Phishing en mi vida

Quizá ha escuchado o conoce a alguien que tiene como hobbie o que practica el deporte de ir de pesca. La pesca es una actividad que requiere de conocimiento, de técnica particular, de equipos, de herramientas y de una fuerte dosis de paciencia. Primero, es necesario que piense en el tipo de presa que desea pescar, después en dónde va a realizarla (¿será en aguas dulces o saladas, en el río, en la laguna o en el mar? Después, hay que pensar en el tipo caña de anzuelo o de red. Finalmente en el tipo carnada y… ¡Listo, a pescar!  A grandes rasgos, y sin pretender ser un experto en esta actividad, esto es lo que implica el “ir de pesca”.

Quizá se pregunta “¿y el ir de pesca, qué tiene que ver con mi ciberseguridad?”. Pues bien, pescando o phishing en inglés es una técnica que utilizan los ciberdelincuentes para obtener información del usuario y así acceder a determinado recurso.

Esto se logra a través del uso de diferentes herramientas y de técnicas basadas, principalmente, en la persuasión y en el engaño a los usuarios o víctimas. Y no es algo nuevo. Según Phishing.org, la práctica del phishing comenzó alrededor de 1995. Para familiarizarlo con lo anterior, tal vez usted sabe o conoce a alguien que ha recibido algún correo en donde ofrecen premios, regalos, super ofertas, incluso herencias de un pariente lejano que ni siquiera usted sabía que existía (mensajes empáticos). O tal vez, haya recibido algunos correos en donde el fisco le daba aviso sobre algún problema con su situación fiscal; o tal vez algún banco le haya informado que sus tarjetas bancarias fueron bloqueadas; o tal vez haya recibido alguna notificación de demanda o de pérdida de servicios (mensajes coercitivos). Entonces, mi estimado lector, estos son ejemplos clásicos y muy recurrentes del phishing.

¿Cuáles son las principales motivaciones de los cibercriminales?

Las motivaciones de los cibercriminales pueden ser desde obtener información para perpetrar robos y fraudes —con los números de cuentas bancarias, tarjetas de crédito, de débito, departamentales, etc. —, hasta la de generar robos, fraudes y secuestro de información a individuos y a organizaciones de todo tipo y tamaño, accesando a información clasificada como bases de datos, sistemas, servidores entre otras. Estas actividades, al basarse en engaños y accesos no autorizados, son tipificadas como ciberdelitos.

¿Porqué ha proliferado?

El Informe de investigación de violaciones de datos de Verizon (VDBIR, por sus siglas en inglés) clasificó el phishing como la tercera técnica más común utilizada en incidentes y en violaciones confirmadas de ciberseguridad. Además, casi el 80% de los incidentes de seguridad relacionados con espionaje o con instalación de malware se realizaron a través de ataques de phishing.

Un elemento fundamental es la falta de conocimiento y la poca capacitación que se da al personal que utiliza servicios digitales, particularmente, el entrenamiento que se dirige a fomentar una cultura de seguridad digital o de ciberseguridad, pues los criminales que se dedican al phishing se aprovechan de las emociones básicas del humano, la alegría, el miedo, el coraje, la tristeza.

Otro elemento importante es la disponibilidad de recursos para capacitación para “entusiastas” y contra ciberdelincuentes: para conocer el manejo de foros, de grupos, de tutoriales, de plantillas y de herramientas que permiten el aprendizaje para el lanzamiento de campañas de phishing, y sin dejar de lado la constante evolución de las técnicas de persuasión y de engaño.

Por otro lado, tenemos la tecnificación de todo. Todo se está conectando; cada día vemos nuevos servicios digitales que nos facilitan la vida: banca electrónica, transferencias de dinero, compras por internet, videoconferencias, intercambio de información de todo tipo (personal, confidencial, clasificada); y es justamente este botín tan tentador lo que hace que el ciberdelincuente salga a pescar.

En resumen, el phishing es una de las técnicas más utilizado por los ciberdelincuentes para robar información, robar dinero o instalar software malicioso (malware), utilizando como principal arma la persuasión y el engaño a través de herramientas tecnológicas comunes que se encuentran al alcance de todos. El phishing es un elemento que conforma un pilar dentro de la estrategia general del ataque, ya que se centra en el elemento más débil en la cadena de ciberseguridad: el humano.

¿Cuáles son las principales herramientas?

Otras herramientas son: el envío de correos electrónicos falsos, invitaciones a acceder a páginas web falsas, el envío de mensajería electrónica con promociones increíbles, invitaciones y promociones en redes sociales, etc. La herramienta más valiosa es la poca cultura del usuario sobre la protección de información.

¿Y qué puede hacer usted para reducir el riesgo de ser víctima de phishing?

