Correos electrónicos de phishing: tenemos que estar atentos

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser víctimas de phishing.

Nuestra bandeja de entrada de correo electrónico es como una puerta giratoria. Todos los días, si no cada hora, recibimos correos electrónicos del trabajo, minoristas, amigos y familiares, la escuela, etc. Estamos constantemente enviando y recibiendo. Para complicar las cosas, sin pensarlo dos veces, estamos dando nuestro correo electrónico para que podamos obtener un 15% de descuento en nuestro primer pedido o acceso al eBook que promete cambiar nuestras vidas.

Hacemos esto con tanta frecuencia que perdemos la pista de quién tiene nuestra dirección de correo electrónico, lo que a veces nos hace abrir correos electrónicos que creemos que son legítimos, pero en su lugar son intentos ingeniosamente disfrazados de obtener nuestra información personal. Esos correos electrónicos se llaman correos electrónicos de phishing. Afortunadamente, hay señales que puede tener en cuenta para asegurarse de no ser víctima de un correo electrónico de phishing. 

Información del remitente y linea del asunto:

Lo primero que ve sobre un correo electrónico cuando abre su bandeja de entrada es la información del remitente y la línea de asunto. Hágase las siguientes preguntas: ¿Reconoce alguno? ¿Están mal escritos? ¿Es este un correo electrónico que estabas esperando? ¿La línea de asunto tiene un sentido de urgencia? ¿Es el correo electrónico una respuesta o reenvío a algo que nunca solicitó? Si ve errores ortográficos o texto inusual, tómelo como una bandera roja. Si además de eso, no reconoce al remitente y no lo esperaba, es más seguro marcar el correo electrónico como spam o desecharlo.

El contenido:

Si el correo electrónico no generó ninguna de las banderas rojas mencionadas anteriormente y decidió abrirlo, hay más señales a tener en cuenta en el cuerpo del correo electrónico que podrían indicar un fraude. La mala gramática y los errores ortográficos son un denominador común. Continúe buscando un sentido de urgencia o una solicitud de documentos que no esperaba. Tenga cuidado si se le pide que haga clic, descargue o abra un archivo adjunto o enlace. Si es una oferta promocional y parece demasiado buena para ser verdad, probablemente no lo sea. Si se siente incómodo o inseguro, es mejor eliminarlo o identificarlo como spam. 

Archivos adjuntos e hipervínculos:

No abra el archivo adjunto si no reconoce al remitente, si el tipo de archivo parece extraño, si no reconoce el título del archivo adjunto o no lo esperaba. Para evitar hacer clic en un hipervínculo fraudulento, desplace el mouse (no haga clic, simplemente desplace el mouse) y si la dirección del enlace que se muestra es diferente a la del correo electrónico, no haga clic en ella. Esa es una gran bandera roja. Otra bandera roja es un error ortográfico dentro del hipervínculo. Por ejemplo, la «r» adicional en https://bankofamerrica.com puede perderse fácilmente, haciéndole creer que se dirige al sitio web correcto. ¡Tenga cuidado y verifique dos veces antes de continuar! 

Los ciberdelincuentes son cada vez más sofisticados cuando se trata de correos electrónicos de phishing. Los personalizarán para hacerte sentir que debes saber de dónde viene esto o te inclinarán para abrir archivos adjuntos o hacer clic en hipervínculos. Tenemos que estar atentos, especialmente con la crisis en curso en todo el mundo. Asegúrese de revisar nuestra publicación de blog de estafa COVID-19 para leer más sobre estafas específicas relacionadas con el coronavirus. 

Correos electrónicos de estafa indican que tu software antivirus está caducando

Desde hace algunos días se han detectado correos electrónicos fraudulentos que buscan estafar a usuarios haciéndoles creer que su software antivirus de las empresas Norton y McAfee expirará el día que recibieron el mensaje, invitándoles a renovar su licencia. Esta estafa ya ha sido reportada por sitios como Bleeping Computer. Si bien, el enlace para hacer esta renovación que se incluye en el correo electrónico, no ejecuta alguna actividad maliciosa en el dispositivo del usuario y de hecho son totalmente legales, esta actividad se trata de una estafa ya que la víctima en realidad no tiene la necesidad de renovar su software y es engañado.

¿Qué gana el emisor de estos mensajes?

Estos mensajes son enviados por redes de afiliados, que son una especie de revendedores que se encargan de publicitar a tiendas en línea o proveedores de servicios mediante anuncios o promociones. Por cada compra que logran a través de sus anuncios, los comercios les brindan una comisión. Eso es un negocio legítimo siempre y cuando no se engañen a los usuarios con el fin de comprar software para obtener ganancias en comisiones que no son requeridas.

En el caso partícular de este engaño, cuando se hace clic en el enlace, el usuario será redirigido a través de la red de afiliados de la organización DigitalRiver, que coloca una cookie de seguimiento en el navegador, y luego redirige al usuario a una página de compra para Norton o McAfee como se muestra a continuación.

Estafa de afiliados: del correo electrónico a la página de compra – Fuente: Bleeping Computer

Cuando una víctima compra el software, el afiliado ganará entre una comisión fija de $ 10 dólares o el 20% de la venta total. Para la estafa que se muestra arriba, esto le daría al afiliado aproximadamente $ 10 dólares por cada venta. Los afiliados que tienen grandes volúmenes de ventas generalmente obtendrán una tasa de comisión más alta.

