Steam. Si bien en algunas de estas cuentas comprometidas el programa malicioso hizo publicaciones en su nombre, las claves de inicio de sesión no habían sido modificadas, por lo que la víctima nunca perdió el acceso, y así logró cambiar las contraseñas y activar la autenticación en dos pasos.

Pie de imagen: Video en YouTube ofrece un crack que descarga el troyano RedLine.

En caso de que una cuenta de un usuario haya sido robada, el equipo de soporte de Google compartió qué pasos se deben seguir. El primer paso es recuperar la cuenta de Google hackeada asociada con el canal de YouTube y actualizar la contraseña y activar el doble factor de autenticación. Luego, revertir aquellos cambios no deseados que el actor malicioso pudo hacer en el canal de YouTube a fin de evitar faltas por incumplimiento de los derechos de autor o de los Lineamientos de la Comunidad. En los casos en los que el canal haya sido cerrado post hackeo, una vez recuperada la cuenta de Google, puede apelar el cierre de un canal. A su vez, Google pone a disposición para aquellas personas que pertenecen al Programa de socios de YouTube, un equipo de asistencia  especialmente dedicado para creadores de YouTube.

La entrada Cómo roban cuentas de YouTube de creadores de contenido para distribuir malware se publicó primero en Technocio.

ESET advierte que cibercriminales se infiltran en las respuestas a convocatorias de empresas latinoamericanas, enviando currículums falsos infectados con malware para atacar los sistemas corporativos.

Actualmente, los cibercriminales están intentando infectar con malware a empresas de América Latina a través del envío de falsos currículums que contienen un troyano de acceso remoto. ESET comparte ejemplos de esta práctica y acerca algunos a tener en cuenta para identificar estos engaños y así mantener los sistemas protegidos.

La compañía comparte algunos de los ejemplos de currículums con malware que son enviados a diferentes empresas de la región:

Pie de imagen:  El archivo malicioso es compartido en formato .zip.

Pie de imagen: Otro ejemplo de currículum apócrifo que contiene malware.

A simple vista estos emails parecen legítimos, de hecho la dirección de correo en ambos casos parecería no ser falsa, y la redacción no presenta errores de ortografía o gramática que sirvan de alarma. Así y todo, según ESET, siempre hay pequeños detalles que permiten detectar cuándo un mail puede estar distribuyendo contenido malicioso. “En el caso del mail enviado supuestamente por Mariana Alvarez, llama la atención que el email no esté dirigido a ninguna persona en particular (algo que se repite en el ejemplo de Catalina Muñoz). Y que, además, no se incluya el nombre en el saludo. Pero lo más llamativo, en ambos ejemplos, es que el archivo adjunto está en formato .zip, y el peso de este.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En caso de descargar el falso currículum, el usuario se estará infectando con malware y otorgando así al ciberatacante la posibilidad de que obtenga información sensible vinculada a sus credenciales de acceso al correo, homebanking, tarjetas de crédito; que acceda a información confidencial de la empresa. Además se le puede permitir instalar software no autorizado para cometer otro tipo de delitos, como encriptar archivos o bloquear el acceso a los sistemas de toda la organización.

“Para mitigar el riesgo de ser víctima de este tipo de ataque es importante sistematizar buenas prácticas, y como organización o empresa también es relevante tomar cartas en el asunto desde la protección de los sistemas así como  brindar capacitaciones a sus colaboradores para detectar intentos de phishing.”, agrega el investigador de ESET Latinoamérica.

Cuando se recibe un correo -sobre todo si es inesperado- hay varios detalles y señales que pueden hablar de un intento de phishing. Antes de hacer clic, el equipo de ESET recomienda chequear dos detalles:

• La redacción y ortografía en el asunto y contenido del mensaje. Si bien gracias a la Inteligencia Artificial, los ciberatacantes logran redactar mensajes cada vez más coherentes y elaborados, siempre es bueno dar una leída a conciencia y verificando que no haya errores que levanten sospecha.

• La extensión del archivo —si es .jpg, pdf, o similar— que debe, al menos, tener concordancia con el documento que el mail dice adjuntar. Como vemos en los ejemplos de esta campaña, los supuestos curriculums son en realidad archivos .zip (un archivo comprimido).

En cuanto a la protección extra, es fundamental para la detección contar con una solución de seguridad robusta y confiable, que pueda brindar protección contra este y otro tipo de ataques de malware.

“Enviar un currículum a una organización para postularse a algún puesto de trabajo es una práctica cotidiana, pero que también se ha convertido en otra práctica muy común entre los cibercriminales para infectar a las empresas con malware. Tomar conciencia de que esto está sucediendo actualmente y capacitarse para detectar correos maliciosos, es el primer paso que deben dar las empresas para estar protegidas.”, concluye Gutiérrez Amaya de ESET.

La entrada Currículums falsos distribuyen malware en empresas de América Latina se publicó primero en Technocio.

ESET revela que los cibercriminales tienen preferencias para sus ataques de ransomware basadas, por ejemplo, en el tipo de empresa y los datos que pueden secuestrar de cada una.