  • Defina e identifique qué tipo de su información puede ser considerada como importante, confidencial, clasificada o delicada.
  • Establezca lineamientos, parámetros o políticas en las que defina qué tipo de información se puede compartir en línea o incluso, con quién puede compartirse. Incluya en este ejercicio la información que compartirá en sus redes sociales.
  • Monitoré y busque en el ciberespacio información sobre usted y sobre su organización.
  • Actualmente, la gran mayoría de las aplicaciones están habilitadas con autenticación de doble factor, utilícelo.
  • Busque entrenamiento y capacitación para aprender sobre esta amenaza, sobre cómo detectarla, sobre su relación con la Ingeniería Social y sobre qué hacer en caso de que logre identificar un posible ataque.
  • Y lo más importante: use su sentido común, sea incrédulo, no abra correos que no espera, pregúntese si tiene sentido abrir correos o páginas web desconocidos, no de click sin antes leer cuidadosamente, no descargue programas, documentos, videos, etc., por más tentadores que parezcan.

La permanencia y evolución del phishing se deben, en gran medida, a la explotación de la confianza de los usuarios y a su falta de entrenamiento en materia de seguridad de la Información. En Capa8 estamos conscientes de esta brecha y estamos comprometidos con la sociedad para fomentar una cultura de seguridad digital que coadyuve a la formación de “ciudadanos digitales” Responsables. Contáctenos, podemos ayudarle.

En nuestro próximo capítulo, hablaremos sobre el software malicioso o malware y sobre cómo los ciberdelincuentes lo mezclan con la ingeniería social, con redes inalámbricas no seguras y con el phishing para perpetrar sus ataques.

Por Eleazar Cruz

Covid-19 abrió la puerta al mundo educativo en línea

Un iceberg es un témpano de hielo gigantesco que deambula sin rumbo alguno por el mar y el cual puede provocar que enormes embarcaciones, como el histórico Titanic, se desestabilicen.

Dentro de la tormenta que vivimos con la pandemia y con la aparición del “iceberg” llamado Covid-19, la mayoría de las instituciones educativas se vieron en la necesidad de cerrar sus puertas de manera inmediata con la finalidad de evitar el choque con este témpano; ya que a pesar de que había llegado a desplazarse en otros mares, desafortunadamente, el mar de muchas escuelas no estaba preparado para su llegada.

Cuando me enteré de que esta tormenta había provocado una serie de naufragios, les confieso que me asusté; no podía creer que en tan poco tiempo este virus había viajado tan rápido de una nación a otra y había comenzado a causar daños, particularmente en la educación. Como docente me preocupé aún más cuando se empezaron a cerrar las escuelas, pues cada vez se acercaba más este iceberg; hasta que llegó el momento de un absoluto silencio en mi aula, las puertas se cerraron y mis niños se fueron a casa con sus tareas en mano.

Les comparto que algunos de mis estudiantes me preocupan más, ya que no cuentan con los recursos necesarios para trabajar desde casa, alrededor del 30% de ellos. Tristemente, ya formamos parte de las estadísticas que comparte la UNESCO respecto al seguimiento de cierre de escuelas a nivel mundial:


1,576,021,818 estudiantes afectados
91.3% del total de alumnos matriculados
188 cierres a nivel nacional
.

Estos cierres que se hacen en cada país están afectando a más del 91% de la población estudiantil del mundo. Muchos otros países han implementado cierres localizados que impactan a millones de estudiantes más. Según la UNESCO unos 63 millones de docentes de primaria y secundaria en el mundo están afectados por el cierre de los centros escolares en 165 países.

¿Qué ha sucedido en nuestro país?

Este iceberg Covid-19 movilizó la construcción de un “Titanic” de plataformas educativas en línea e hizo una invitación al zarpe de manera inmediata, pero la realidad es que aun las instituciones educativas más dotadas de herramientas de alta tecnología no contaban con los boletos de primera clase para todos los educandos; es decir, canales, soporte, protección y capacitación para tener un abordaje seguro. No obstante, todos los docentes y directivos unieron esfuerzos para brindar un boleto de primera clase a sus alumnos y continuar con la educación en México a pesar de la catástrofe.

Es así que, los maestros y directivos decidieron capacitarse de manera autónoma para el manejo de las TIC (las cuales para muchos es un tema complicado pues no las manipulan al cien por ciento). Bajo esas condiciones tuvieron que invitar a sus estudiantes a subir al navío con el salvavidas parchado para la implementación de la enseñanza virtual. Extendieron una invitación a la comunidad educativa para que emprendieran este viaje por medio de comunicados tanto impresos como digitales o pasando la voz.