Recomendaciones:

  • Recuerda no abrir y mucho menos hacer clic en correos sospechosos, puede ser phishing.
  • Habitualmente, los antivirus envían notificaciones de la fecha de caducidad desde el mismo software, por lo que se debe hacer caso omiso de notificaciones de correo electrónico a menos de que éstos sean originados por el mismo proveedor del servicio.
  • Si tienes dudas de que se trate de un correo legítimo, primero asegúrate de que cuentas con ese servicio y en el mismo software del antivirus verifica la vigencia.
  • Si aun no estás seguro, en todo caso revisa tu contrato de servicio o de licencia, o dirígete al sitio web del fabricante o del comercio que te suministró el software para validar que la vigencia sea correcta.
  • Si ya ha caducado tu software, debes renovar la licencia a través del mismo software o dirigiéndote directamente al sitio web del antivirus.
  • Si por error caes en esta estafa y compras una licencia, comunícate con la compañía de tu tarjeta de crédito y reporte el cargo como fraude.

Phishing en mi vida

Quizá ha escuchado o conoce a alguien que tiene como hobbie o que practica el deporte de ir de pesca. La pesca es una actividad que requiere de conocimiento, de técnica particular, de equipos, de herramientas y de una fuerte dosis de paciencia. Primero, es necesario que piense en el tipo de presa que desea pescar, después en dónde va a realizarla (¿será en aguas dulces o saladas, en el río, en la laguna o en el mar? Después, hay que pensar en el tipo caña de anzuelo o de red. Finalmente en el tipo carnada y… ¡Listo, a pescar!  A grandes rasgos, y sin pretender ser un experto en esta actividad, esto es lo que implica el “ir de pesca”.

Quizá se pregunta “¿y el ir de pesca, qué tiene que ver con mi ciberseguridad?”. Pues bien, pescando o phishing en inglés es una técnica que utilizan los ciberdelincuentes para obtener información del usuario y así acceder a determinado recurso.

Esto se logra a través del uso de diferentes herramientas y de técnicas basadas, principalmente, en la persuasión y en el engaño a los usuarios o víctimas. Y no es algo nuevo. Según Phishing.org, la práctica del phishing comenzó alrededor de 1995. Para familiarizarlo con lo anterior, tal vez usted sabe o conoce a alguien que ha recibido algún correo en donde ofrecen premios, regalos, super ofertas, incluso herencias de un pariente lejano que ni siquiera usted sabía que existía (mensajes empáticos). O tal vez, haya recibido algunos correos en donde el fisco le daba aviso sobre algún problema con su situación fiscal; o tal vez algún banco le haya informado que sus tarjetas bancarias fueron bloqueadas; o tal vez haya recibido alguna notificación de demanda o de pérdida de servicios (mensajes coercitivos). Entonces, mi estimado lector, estos son ejemplos clásicos y muy recurrentes del phishing.

¿Cuáles son las principales motivaciones de los cibercriminales?

Las motivaciones de los cibercriminales pueden ser desde obtener información para perpetrar robos y fraudes —con los números de cuentas bancarias, tarjetas de crédito, de débito, departamentales, etc. —, hasta la de generar robos, fraudes y secuestro de información a individuos y a organizaciones de todo tipo y tamaño, accesando a información clasificada como bases de datos, sistemas, servidores entre otras. Estas actividades, al basarse en engaños y accesos no autorizados, son tipificadas como ciberdelitos.

¿Porqué ha proliferado?

El Informe de investigación de violaciones de datos de Verizon (VDBIR, por sus siglas en inglés) clasificó el phishing como la tercera técnica más común utilizada en incidentes y en violaciones confirmadas de ciberseguridad. Además, casi el 80% de los incidentes de seguridad relacionados con espionaje o con instalación de malware se realizaron a través de ataques de phishing.

Un elemento fundamental es la falta de conocimiento y la poca capacitación que se da al personal que utiliza servicios digitales, particularmente, el entrenamiento que se dirige a fomentar una cultura de seguridad digital o de ciberseguridad, pues los criminales que se dedican al phishing se aprovechan de las emociones básicas del humano, la alegría, el miedo, el coraje, la tristeza.

Otro elemento importante es la disponibilidad de recursos para capacitación para “entusiastas” y contra ciberdelincuentes: para conocer el manejo de foros, de grupos, de tutoriales, de plantillas y de herramientas que permiten el aprendizaje para el lanzamiento de campañas de phishing, y sin dejar de lado la constante evolución de las técnicas de persuasión y de engaño.

Por otro lado, tenemos la tecnificación de todo. Todo se está conectando; cada día vemos nuevos servicios digitales que nos facilitan la vida: banca electrónica, transferencias de dinero, compras por internet, videoconferencias, intercambio de información de todo tipo (personal, confidencial, clasificada); y es justamente este botín tan tentador lo que hace que el ciberdelincuente salga a pescar.

En resumen, el phishing es una de las técnicas más utilizado por los ciberdelincuentes para robar información, robar dinero o instalar software malicioso (malware), utilizando como principal arma la persuasión y el engaño a través de herramientas tecnológicas comunes que se encuentran al alcance de todos. El phishing es un elemento que conforma un pilar dentro de la estrategia general del ataque, ya que se centra en el elemento más débil en la cadena de ciberseguridad: el humano.