En estos últimos años, y con un aumento significativo durante el 2020, el ransomware se convirtió en una de las amenazas más temidas para las organizaciones latinoamericanas. Este tipo de ataques pueden afectar la operaciones diarias y provocar pérdidas económicas, además de ser un riesgo a la seguridad pública y dañar la reputación de la empresa víctima. ESET revela cuáles son los sectores más atacados y por qué.

“El objetivo del ransomware es cifrar los datos de una víctima y exigir el pago de un rescate para liberarlos, lo que tiene un gran impacto y costo asociado más allá del pago de un rescate -algo desaconsejado rotundamente-. Impacta en diversas industrias, sin embargo, más allá de las situaciones que puedan tener cada una de las organizaciones en particular, como robustez de infraestructura o controles de ciberseguridad, existen ciertas industrias naturalmente atractivas para los operadores.”, comenta Martina López Investigadora de Seguridad Informática de ESET Latinoamérica. 

Según ESET, los tres componentes que permiten comprender el mayor o menor interés en cada industria. En principio, la cantidad de datos con los que cuenta la compañía y la sensibilidad de estos. Las organizaciones que almacenan grandes volúmenes de información son objetivos tentadores, y cuanto más sensibles y confidenciales sean los datos, mayores posibilidades de que la organización atacada se preocupe por resguardarla y pague un rescate. En segundo lugar, los ciberdelincuentes tienden a enfocarse en organizaciones cuya reputación y credibilidad son pilares fundamentales de su operación. Las organizaciones que dependen en gran medida de la confianza de sus clientes, como las entidades financieras, gubernamentales y de salud, son objetivos prioritarios debido al enorme daño reputacional que pueden sufrir si se ven comprometidas públicamente. Y, por último, según la disponibilidad de recursos financieros para pagar un rescate. Si bien es un punto clave no significa que los objetivos sean solo grandes empresas ya que hay muchos casos de pequeñas organizaciones que, tras un ataque de ransomware, enfrentan serias dificultades operativas por ello. Además de estos factores, también se aclara que existen grupos motivados pura y exclusivamente por el activismo, conocidos como hacktivistas.

Las industrias más atacadas por el Ransomware según ESET, son:

• Sector financiero: Las instituciones financieras operan con volúmenes masivos de transacciones diarias que involucran sumas significativas de dinero. Estas transacciones abarcan desde pagos y transferencias hasta inversiones y seguros, creando un entorno atractivo para los atacantes que buscan aprovechar la interrupción de estos servicios para obtener un rescate.

La capacidad de paralizar un banco o una bolsa de valores puede causar un caos financiero considerable, lo que pone una enorme presión sobre la institución para resolver el incidente rápidamente, llegando hasta a veces cometer el error de pagar el rescate solicitado. Conscientes de su atractivo para el cibercrimen, las instituciones financieras suelen invertir grandes sumas de dinero en ciberseguridad cada año. Estas inversiones se destinan a recursos que van desde la implementación de infraestructura sólida, pasando por soluciones de cifrado, hasta simulacros de pérdida de operaciones con restauraciones incluidas.

• Sector público: Agencias gubernamentales, municipios y otras entidades estatales, manejan una gran cantidad de información crítica como números de identificación, direcciones, información fiscal y de salud, entre otros. Estos datos son altamente sensibles y valiosos en el mercado negro, ya que pueden ser utilizados para realizar fraudes, suplantación de identidad y otros delitos. Además, los sistemas gubernamentales manejan información confidencial relacionada con la seguridad nacional, infraestructura crítica y estrategias políticas, lo que aumenta aún más su atractivo para los atacantes.

En América Latina, ha habido varios casos destacados que ilustran la vulnerabilidad del sector público ante los ataques de ransomware. Un ejemplo significativo es el ataque al gobierno de Costa Rica en 2022. Este ataque, llevado a cabo por el grupo de ransomware Conti, afectó a múltiples instituciones gubernamentales, paralizando servicios críticos y comprometiendo datos sensibles. El impacto fue tan severo que el gobierno de Costa Rica declaró un estado de emergencia nacional, subrayando la magnitud de la amenaza y la necesidad urgente de fortalecer la ciberseguridad en el sector público.

• Sector salud: Las instituciones de salud manejan una amplia variedad de información sensible, incluyendo historiales médicos completos, datos de seguros, resultados de pruebas de laboratorio y estudios de investigación. La interrupción de los sistemas de salud por ataques de ransomware puede tener consecuencias graves, desde la cancelación de cirugías y tratamientos hasta la incapacidad de acceder a información crítica en emergencias.

“Si bien esta lista no es exhaustiva permite comprender qué factores en común tienen las industrias más afectadas por ataques de ransomware de alto nivel. Además, un análisis profundo de sus víctimas revela patrones significativos sobre sus motivaciones y métodos. Esto, como parte de la defensa de la ciberseguridad corporativa, permite comprender cómo fortalecer las defensas cibernéticas de manera proactiva y reducir la probabilidad de sufrir un ataque de ransomware. Esta comprensión nos capacita para defendernos de manera eficaz en el ámbito corporativo y mitigar así los riesgos asociados a estas amenazas digitales.”, concluye Martina Lopez de ESET.

La entrada Cuáles son las industrias más apuntadas por ataques de ransomware se publicó primero en Technocio.