Nuestro “Titanic”, con plataformas educativas gratuitas, pero con nulas estrategias y normas de seguridad y protección de privacidad de los menores, no contempló el choque con este iceberg Covid-19. Los más afectados han sido los pasajeros carentes de recursos, ya que, derivado del contexto de estos estudiantes, no pudieron conseguir un pasaje de primera clase y, aún más desalentador, no contarán con todas las comodidades para acceder a las plataformas y continuar con su proceso de aprendizaje en línea en un futuro cercano. Por otra parte, aquellos que sí tuvieron la posibilidad de abordar tendrán un viaje donde no se incluyen algunos salvavidas para manejar los riesgos y amenazas en el océano del ciberespacio.

Finalmente, sabemos que la tecnología nos abre las puertas a un mundo lleno de oportunidades para el desarrollo de la creatividad y la innovación, pero también nos puede poner un freno si no contamos con capacitación, medidas de seguridad e infraestructura adecuada. Es un buen momento para contemplar al menos algunas recomendaciones que ayuden a parchar esos salvavidas, tales como:

  • Definir una plataforma que no tenga problemas de privacidad.
  • Establecer reglas en el uso de la plataforma. De la misma manera que hay reglas en el salón de clase, debe haber en el aula virtual, buscando que en todo momento se cuide la privacidad de los alumnos.
  • No compartir enlaces de reuniones en plataformas públicas o medios sociales. Solo enviar el enlace directamente a aquellos que necesitan unirse a la clase.
  • Crear contraseñas para que los participantes la utilicen al unirse a la clase.
  • Cerrar las salas una vez que todos los participantes estén dentro.
  • Deshabilitar la función de compartir pantalla entre los participantes para asegurarse de que no se pierda el control de la reunión.
  • Desactivar intercambio de archivos y mensajería privada para evitar conversaciones paralelas inapropiadas sin su consentimiento.

Tengo la esperanza de que este momento que estamos viviendo nos permita sentar las bases para fomentar Escuelas Ciberseguras.

Mi reconocimiento a todos los maestros del mundo por poner el corazón cuidando la educación de sus alumnos aun a la distancia.
Por Lupita Mejía

Seguridad del WI-FI de casa para trabajar de manera remota

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para fortalecer la seguridad de tu WiFi.

Todos tenemos ese amigo o familiar que siempre pregunta: ¿Puedo tener la contraseña de WiFi? Piense en la última vez que sucedió y la última vez que cambió su contraseña de WiFi. ¿Ha pasado un tiempo? Ahora que está trabajando de forma remota, su seguridad WiFi debería ser especialmente una prioridad.

Para todos los pasos siguientes, necesitará la dirección IP de su enrutador que puede encontrar haciendo clic en Configuración de red -> Avanzado -> IP -> Número de enrutador o verificando el número en la etiqueta que generalmente se encuentra en la parte inferior de su enrutador físico . Una vez que encuentre el número, abra un navegador web y escriba la dirección IP. Después de iniciar sesión con su nombre de usuario y contraseña de administrador, debe hacer lo siguiente:

1. Cree un nombre de usuario y contraseña de enrutador seguros

Una vez que haya iniciado sesión con su número de IP y sus credenciales, vaya a la configuración y busque «seguridad» para cambiar su nombre de usuario y contraseña. Que sea una frase, cuanto más larga mejor. Asegúrese de que tenga al menos ocho caracteres sin caracteres repetitivos o secuenciales. No use una contraseña común o palabras específicas de contexto.

2. Habilite el cifrado de red

En el mismo panel, asegúrese de que su enrutador esté configurado en WPA2. Esto significa que su WiFi está cifrada y solo su computadora está «observando» las señales que su enrutador está transmitiendo.

3. Cambie su nombre de WiFi o identificador de conjunto de servicios (SSID)

Su enrutador, probablemente igual que el de sus vecinos, está configurado con un nombre SSID predeterminado por el fabricante. Lo más probable es que si hace clic en su red WiFi, verá que sus vecinos tienen un nombre WiFi similar al suyo, solo números diferentes al final. Para cambiar su nombre de WiFi, siga los pasos anteriores colocando su dirección IP en el navegador web, iniciando sesión y buscando «Nombre de WiFi» o «SSID». Asegúrese de que el nuevo nombre no revele ninguna información personal como la dirección o el número de apartamento.

4. Oculte su red

Una vez más, en su panel de configuración, busque Habilitar transmisión SSID, Estado de visibilidad, Habilitar transmisión inalámbrica oculta o SSID, asegúrese de que no esté marcada para que los visitantes solo puedan encontrar su red si la buscan específicamente por su nombre, haciéndola invisible para todos más.

5. Mantenga actualizado el firmware de su enrutador

Hoy en día, los enrutadores vienen con actualizaciones automáticas. Sin embargo, es bueno verificar periódicamente para asegurarse de que su enrutador tenga la última actualización. Vaya a la página web del fabricante. Deben tener herramientas para verificar el estado de su firmware y enlaces disponibles para descargar la actualización.

Incluso si no funciona a distancia, esperamos que se tome un tiempo para verificar su seguridad Wifi. Para aquellos que trabajan a distancia, visite » Mantenerse saludable, mantenerse seguro » para obtener más consejos de seguridad.