¿Cuáles son las principales herramientas?

Otras herramientas son: el envío de correos electrónicos falsos, invitaciones a acceder a páginas web falsas, el envío de mensajería electrónica con promociones increíbles, invitaciones y promociones en redes sociales, etc. La herramienta más valiosa es la poca cultura del usuario sobre la protección de información.

¿Y qué puede hacer usted para reducir el riesgo de ser víctima de phishing?

  • Defina e identifique qué tipo de su información puede ser considerada como importante, confidencial, clasificada o delicada.
  • Establezca lineamientos, parámetros o políticas en las que defina qué tipo de información se puede compartir en línea o incluso, con quién puede compartirse. Incluya en este ejercicio la información que compartirá en sus redes sociales.
  • Monitoré y busque en el ciberespacio información sobre usted y sobre su organización.
  • Actualmente, la gran mayoría de las aplicaciones están habilitadas con autenticación de doble factor, utilícelo.
  • Busque entrenamiento y capacitación para aprender sobre esta amenaza, sobre cómo detectarla, sobre su relación con la Ingeniería Social y sobre qué hacer en caso de que logre identificar un posible ataque.
  • Y lo más importante: use su sentido común, sea incrédulo, no abra correos que no espera, pregúntese si tiene sentido abrir correos o páginas web desconocidos, no de click sin antes leer cuidadosamente, no descargue programas, documentos, videos, etc., por más tentadores que parezcan.

La permanencia y evolución del phishing se deben, en gran medida, a la explotación de la confianza de los usuarios y a su falta de entrenamiento en materia de seguridad de la Información. En Capa8 estamos conscientes de esta brecha y estamos comprometidos con la sociedad para fomentar una cultura de seguridad digital que coadyuve a la formación de “ciudadanos digitales” Responsables. Contáctenos, podemos ayudarle.

En nuestro próximo capítulo, hablaremos sobre el software malicioso o malware y sobre cómo los ciberdelincuentes lo mezclan con la ingeniería social, con redes inalámbricas no seguras y con el phishing para perpetrar sus ataques.

Por Eleazar Cruz

Seguridad del WI-FI de casa para trabajar de manera remota

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para fortalecer la seguridad de tu WiFi.

Todos tenemos ese amigo o familiar que siempre pregunta: ¿Puedo tener la contraseña de WiFi? Piense en la última vez que sucedió y la última vez que cambió su contraseña de WiFi. ¿Ha pasado un tiempo? Ahora que está trabajando de forma remota, su seguridad WiFi debería ser especialmente una prioridad.

Para todos los pasos siguientes, necesitará la dirección IP de su enrutador que puede encontrar haciendo clic en Configuración de red -> Avanzado -> IP -> Número de enrutador o verificando el número en la etiqueta que generalmente se encuentra en la parte inferior de su enrutador físico . Una vez que encuentre el número, abra un navegador web y escriba la dirección IP. Después de iniciar sesión con su nombre de usuario y contraseña de administrador, debe hacer lo siguiente:

1. Cree un nombre de usuario y contraseña de enrutador seguros

Una vez que haya iniciado sesión con su número de IP y sus credenciales, vaya a la configuración y busque «seguridad» para cambiar su nombre de usuario y contraseña. Que sea una frase, cuanto más larga mejor. Asegúrese de que tenga al menos ocho caracteres sin caracteres repetitivos o secuenciales. No use una contraseña común o palabras específicas de contexto.

2. Habilite el cifrado de red

En el mismo panel, asegúrese de que su enrutador esté configurado en WPA2. Esto significa que su WiFi está cifrada y solo su computadora está «observando» las señales que su enrutador está transmitiendo.

3. Cambie su nombre de WiFi o identificador de conjunto de servicios (SSID)

Su enrutador, probablemente igual que el de sus vecinos, está configurado con un nombre SSID predeterminado por el fabricante. Lo más probable es que si hace clic en su red WiFi, verá que sus vecinos tienen un nombre WiFi similar al suyo, solo números diferentes al final. Para cambiar su nombre de WiFi, siga los pasos anteriores colocando su dirección IP en el navegador web, iniciando sesión y buscando «Nombre de WiFi» o «SSID». Asegúrese de que el nuevo nombre no revele ninguna información personal como la dirección o el número de apartamento.

4. Oculte su red

Una vez más, en su panel de configuración, busque Habilitar transmisión SSID, Estado de visibilidad, Habilitar transmisión inalámbrica oculta o SSID, asegúrese de que no esté marcada para que los visitantes solo puedan encontrar su red si la buscan específicamente por su nombre, haciéndola invisible para todos más.

5. Mantenga actualizado el firmware de su enrutador

Hoy en día, los enrutadores vienen con actualizaciones automáticas. Sin embargo, es bueno verificar periódicamente para asegurarse de que su enrutador tenga la última actualización. Vaya a la página web del fabricante. Deben tener herramientas para verificar el estado de su firmware y enlaces disponibles para descargar la actualización.

Incluso si no funciona a distancia, esperamos que se tome un tiempo para verificar su seguridad Wifi. Para aquellos que trabajan a distancia, visite » Mantenerse saludable, mantenerse seguro » para obtener más consejos de seguridad.