Seguridad de aplicaciones sociales durante COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para utilizar de manera segura algunas de las redes sociales más populares del momento.

Houseparty y TikTok se han convertido en dos de las aplicaciones más populares durante el brote de coronavirus. Adolescentes y adultos están utilizando estas aplicaciones sociales para mantenerse entretenidos a través de video chat, juegos en línea y desafíos virtuales. Si bien estas aplicaciones pueden unirnos en este momento de distanciamiento social, también pueden representar una amenaza en línea si no se usan correctamente.

SABÍAS…?

Houseparty: esta aplicación permite que hasta 8 amigos (incluidos amigos de amigos) hagan videos en vivo y jueguen en línea, como trivias, al mismo tiempo. Clasificación de edad: 12+ ( Smartsocial.com )

Consejos de seguridad:

  • Houseparty puede acceder a sus contactos si incluye su número de teléfono al registrarse. Omita este paso para tener control sobre con quién desea conectarse a través de la aplicación.
  • Houseparty permite que amigos de amigos se unan a salas de chat, exponiendo al usuario a estar en contacto con extraños. Puede evitar esto haciendo clic en el icono de candado en la parte inferior de la pantalla o creando grupos privados entre amigos.
  • Los chats no están moderados, lo que puede conducir a un comportamiento inapropiado. Evite situaciones incómodas enseñando a los niños a salir de la habitación cuando las cosas comienzan a «subir de tono» y bloquee al usuario.
  • Houseparty puede acceder a su ubicación para encontrar amigos «cercanos». Verifique la configuración de privacidad y desactive esta función.

TikTok: es una aplicación de redes sociales que permite a los usuarios filmar videos de 15 segundos o menos. Los bocetos de comedia, baile y representación de comedia son algunos de los tipos de videos más populares en TikTok. Clasificación de edad: 12+ ( Smartsocial.com )

Consejos de seguridad:

  • Por defecto, establece su cuenta en público. Esto significa que cualquiera puede solicitarle y enviarle un mensaje directo. Establezca la cuenta como privada en la configuración o cambie la configuración de comentarios, duetos, reacciones y mensajes a «Amigos» en lugar de «Todos».
  • TikTok tiene un filtro de contenido muy limitado. Los niños pueden estar expuestos a videos sugerentes, violencia y lenguaje soez. Siéntese con sus hijos y limite las cuentas «influyentes» y «populares» que pueden seguir. Concéntrese en amigos que conocen en la vida real. Sea parte de su perfil haciendo videos con ellos u ofreciéndoles ser su camarógrafo.
  • TikTok permite que cualquier persona en la plataforma siga su cuenta. Una vez que permita que un extraño lo siga, puede enviarle un mensaje. Asegúrese de no aceptar a personas que no conoce en la vida real.

DIRECTRICES GENERALES DE SEGURIDAD PARA APLICACIONES SOCIALES:

Hoy son TikTok y Houseparty, pero el próximo mes, habrá nuevas aplicaciones sociales que presentarán nuevas amenazas para sus hijos. Al seguir estas pautas generales, puede asegurarse de que su familia se mantenga segura con cualquier aplicación nueva que salga al mercado. 

  1. Todos los datos proporcionados a una red social se almacenan y, la mayoría de las veces, se comparten de manera predeterminada. Asegúrese de que el perfil de su hijo esté configurado como privado. Vaya a la configuración y ajuste los controles predeterminados.
  2. Explique que lo que se publica en Internet es imposible de eliminar. La actividad en línea y las publicaciones podrían estar disponibles para todos, incluidos futuros empleadores y universidades.
  3. Las redes sociales no deberían convertirse en un concurso de popularidad. Trate a los demás de la forma en que quieren ser tratados.
  4. Siempre use avatares y nombres de usuario. Nunca use su foto real o nombre real.
  5. Siéntese con sus hijos y hable sobre ciudadanía digital antes de que descarguen una aplicación. Puede usar este acuerdo entre padres e hijos para establecer pautas.
  6. Verifique qué hay detrás de usted cuando use su cámara. ¿La cámara captura información personal sobre su familia o ubicación? Los depredadores aún pueden determinar dónde viven sus hijos, ir a la escuela y visitarlos solo con fotos, a menos que tome precauciones.

Para más recursos para padres, haga clic aquí .

Mantenerse saludable, mantenerse seguro

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para mantener un entorno de trabajo ciberseguro, aun en casa.

Dependiendo de en qué parte del mundo vivas, ya estás trabajando a distancia, preparándote para comenzar un período de dos semanas de trabajo a distancia o contemplando la idea. Estas medidas se implementan para evitar la propagación de la pandemia de COVID-19 conocida como coronavirus. Para algunos de ustedes, trabajar a distancia es solo otra opción, para otros, este podría ser un entorno completamente nuevo que deben seguir.

Si bien mantenerse saludable es la prioridad de todos, la seguridad cibernética debe ser considerada para cada empleado remoto. Trabajar en casa significa menores medidas de seguridad y una mayor probabilidad de cibercrimen.

Ya sea que estés usando la computadora portátil de la compañía o la tuya, aquí hay cinco recomendaciones para un trabajo remoto seguro mientras manejamos el brote de coronavirus.

1.     Red privada virtual (VPN): es probable que estés trabajando de forma remota conectándote a la red WiFi de tu hogar. Si bien es probable que su Internet esté protegido con contraseña, tener una VPN agrega otra capa de seguridad. Si no tiene uno, pregúntele a su departamento de TI antes de realizar cualquier trabajo que involucre datos confidenciales de la empresa.

2.     Autenticación multifactor (MFA): implemente la autenticación multifactor como una capa de seguridad adicional. Un ejemplo de factor múltiple es el envío de un código a tu smartphone cuando intentas iniciar sesión en un portal. Lo que significa que si tus credenciales se ven comprometidas, aún no accederán a ese portal sin esa segunda medida de seguridad.

3.     Intentos de phishing: espera más intentos de phishing durante este período de trabajo remoto. Sé diligente, mantente atento a las líneas de asunto urgentes, errores gramaticales, direcciones de correo electrónico de aspecto divertido e informa a tu departamento de TI. Usa la videoconferencia cuando sea posible para evitar ataques de falsificación de chat. Siempre habla cuando algo no se siente bien.

4.     Almacenamiento de datos: intenta limitar los datos en tu disco duro local. Usa una nube o un servidor remoto cuando sea posible. Es más fácil hackear el almacenamiento de datos localmente que en una nube. Al guardar tu fecha en un servidor remoto, estás agregando un «muro» adicional para los ciberdelincuentes.

5.     Seguridad en línea para niños: si eres padre o madre, existe una alta probabilidad de que trabajes a distancia mientras tienes que cuidar a tus hijos. El tiempo frente a la pantalla será una de las muchas formas en que pueden ocupar su tiempo para que puedas hacer algo de trabajo. Ten en cuenta que están utilizando la misma red que tú. Si no están siendo seguros, sus acciones podrían afectar la seguridad de tu empresa.

  • Asegúrate de configurar los controles parentales para que no tengan la autoridad para descargar ninguna aplicación.
  • Enséñeles a no compartir ninguna información personal si están jugando un juego que implica chatear dentro del juego
  • Muéstreles cómo crear contraseñas seguras si es necesario iniciar sesión
  • Enséñeles a ser diligentes con actividades desconocidas para que puedan informarle de inmediato

Esperamos que estas sugerencias hagan que tu experiencia laboral remota sea más fácil de llevar y, lo más importante, más segura. Siempre solicita consejos y recomendaciones a tu departamento de TI y no dudes en informarles sobre actividades sospechosas.

Lee los consejos de seguridad cibernética de la estafa de Coronavirus aquí .

Cómo evitar estafas en línea relacionadas con COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser presa de estafadores en línea, en esta situación tan complicada que estamos viviendo.

Al igual que con cualquier crisis importante, los delincuentes solo esperan aprovecharse de una mala situación y la enfermedad de Coronavirus 2019 (COVID-19) no es diferente. Cada vez que sucede algo de esta magnitud, saca lo mejor y lo peor de las personas. Hay quienes se mueven para ayudar y hacerlo de cualquier manera pero luego están aquellos que se mueven para aumentar el caos y sacar provecho de los demás. Varias agencias de aplicación de la ley en los EEUU así como el FBI han estado advirtiendo a las personas sobre varias estafas de phishing y están pidiendo precaución al abrir correos electrónicos relacionados con el Coronavirus. Estos correos electrónicos pueden parecer correos electrónicos oficiales que provienen del Centro para el Control y la Prevención de Enfermedades ( CDC) y la Organización Mundial de la Salud (OMS).

Junto con las estafas de correo electrónico de phishing, hay informes de muchos sitios nuevos y maliciosos que se hacen pasar por legítimos para robar información personal o propagar malware. De hecho, según Check Point Threat Intelligence, se han registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo. De estos sitios, el 3% resultó ser malicioso y un 5% adicional es sospechoso. Los dominios relacionados con el coronavirus tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período de tiempo.