Seguridad de aplicaciones sociales durante COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para utilizar de manera segura algunas de las redes sociales más populares del momento.

Houseparty y TikTok se han convertido en dos de las aplicaciones más populares durante el brote de coronavirus. Adolescentes y adultos están utilizando estas aplicaciones sociales para mantenerse entretenidos a través de video chat, juegos en línea y desafíos virtuales. Si bien estas aplicaciones pueden unirnos en este momento de distanciamiento social, también pueden representar una amenaza en línea si no se usan correctamente.

SABÍAS…?

Houseparty: esta aplicación permite que hasta 8 amigos (incluidos amigos de amigos) hagan videos en vivo y jueguen en línea, como trivias, al mismo tiempo. Clasificación de edad: 12+ ( Smartsocial.com )

Consejos de seguridad:

  • Houseparty puede acceder a sus contactos si incluye su número de teléfono al registrarse. Omita este paso para tener control sobre con quién desea conectarse a través de la aplicación.
  • Houseparty permite que amigos de amigos se unan a salas de chat, exponiendo al usuario a estar en contacto con extraños. Puede evitar esto haciendo clic en el icono de candado en la parte inferior de la pantalla o creando grupos privados entre amigos.
  • Los chats no están moderados, lo que puede conducir a un comportamiento inapropiado. Evite situaciones incómodas enseñando a los niños a salir de la habitación cuando las cosas comienzan a «subir de tono» y bloquee al usuario.
  • Houseparty puede acceder a su ubicación para encontrar amigos «cercanos». Verifique la configuración de privacidad y desactive esta función.

TikTok: es una aplicación de redes sociales que permite a los usuarios filmar videos de 15 segundos o menos. Los bocetos de comedia, baile y representación de comedia son algunos de los tipos de videos más populares en TikTok. Clasificación de edad: 12+ ( Smartsocial.com )

Consejos de seguridad:

  • Por defecto, establece su cuenta en público. Esto significa que cualquiera puede solicitarle y enviarle un mensaje directo. Establezca la cuenta como privada en la configuración o cambie la configuración de comentarios, duetos, reacciones y mensajes a «Amigos» en lugar de «Todos».
  • TikTok tiene un filtro de contenido muy limitado. Los niños pueden estar expuestos a videos sugerentes, violencia y lenguaje soez. Siéntese con sus hijos y limite las cuentas «influyentes» y «populares» que pueden seguir. Concéntrese en amigos que conocen en la vida real. Sea parte de su perfil haciendo videos con ellos u ofreciéndoles ser su camarógrafo.
  • TikTok permite que cualquier persona en la plataforma siga su cuenta. Una vez que permita que un extraño lo siga, puede enviarle un mensaje. Asegúrese de no aceptar a personas que no conoce en la vida real.

DIRECTRICES GENERALES DE SEGURIDAD PARA APLICACIONES SOCIALES:

Hoy son TikTok y Houseparty, pero el próximo mes, habrá nuevas aplicaciones sociales que presentarán nuevas amenazas para sus hijos. Al seguir estas pautas generales, puede asegurarse de que su familia se mantenga segura con cualquier aplicación nueva que salga al mercado. 

  1. Todos los datos proporcionados a una red social se almacenan y, la mayoría de las veces, se comparten de manera predeterminada. Asegúrese de que el perfil de su hijo esté configurado como privado. Vaya a la configuración y ajuste los controles predeterminados.
  2. Explique que lo que se publica en Internet es imposible de eliminar. La actividad en línea y las publicaciones podrían estar disponibles para todos, incluidos futuros empleadores y universidades.
  3. Las redes sociales no deberían convertirse en un concurso de popularidad. Trate a los demás de la forma en que quieren ser tratados.
  4. Siempre use avatares y nombres de usuario. Nunca use su foto real o nombre real.
  5. Siéntese con sus hijos y hable sobre ciudadanía digital antes de que descarguen una aplicación. Puede usar este acuerdo entre padres e hijos para establecer pautas.
  6. Verifique qué hay detrás de usted cuando use su cámara. ¿La cámara captura información personal sobre su familia o ubicación? Los depredadores aún pueden determinar dónde viven sus hijos, ir a la escuela y visitarlos solo con fotos, a menos que tome precauciones.

Para más recursos para padres, haga clic aquí .

Mantenerse saludable, mantenerse seguro

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para mantener un entorno de trabajo ciberseguro, aun en casa.

Dependiendo de en qué parte del mundo vivas, ya estás trabajando a distancia, preparándote para comenzar un período de dos semanas de trabajo a distancia o contemplando la idea. Estas medidas se implementan para evitar la propagación de la pandemia de COVID-19 conocida como coronavirus. Para algunos de ustedes, trabajar a distancia es solo otra opción, para otros, este podría ser un entorno completamente nuevo que deben seguir.

Si bien mantenerse saludable es la prioridad de todos, la seguridad cibernética debe ser considerada para cada empleado remoto. Trabajar en casa significa menores medidas de seguridad y una mayor probabilidad de cibercrimen.

Ya sea que estés usando la computadora portátil de la compañía o la tuya, aquí hay cinco recomendaciones para un trabajo remoto seguro mientras manejamos el brote de coronavirus.