Además de los sitios web maliciosos y los correos electrónicos de phishing, también hay informes de estafas de caridad y tratamiento falso de Coronavirus. Con esto en mente, queremos asegurarnos de que tengas la información y los consejos para mantenerte seguro en línea durante este tiempo:

  • Consulta fuentes oficiales para actualizaciones sobre el Coronavirus. Le recomendamos que visite el Centro oficial para el Control y la Prevención de Enfermedades ( CDC ) y la Organización Mundial de la Salud ( OMS ) para obtener información actualizada sobre el brote. Tenga cuidado con los sitios web y los mapas de la propagación de la enfermedad cuando busque o busque en Google la pandemia.
  • Desafortunadamente, la enfermedad de Coronavirus 2019 (COVID-19) no tiene vacuna ni cura. Debemos estar particularmente atentos de correos electrónicos de esta naturaleza e informar cualquier correo electrónico falso o phishing a estas organizaciones. Puedes informar estafas a la OMS aquí y a la FTC aquí.
  • Investiga cualquier organización benéfica antes de donar dinero o proporcionar información personal. Ya hay informes de organizaciones benéficas falsas que afirman que necesitan dinero para encontrar una cura o ayudar a las víctimas. Lea los consejos de donación aquí .
  • Particularmente en este momento, ten cuidado con los falsos intentos de phishing por correo electrónico de los CDC y la OMS. No hagas clic en archivos adjuntos o hipervínculos de un correo electrónico que no esperabas o donde no puedes verificar al remitente. Mala gramática, hipervínculos que no coinciden con la URL real, errores ortográficos, archivos adjuntos extraños, amenazas, ningún logotipo o logotipo incorrecto, o un sentido extremo de urgencia son signos de phishing.

Recuerda que los delincuentes intentarán atraer tus emociones durante esta pandemia, especialmente el miedo y el pánico. Disminuye la velocidad al tomar decisiones y no te sientas presionado a hacer nada con prisa, ya sea visitar un sitio web, hacer clic en un enlace, abrir un archivo adjunto, donar a una organización benéfica o tratar de navegar a través de tratamientos no aprobados.

Si actualmente estás trabajando en forma remota, lee nuestros consejos de seguridad cibernética sobre cómo configurar una estación de trabajo cibersegura para las próximas dos semanas.

Día Nacional de Desconexión

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde comentan sobre el Día Nacional de Desconexión en los EEUU y la oportunidad de volver a las cosas que más importan.

Su teléfono está zumbando, sonando, parpadeando y prácticamente saltando de sus manos y bolsillos rogándole que eche un vistazo para ver qué puede haberse perdido. Es realmente agotador, así que TOMEMOS UN DESCANSO. ¡El Día Nacional de Desconexión es de sol a sol del 6 al 7 de marzo y lo alentamos a participar! Este es un período de 24 horas para alejarse de su teléfono celular o, para aquellos un poco más ambiciosos, todos sus dispositivos conectados a Internet. Incluso si suena un poco aterrador de desconectar, ¿no suena un poco liberador?

El Día Nacional de Desconexión es una oportunidad para que te vuelvas a conectar contigo mismo y con los que te rodean en tiempo real. Es una oportunidad para tomar un descanso de la tecnología implacable en su vida y permitirle volver a las cosas que más le importan. Para comenzar, nos comunicamos con la experta en desconexión, Catherine Price, autora de Cómo romper con su teléfono , y aquí hay algunos de sus consejos de planificación para una desconexión exitosa:

1. DIGA A LA GENTE LO QUE ESTÁ HACIENDO

Informe a sus padres, amigos, compañeros de cuarto, jefes y a cualquier otra persona que pueda intentar contactarlo durante las próximas veinticuatro horas. ¡Esto es tanto para ayudarlo a prepararse como para responsabilizarlo!

2. HAGA PLANES

Programe cosas agradables que pueda hacer (y personas con las que pueda pasar tiempo) durante el tiempo que generalmente pasa en su teléfono. Además, configure su casa para darle muchas opciones para actividades no telefónicas. Por ejemplo, podría poner un libro que haya querido leer en su mesita de noche, imprimir una receta que haya querido probar o dejar su instrumento fuera de su estuche.

3. ESTABLECER UNA RESPUESTA AUTOMATIZADA DE MENSAJE DE TEXTO

Muchos de nosotros nos comunicamos principalmente a través de mensajes de texto, y la idea de perder un mensaje de texto o dejar a alguien colgado es suficiente para mantener a muchos de nosotros atados a nuestros teléfonos. La solución es un contestador automático de mensajes de texto que dice que está lejos de su teléfono y que no responderá a los mensajes de texto hasta el día siguiente. (Opcional: proporcione su número de teléfono fijo (si tiene uno). Las respuestas automáticas de mensajes de texto también son excelentes para cuando conduce.

Asegúrese de visitar el sitio web de Catherine Price para obtener un «kit de supervivencia de 24 horas» descargable y gratuito en ScreenLifeBalance.com . ¡Creemos que estará de acuerdo con un descanso de la tecnología este fin de semana que no suena tan mal después de todo cuando tiene las herramientas adecuadas para el éxito!

Tik Tok: Qué hacer para proteger tus datos personales

Tik Tok es una nueva aplicación que está causando revuelo entre niños y adolescentes. Es muy popular y tiene cada vez más adeptos. Con ella puedes ver y realizar videos, descargar los de otros usuarios y usar música para armar tus propias versiones, y todo ello en episodios de 15 segundos o más. Además, puedes crear videos en directo y obtener regalos o monedas que podrás canjear si logras tener más de mil seguidores. Sin embargo, es importante, como en cualquier aplicación, que exista una supervisión de los padres, pues existen contenidos conocidos como “retos” que ponen en peligro a la comunidad suscrita a la app al enviarles información sugestiva que pone en riesgo la vida.

Al día de hoy, la aplicación de origen chino solo puede ser usada por mayores de 13 años. Como con cualquier aplicación y contenido en Internet, los niños deben ser supervisados por sus padres o algún adulto de confianza al usarla. Si bien es cierto que solo los mayores de 13 años tienen permitido iniciar sesión, también lo es que hay usuarios menores de ese rango de edad usándola sin que exista un filtro o restricción por parte de los creadores.

 En Estados Unidos, Tik Tok  tuvo que pagar una multa muy cuantiosa impuesta por la Comisión Federal de Comercio (FTC) por violar la ley de privacidad de los niños conocida como LEY COPPA (Children’s Online Privacy Protection Act), pues la aplicación recopilaba información de menores de 13 años sin el consentimiento de sus padres. Por lo anterior, se prohibió el acceso a menores de 13 años, pero no evitó que menores de 13 años la utilicen ya que no existen verdaderos filtros ni supervisión eficaz por parte de la compañía.

Asimismo, el tipo de información personal que recaba esta aplicación, con quién la comparte y cómo la usa, es todavía más preocupante y merecedora de supervisión para tomar decisiones y acciones al momento de iniciar sesión; por lo que se sugiere modificar los perfiles de configuración y permisos.

Qué tipo de datos personales recaba

1.- De perfil: nombre de usuario, fecha de nacimiento, dirección de correo electrónico, número de teléfono, fotografía y video; sexo y edad con el fin de personalizar el contenido

2.- De comportamiento: contenido que se genera en la plataforma, elección del idioma, fotografías y videos que se suben y los comentarios que se realizan

3.- Interacción con la plataforma: qué anuncios, videos y problemas se ven, el contenido de lo que les gusta o guardan en favoritos, incluidos los intereses

4.- Datos de terceros: se puede optar por compartir datos de otras cuentas de redes sociales como Facebook, Twitter, Instagram o Google y de ahí obtener la lista de contactos.

5.- Dirección IP e historial de navegación: el proveedor de servicios móviles, la configuración de la zona horaria, el identificador para fines publicitarios y la versión de la aplicación que se esta usando.

6.- El modelo del dispositivo por medio del cual se ingresa, el sistema, el tipo de red, la resolución de la pantalla y el sistema operativo y cuando se inicia sesión desde varios dispositivos se puede obtener la identificación de la actividad en todos los dispositivos.

7.- La localización, la región y datos de GPS e información de ubicación del dispositivo móvil.

Con quién se comparten estos datos:

  1. Con anunciantes y redes de publicidad
  2. Socios Comerciales
  3. Proveedores de pago
  4. Proveedores de servicio en la nube
  5. Proveedores de análisis
  6. Con otros miembros, filiales o afiliados del grupo empresarial
  7. Con el público en general si se trata de un perfil público

Cómo los usa:

  • Notificar cambios en los servicios
  • Proporcionar soporte al usuario
  • Cumplir términos y condiciones
  • Administrar la plataforma
  • Personalizar el contenido de interés
  • Habilitar la interacción con otros usuarios
  • Servicio de mensajería
  • Habilitar la participación en programas virtuales
  • Detección de abusos, fraudes, actividades ilegales
  • Garantizar la seguridad y protección al revisar el contenido de los usuarios, los mensajes y metadatos inapropiados
  • Promover asuntos populares, hashtags y campañas
  • GARANTIZAR QUE SE TIENE LA EDAD SUFICIENTE PARA UTLIZAR LA PLATAFORMA según lo exige la ley.

Con todo esto debemos estar conscientes que al aceptar haber leído el aviso de privacidad y estar de acuerdo con su contenido, le damos, de manera automática, permiso para todo lo anterior. Si quieres restringir el uso de tus datos, configura el perfil de manera correcta no haciéndolo público, o bien haz uso de tus derechos ARCO (acceso, rectificación, cancelación u oposición) al correo privacy@tiktok.com

Además, te dejo algunos tips más para evitar ver contenido inapropiado, pues es claro que la aplicación NO GARANTIZA filtros según la edad para utilizarla:

  • Tienes la posibilidad de dar “no me gusta” para que no te vuelva a sugerir videos similares, aunque en realidad el nombre debe ser “no me interesa” siendo muy simple su implementación, basta con colocar el dedo por más de dos segundos sobre el video y en seguida aparece un corazón roto con la leyenda no me interesa y no vuelves a recibir videos similares;
  • Otra opción más, que todo video juego, aplicación o interacción digital debería tener, es la que se llama “DESINTOXICACION DIGITAL”. Cuando la activas, puedes gestionar el tiempo de pantalla para no pasar de dos horas de uso al día y para que cambie todo cada 30 días;
  •  Puedes gestionar la aparición de videos que puedan ser inapropiados usando el “modo restringido” que desactivará las emisiones en directo, la compra de monedas, la retirada de fondos o el envío de regalos;
  •  Y si la preocupación es la gestión de datos también tiene una opción para “ahorro de datos”.