1.     Red privada virtual (VPN): es probable que estés trabajando de forma remota conectándote a la red WiFi de tu hogar. Si bien es probable que su Internet esté protegido con contraseña, tener una VPN agrega otra capa de seguridad. Si no tiene uno, pregúntele a su departamento de TI antes de realizar cualquier trabajo que involucre datos confidenciales de la empresa.

2.     Autenticación multifactor (MFA): implemente la autenticación multifactor como una capa de seguridad adicional. Un ejemplo de factor múltiple es el envío de un código a tu smartphone cuando intentas iniciar sesión en un portal. Lo que significa que si tus credenciales se ven comprometidas, aún no accederán a ese portal sin esa segunda medida de seguridad.

3.     Intentos de phishing: espera más intentos de phishing durante este período de trabajo remoto. Sé diligente, mantente atento a las líneas de asunto urgentes, errores gramaticales, direcciones de correo electrónico de aspecto divertido e informa a tu departamento de TI. Usa la videoconferencia cuando sea posible para evitar ataques de falsificación de chat. Siempre habla cuando algo no se siente bien.

4.     Almacenamiento de datos: intenta limitar los datos en tu disco duro local. Usa una nube o un servidor remoto cuando sea posible. Es más fácil hackear el almacenamiento de datos localmente que en una nube. Al guardar tu fecha en un servidor remoto, estás agregando un «muro» adicional para los ciberdelincuentes.

5.     Seguridad en línea para niños: si eres padre o madre, existe una alta probabilidad de que trabajes a distancia mientras tienes que cuidar a tus hijos. El tiempo frente a la pantalla será una de las muchas formas en que pueden ocupar su tiempo para que puedas hacer algo de trabajo. Ten en cuenta que están utilizando la misma red que tú. Si no están siendo seguros, sus acciones podrían afectar la seguridad de tu empresa.

  • Asegúrate de configurar los controles parentales para que no tengan la autoridad para descargar ninguna aplicación.
  • Enséñeles a no compartir ninguna información personal si están jugando un juego que implica chatear dentro del juego
  • Muéstreles cómo crear contraseñas seguras si es necesario iniciar sesión
  • Enséñeles a ser diligentes con actividades desconocidas para que puedan informarle de inmediato

Esperamos que estas sugerencias hagan que tu experiencia laboral remota sea más fácil de llevar y, lo más importante, más segura. Siempre solicita consejos y recomendaciones a tu departamento de TI y no dudes en informarles sobre actividades sospechosas.

Lee los consejos de seguridad cibernética de la estafa de Coronavirus aquí .

Cómo evitar estafas en línea relacionadas con COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser presa de estafadores en línea, en esta situación tan complicada que estamos viviendo.

Al igual que con cualquier crisis importante, los delincuentes solo esperan aprovecharse de una mala situación y la enfermedad de Coronavirus 2019 (COVID-19) no es diferente. Cada vez que sucede algo de esta magnitud, saca lo mejor y lo peor de las personas. Hay quienes se mueven para ayudar y hacerlo de cualquier manera pero luego están aquellos que se mueven para aumentar el caos y sacar provecho de los demás. Varias agencias de aplicación de la ley en los EEUU así como el FBI han estado advirtiendo a las personas sobre varias estafas de phishing y están pidiendo precaución al abrir correos electrónicos relacionados con el Coronavirus. Estos correos electrónicos pueden parecer correos electrónicos oficiales que provienen del Centro para el Control y la Prevención de Enfermedades ( CDC) y la Organización Mundial de la Salud (OMS).

Junto con las estafas de correo electrónico de phishing, hay informes de muchos sitios nuevos y maliciosos que se hacen pasar por legítimos para robar información personal o propagar malware. De hecho, según Check Point Threat Intelligence, se han registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo. De estos sitios, el 3% resultó ser malicioso y un 5% adicional es sospechoso. Los dominios relacionados con el coronavirus tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período de tiempo.

Además de los sitios web maliciosos y los correos electrónicos de phishing, también hay informes de estafas de caridad y tratamiento falso de Coronavirus. Con esto en mente, queremos asegurarnos de que tengas la información y los consejos para mantenerte seguro en línea durante este tiempo:

  • Consulta fuentes oficiales para actualizaciones sobre el Coronavirus. Le recomendamos que visite el Centro oficial para el Control y la Prevención de Enfermedades ( CDC ) y la Organización Mundial de la Salud ( OMS ) para obtener información actualizada sobre el brote. Tenga cuidado con los sitios web y los mapas de la propagación de la enfermedad cuando busque o busque en Google la pandemia.
  • Desafortunadamente, la enfermedad de Coronavirus 2019 (COVID-19) no tiene vacuna ni cura. Debemos estar particularmente atentos de correos electrónicos de esta naturaleza e informar cualquier correo electrónico falso o phishing a estas organizaciones. Puedes informar estafas a la OMS aquí y a la FTC aquí.
  • Investiga cualquier organización benéfica antes de donar dinero o proporcionar información personal. Ya hay informes de organizaciones benéficas falsas que afirman que necesitan dinero para encontrar una cura o ayudar a las víctimas. Lea los consejos de donación aquí .
  • Particularmente en este momento, ten cuidado con los falsos intentos de phishing por correo electrónico de los CDC y la OMS. No hagas clic en archivos adjuntos o hipervínculos de un correo electrónico que no esperabas o donde no puedes verificar al remitente. Mala gramática, hipervínculos que no coinciden con la URL real, errores ortográficos, archivos adjuntos extraños, amenazas, ningún logotipo o logotipo incorrecto, o un sentido extremo de urgencia son signos de phishing.