Por Viridiana Aguijosa

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

El regalo inesperado

Con las nuevas tecnologías, no podemos evitar que los niños estén en contacto con los medios digitales; por lo tanto, debemos tomar precauciones.

En las pasadas fiestas decembrinas, hubo muchísimos regalos y peticiones para Santa; tal vez, los pequeños habían encargado algún dispositivo como: teléfonos inteligentes, consolas, tabletas, etc. Y en algunos casos, muchos pequeños fueron premiados con alguno de ellos.

Hoy, llegan al colegio estrenando y compartiendo que han aprendido cómo utilizarlos al máximo. Es impresionante ver que, a tan corta edad, puedan manipular un dispositivo e incluso, sin haber leído un instructivo previo, haciéndolo todo por intuición. Es ahí donde, como padres debemos estar al tanto de sus actividades, de los accesos que les estamos otorgando o, peor aún: debemos ser conscientes de que les dejamos totalmente abierta la puerta a un mundo digital que está lleno de riesgos y amenazas. Por tal motivo, no debemos bajar la guardia y debemos actualizarnos constantemente, debemos convertirnos en monitores con el fin de proteger la seguridad de nuestros pequeños. Tenemos que concientizarlos acerca del uso adecuado de sus dispositivos y hablarles abiertamente de las consecuencias que existen al manipularlos indebidamente o al jugar con contenido inapropiado.

Cuando nuestros pequeños comienzan a experimentar con aplicaciones populares como las que les permiten crear sus propios videos llenos de contenido inimaginable -hacer caras chistosas, bailar, contar un chiste, imitar a alguien, posar, etc.- y lo hacen sin establecer controles de privacidad adecuados, por lo que corren el riesgo de ser contactados y acosados por personas sin escrúpulos e incluso, con intenciones perversas.

Recuerda que el ciberacoso es una forma de acoso y agresión que se produce entre pares teniendo como medio el Internet, el celular u otra tecnología, con la intención de propagar mensajes o imágenes crueles que son visualizadas por varias personas. La reproducción rápida de mensajes y su permanencia en la web resultan una pesadilla para la víctima.

Lo anterior está demostrado por las estadísticas que indican que el 44.7% de alumnos en México ha sufrido algún acto de ciberacoso como violencia verbal, psicológica y física según la OCDE.

Hay un gran peligro que corren nuestros pequeños al grabarse y compartir el contenido con amigos o al subirlo a sus redes sociales; están permitiendo que su intimidad quede expuesta en la red sin saber que pueden ser víctimas de acoso, burlas o amenazas. Por supuesto, sabemos que el mundo digital no es del todo malo, pero ellos tienen que estar preparados e informados para saber cómo actuar y cómo comunicar cualquier tipo de circunstancia en donde se sientan amenazados, intimidados e inseguros. Fomentemos en casa un sano ambiente de comunicación y de confianza con nuestros chicos, así nunca tendrán la necesidad de ocultarnos nada.
Les dejo algunos consejos para que nuestros niños no corran el riesgo de ser acosados por ciberdelincuentes:

  • Si les obsequias algún dispositivo asegúrate de protegerlo con los controles parentales.
  • Platica abiertamente de las consecuencias que existen si comparten contenido de índole sexual.
  • Recuérdales que su intimidad es privada y que no tiene que exhibirse con nadie, ni con sus amigos.
  • Nadie los puede obligar a hacer retos para poder formar parte del grupo de amigos.
  • Nunca deben acceder a las aplicaciones que no son apropiadas para su edad.
  • Si deciden crear su red social cuando son menores de edad, forzosamente tiene que estar bajo supervisión de algún adulto
  • Por ningún motivo deben aceptar solicitud de amistad de ningún extraño
  • Adviérteles que una vez que comparta contenido inapropiado no lo podrán recuperar.
  • Revisa las políticas de privacidad de las aplicaciones que quieran usar.
  • Revisa periódicamente sus actividades en el dispositivo.
  • Platica constantemente sobre cuáles son las aplicaciones que le llaman la atención y por qué.

Permítete ser un principiante, nadie empieza siendo perfecto.
Por Lupita Mejía