Recuerda que los delincuentes intentarán atraer tus emociones durante esta pandemia, especialmente el miedo y el pánico. Disminuye la velocidad al tomar decisiones y no te sientas presionado a hacer nada con prisa, ya sea visitar un sitio web, hacer clic en un enlace, abrir un archivo adjunto, donar a una organización benéfica o tratar de navegar a través de tratamientos no aprobados.

Si actualmente estás trabajando en forma remota, lee nuestros consejos de seguridad cibernética sobre cómo configurar una estación de trabajo cibersegura para las próximas dos semanas.

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

Amor en el ciberespacio: Edición de San Valentín


Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para protegernos de fraudes cibernéticos en el próximo Día de San Valentín.

Ahh ¡el amor está en el aire! Con el Día de San Valentín a la vuelta de la esquina, los minoristas están en plena vigencia tratando de vender tantas cajas de chocolate y ramos de flores como sea posible. Pero hay otra industria que ve un aumento del tráfico durante este tiempo … ¡aplicaciones de citas y redes sociales! Si está buscando una conexión amorosa en el Día de San Valentín, es probable que esté pensando en probar suerte en una de las muchas aplicaciones de citas ahora disponibles. Si bien queremos que encuentres tu media naranja, es importante tener en cuenta los peligros de las citas en línea a través de estafas de romance. 

La Comisión Federal de Comercio (FTC) de los EEUU muestra que las estafas de romance han generado más pérdidas reportadas que cualquier otro tipo de fraude al consumidor . Teniendo en cuenta los diversos tipos de fraude, esto es sin duda algo de qué preocuparse. Estos estafadores son expertos en construir su confianza y le brindarán atención … y luego pedirán dinero. Por lo general, quieren el dinero por transferencia bancaria o tarjeta de regalo. Podrían afirmar que lo necesitan para una emergencia médica o para visitarlo. Usted envía el dinero y con gusto se lo llevan, pero no hay emergencia médica y no van a verlo. Las excusas pueden volverse infinitas en cuanto a por qué necesitan más y más dinero.

Antes de deslizar hacia la derecha y comenzar una conversación íntima con un admirador secreto para el Día de San Valentín, considere lo siguiente:

  • Nunca envíe dinero o regalos a un contacto en línea que no haya conocido en persona.
  • Tómelo con calma. Haga preguntas y busque respuestas inconsistentes.
  • Verifique la foto de la persona utilizando la función de «búsqueda por imagen» de su motor de búsqueda. Si la misma imagen aparece con un nombre diferente, es una bandera roja. Incluso puede buscar en Google el nombre de la persona y ver si aparece algo que parezca sospechoso.
  • Hable con alguien sobre este nuevo interés amoroso. Y preste atención si sus amigos o familiares están preocupados. Pueden estar notando algo que usted no percibe.
  • Si sospecha una estafa romántica, interrumpa el contacto de inmediato. Luego, informe a la estafa a su banco si realizó una transferencia bancaria y si se encuentra en EEUU a la FTC en  ftc.gov/complaint 
  • ¡No olvide notificar también al sitio de citas donde conoció al estafador!

Si envió dinero con una tarjeta recargable, al menos puede comunicarse con la compañía y explicar la situación. No hay garantía de que puedan ayudar, pero puede intentarlo. No olvide pensar con la cabeza y no con el corazón este día de San Valentín. Si termina en una situación en la que cree que se ha convertido en una víctima de una estafa, recuerde mantener la calma y siga los consejos anteriores. Si se encuentra en los EEUU informe el incidente a ftc.gov/complaint  o llamando al 1-877-FTC-HELP (382-4357). Para obtener más ayuda, visite la información para el consumidor sobre estafas románticas en el sitio web de la FTC.

Hackers más notables

  • Kevin Mitnick
    • Conocido como “El Cóndor”.
    • Calificado como “El criminal informático más buscado de la historia de EEUU”.
    • En 1981, fue acusado de robar manuales de computadora a Pacific Bell.
    • En 1982, pirateó el Comando de Defensa de Estados Unidos (NORAD) que inspiró la película «Juegos de guerra» de 1983.
    • En 1989, pirateó la red de Digital Equipment Corporation (DEC) y realizó copias de su software.
    • Fue arrestado en 1995, condenado y enviado a prisión. Durante su período de libertad condicional, pirateó los sistemas de correo de voz de Pacific Bell.
    • Tras ser puesto en libertad en 2002 se dedica a la consultoría y el asesoramiento en materia de seguridad a través de su compañía Mitnick Security.
Kevin Mitnick.
Fuente: BBC

En el transcurso de su carrera como hacker, Mitnick no utilizó  el acceso ni los datos adquiridos para obtener algún tipo de ganancia personal. Aunque se cree que llegó a hacerse con el control total de la red de Pacific Bell, Mitnick no intentó aprovecharse de los resultados; al parecer, solo quería probar que podía hacerlo. Al final, Mitnick se convirtió en un hacker «bueno», aunque existen versiones que defienden lo contrario.

  • Kevin Poulson
    • Conocido como Dark Dante.
    • En 1983, con tan solo 17 años, pirateó ARPANET (la red informática del Pentágono) y fue atrapado. El gobierno decidió no acusarlo ya que era menor de edad en el momento del incidente, por lo que lo pusieron en libertad con una advertencia a la que haría caso omiso.
    • En 1988, pirateó una computadora federal y logró acceder a archivos que contenían información acerca de Ferdinand Marcos, presidente destituido de Filipinas.
    • En 1990 pirateó las líneas telefónicas de la radio KIIS-FM de Los Ángeles para asegurarse la llamada número 102 y ganar así un Porsche 944 S2, un paquete de vacaciones y 20,000 USD.
    • Fue apresado tras atacar una base de datos del FBI en 1991. Se le prohibió usar una computadora por un período de tres años.
Kevin Poulsen
Fuente: Wikipedia

Desde entonces, se ha reinventado y se le considera un periodista serio que escribe sobre seguridad informática como editor sénior de Wired.  En 2006ayudó a identificar a 744 abusadores de niños vía MySpace.

  • Adrian Lamo
    • Conocido como “El hacker vagabundo” por no tener una dirección fija y realizar todos sus ataques desde cibercafés y bibliotecas.
    • En 2001, con 20 años, utilizó una herramienta de administración de contenido no protegida en Yahoo para modificar un artículo de Reuters y agregar una cita falsa atribuida al ex-fiscal general John Ashcroft.
    • En 2002, se infiltró en la intranet de The New York Times, se incluyó en la lista de fuentes expertas y comenzó a realizar investigaciones sobre personajes públicos de alto perfil.
    • En 2010, ya con 29 años, se enteró de que padecía trastorno de Asperger. Algunos expertos creen que esto explica la entrada de Lamo al mundo de los hackers; se sabe que el trastorno de Asperger se manifiesta con mayor frecuencia en esta comunidad.
Adrian Lamo
Fuente: Wikipedia

Con frecuencia, Lamo infiltraba sistemas y posteriormente notificaba a la prensa y a sus víctimas; en algunos casos, los ayudó a resolver el problema para mejorar su seguridad. Actualmente trabaja como periodista.

  • Michael Calce
    • Conocido como «Mafiaboy».
    • En febrero de 2000, con tan solo 15 años, descubrió cómo tomar el control de las redes de computadoras universitarias y utilizó sus recursos combinados para causar problemas al motor de búsqueda número uno en ese entonces: Yahoo. En el lapso de una semana, hackeó algunos de los sitios web comerciales más grandes del mundo: Dell, eBay, CNN y Amazon. Utilizó un ataque de denegación de servicio distribuido dedicado que saturó los servidores corporativos y causó el colapso de sus sitios web.
Michael Calce
Fuente: CNN

Actualmente trabaja en una empresa de seguridad informática.

  • Anonymous
    • Anonymous inició sus actividades en 2003 en tablones de mensajes de 4chan en un foro sin nombre. El grupo muestra poca organización y en cierta manera se concentra en el concepto de la justicia social.
    • En 2008, manifestó su desacuerdo con la Iglesia de la Cienciología y comenzó a inhabilitar sus sitios web, lo que afectó negativamente su posicionamiento en Google y saturó sus máquinas de fax con imágenes en negro.
    • En marzo de 2008, un grupo de Anonymous llevó a cabo una marcha frente a centros de Cienciología de todo el mundo usando la ahora famosa máscara de Guy Fawkes.
Anonymous
Fuente: El Pais

Como señaló The New Yorker, aunque el FBI y otros organismos de cumplimiento de la ley han intentado seguir el rastro de algunos de los miembros más prolíficos del grupo, la ausencia de una jerarquía real convierte el objetivo de eliminar a Anonymous como entidad en una hazaña casi imposible.

  • Jonathan James
    • Conocido bajo el alias cOmrade con tan solo 15 años.
    • En una entrevista con PC Mag, James admitió que se inspiró parcialmente en el libro El Huevo del cuco, que detalla la persecución de un hacker informático en la década de los ochenta. Sus actividades de pirateo le permitieron acceder a más de tres mil mensajes de empleados del gobierno, nombres de usuario, contraseñas y otros datos confidenciales.
    • En el 2000, James fue arrestado y sentenciado a seis meses de arresto domiciliario; asimismo, se le prohibió usar una computadora para fines recreativos. Además, fue sentenciado a seis meses en prisión por violar su libertad condicional. Jonathan James se convirtió en la persona más joven en ser condenada por infringir las leyes sobre cibercrimen.
    • En 2007, pirateó la cadena de almacenes norteamericanos TJX, comprometiendo una gran cantidad de información privada de los clientes. A pesar de la falta de pruebas, las autoridades sospecharon que James estuvo involucrado.
    • En 2008, Jonathan James se suicidó con un arma de fuego.

Según el Daily Mail, James escribió en su nota de suicidio: «No creo en el sistema judicial. Tal vez mi acto de hoy y esta carta envíen un mensaje más enérgico al público. De cualquier forma, perdí el control de esta situación y esta es la única manera de recuperarlo».

  • ASTRA
    • El término Astra significa «arma» en sánscrito.
    • Este hacker se diferencia de los demás de esta lista porque que nunca se le identificó públicamente. Sin embargo, según The Register, aunque de manera limitada, sí se ha publicado cierta información sobre ASTRA. Por ejemplo, cuando fue capturado por las autoridades en 2008, se supo que se trataba de un matemático griego de 58 años.
    • Presuntamente pirateó el Grupo Dassault por casi cinco años. Durante ese período, robó software de tecnología y datos de armas avanzadas que vendió a 250 personas de todo el mundo.

Sus acciones costaron al Grupo Dassault $360 millones de USD en daños. Nadie sabe con certeza por qué no se ha revelado su verdadera identidad.

  • Jeanson James Ancheta
    • A Jeanson James Ancheta no le interesaba piratear sistemas para obtener datos de tarjetas de crédito ni colapsar redes para promover la justicia social. Él sentía curiosidad por el uso de bots (robots de software que pueden infectar y, en última instancia, controlar los sistemas informáticos). Utilizando una serie de botnets de gran escala, fue capaz de comprometer más de 400,000 computadoras en 2005. Según Ars Technical, posteriormente, alquiló estos equipos a empresas de publicidad y recibió pagos directos por la instalación de bots o adware en sistemas específicos.

Ancheta fue condenado a 57 meses en prisión y su caso se recuerda como la primera ocasión en que un hacker fue enviado a la cárcel por el uso de la tecnología de botnets.

  • Albert González
    • Según New York Daily News, González, apodado «soupnazi», empezó su carrera como «líder de un conjunto de frikis informáticos problemáticos» en su escuela secundaria de Miami. Posteriormente, participó activamente en el sitio de comercio criminal Shadowcrew.com y fue considerado uno de sus mejores hackers y moderadores. Con 22 años, González fue arrestado en Nueva York por el fraude de tarjetas de débito que llevó a cabo al robar datos de millones de cuentas de tarjetas. Para evitar ir a prisión, se convirtió en informante del Servicio Secreto y ayudó a imputar a docenas de miembros de Shadowcrew.
    • Durante el período en que actuó como informante, en colaboración con un grupo de cómplices, reanudó sus actividades criminales y robó más de 180 millones de cuentas de tarjetas de pago a empresas como OfficeMax, Dave and Buster’s y Boston Market. The New York Times Magazine señaló que el ataque de González en 2005 a la tienda estadounidense TJX fue la primera filtración de datos en serie de información de tarjetas de crédito. Se estima que robaron un monto de 256 millones USD solamente a TJX.

Cuando González fue condenado en 2015, el fiscal federal señaló que su victimización humana «no tenía precedentes».

  • Matthew Bevan y Richard Pryce
    • Conocidos como Kuji (Bevan) y Datastream Cowboy (Pryce).
    • Dúo de hackers británicos que piratearon numerosas redes militares en 1996, incluida la de la Base de la Fuerza Aérea Griffiss, la de la Agencia de Sistemas de Información de Defensa y la del Instituto Coreano de Investigación Atómica (KARI).
    • Fueron acusados de estar a punto de desatar una tercera guerra mundial tras volcar información de la investigación del KARI en sistemas militares estadounidenses.

Bevan afirma que pretendía probar una teoría de conspiración OVNI. Intención maliciosa o no, Bevan y Pryce demostraron que incluso las redes militares son vulnerables.

  • David L. Smith
    • Creador del famoso virus Melissa que se propagó con éxito por correo electrónico en 1999.  Fue condenado a prisión por causar daños por más de 80 millones deUSD.
  • Sven Jaschan
    • Creador del virus Sasser, fue detenido en mayo de 2004 tras una denuncia de sus vecinos que esperaban obtener la recompensa que ofrecía la empresa Microsoft, ya que el virus afectaba directamente la estabilidad de Windows 2000, 2003 Server y Windows XP. En ese momento Sven Jaschan solo tenía 17 años.
  • Stephen Wozniak
    • Comenzó su carrera como hacker de sistemas telefónicos con el fin de realizar llamadas gratuitas; se dice que incluso llamó al Papa en los años 70. Formó Apple Computer con su amigo Steve Jobs y hoy apoya a comunidades educativas de escasos recursos con tecnología moderna.
  • Loyd Blankenship
    • Es el autor del ensayo La conciencia de un hacker, mejor conocido en español como el manifiesto hacker, el cual escribió en prisión luego de ser detenido en 1986. También es autor del código para el juego de rol Ciberpunk, por lo que gran parte de su fama se debe también a su vocación de escritor. Actualmente es programador de videojuegos.
  • Robert Tappan Morris
    • En noviembre de 1988 creó un virus informático que infectó cerca de seis mil grandes máquinas Unix, haciéndolas tan lentas que quedaron inutilizables, causando pérdidas millonarias. Este fue el primer hacker en ser procesado por la ley de fraude computacional en Estados Unidos y un disco duro que contiene el código de su virus se exhibe en el Museo de la Ciencia de Boston. Actualmente es profesor asociado del Instituto Tecnológico de Massachussets (MIT).
  • Masters of Deception
    • Era un grupo de hackers de elite de Nueva York que se dedicaba a vulnerar los sistemas telefónicos de Estados Unidos. Entrar al sistema de la compañía AT&T se considera su mayor golpe. Fueron procesados en 1992 y varios miembros del grupo fueron encarcelados.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica