Ingeniería social: merolicos digitales

¿Qué es la ingeniería social?

No, no se trata de algún tipo de sofisticada ingeniería genética que modifica a las personas, ni de matemáticas aplicadas para modificar a la sociedad, en realidad es un término que se utiliza recurrentemente  en la jerga de la ciberseguridad para hacer referencia al “arte de engañar”. Es importante señalar que no es un término exclusivo de esta materia y que además de que es usado en diferentes contextos se trata de una técnica muy antigua.

¿Te acuerdas de los famosos “merolicos”? Son esos vendedores ambulantes que encontramos en las calles, usualmente en los tianguis o en las plazas públicas vendiendo medicamentos pero con la peculiaridad de utilizar una estrategia de marketing sustentada en un discurso que envuelve y confunde a su clientela, lleno de relatos maravillosos que logran que le compren algún producto “milagroso”. Usualmente, los merolicos preparan meticulosamente un script con sus secuaces que se hacen pasar como posibles compradores, y que en el escenario cuando les dan una”probadita” del prodigioso medicamento se curan todos sus males de inmediato, apalancando el discurso y convenciendo de esta manera a los otros oyentes de la eficiencia del brebaje en cuestión, es todo un dechado de actuación. Bueno, pues ellos de alguna manera hacen justamente uso del arte de engañar y manipular.

Merolico ofrece artículos a campesinos, ca. 1900, placa seca de gelatina, Fondo Casasola, inv. 164993, Sinafo, Conaculta, INAH-MEX; reproducción autorizada por el Instituto Nacional de Antropología e Historia

En palabras simples, la ingeniería social es el arte de manipulación de personas para confiar completamente en quien la ejerce y que de esta manera logre que se le comparta información clave para cumplir con su cometido. Habitualmente, ciberdelincuentes y estafadores son quienes aplican estas técnicas ya que buscan información confidencial, por ejemplo contraseñas o información bancaria, ya sea que con esos datos logren su objetivo o que a través de ellos puedan abrir otras puertas como pueden ser acceder a redes, a aplicaciones o a otros sistemas de información que les llevarán a su destino final, por lo tanto cuando hablamos de ciberseguridad ya sea en casa, en la escuela o en la oficina es crucial que conozcamos que estas situaciones existen y que son más comunes de lo que consideramos.

Según datos del informe anual de investigaciones de brechas de datos de Verizon, los ataques de ingeniería social, incluidos phishing y otros vectores, son responsables del más del 90% de los incidentes exitosos. Y es increíble porque a pesar de la sofisticación que existe en los ciberataques de hoy, el grueso de estos eventos no se realizan con tecnología de punta o con habilidades de un genio de la informática, es la ingeniería social la responsable de manea que sigue siendo la  técnica más usada por el cibercrimen, ya que a través de ella es más fácil explotar esa característica que tenemos los humanos de confiar en las personas, es parte de nuestra naturaleza, por ejemplo, es más sencillo que un cibercriminal engañe a una persona que intentar “hackear” su contraseña -a menos que sea demasiado débil-. Y esta situación la vemos incluso en ambientes controlados como son los grandes corporativos, que a pesar de contar con importantes inversiones en controles de ciberseguridad, todo se derrumba cuando por ejemplo, una asistente comete un error y brinda información vía telefónica o por correo electrónico a un ciberdelincuente que la engañó. Imagina que en tu casa tienes un bunker con un circuito cerrado, con protecciones en todas las ventanas y puertas, con dobles candados y cerraduras de última generación, con cercas con alambres de púas y sistemas de alarmas, y al final llega el mensajero a dejar un paquete y nadie verifica quien es en realidad y se le permite que ingrese a tu casa… ahí está el riesgo de la ingeniería social.

Tipos de ataques de ingeniería social

Existen diferentes tipos y técnicas que utilizan estos atacantes, muchos de los cuales ya hemos hablado en episodios anteriores y por lo tanto no invertiremos tiempo en ellos, pero sí vale la pena mencionarlos para no perderlos de vista. Una de las formas más comunes es por supuesto el phishing, que recordemos que es ese intento de convencer a una persona para que realice alguna acción haciéndose pasar por una entidad conocida o confiable que te solicita que realices alguna acción, la cual desencadena todo un proceso de ataque. Pero no es el único, recordemos que también existen técnicas como correos electrónicos de spear-phishing -el correo dirigido y diseñado estratégicamente para atacar a una persona especifica-, el smishing que es el engaño a través de sistemas de mensajería, el vishing que se realiza a través de una llamada, y el popular BEC o fraude de CEO, del cual hablamos hace algunos días.

Ahora bien, las noticias que no son tan buenas y que también comentamos en episodios anteriores, es que la evolución de la tecnología genera escenarios cada vez más complejos para engañar y manipular a la gente, como son los casos de deep fake, así que toma mayor importancia que aprendamos de esta amenaza y nos protejamos.https://www.youtube.com/embed/cQ54GDm1eL0?start=54&feature=oembed

Para muestra un botón, uno de los ciberataques recientes fue la estafa de Bitcoin en Twitter, lo que pone en evidencia que ni siquiera los gigantes de las redes sociales son inmunes.

Fuimos testigos de cómo desde las cuentas de algunos usuarios destacados de Twitter -los que tienen la “palomita” con la verificación azul de confianza- de la talla de Barack Obama, Joe Biden o Mike Bloomberg, tuitearon informándole a sus seguidores que duplicarían las donaciones realizadas en un enlace específico. Al final, millones de personas contribuyeron a la estafa que concluyó en más de 100K USD en bitcoins.

¿Cómo fue posible esto? A través de una serie de ataques de ingeniería social dirigidos. Los cibercriminales engañaron a empleados de Twitter y los infectaron con malware. Después se abrieron paso a través de los sistemas internos de Twitter y obtuvieron acceso administrativo a una gran cantidad de contraseñas de usuarios verificados.

Y probablemente ustedes nos cuestionen si esto solo les sucede a las figuras públicas con recursos o a empresas donde se mueven grandes cantidades de dinero, pero no es exclusivo de ellos. ¿Cuántas veces hemos escuchado de personas que han sido estafadas por supuestas llamadas de sus hijos siendo secuestrados pidiéndoles un rescate, o el clásico caso del familiar que está en la aduana retenido y que necesita que le apoyes con una cantidad de dinero para que pueda pagar una multa? Y al final caemos. Día tras día escuchamos de amigos o familiares que han sido víctimas de estafas a través de diversas historias a través de WhatsApp, todo a través de ingeniería social. Es una situación lamentablemente más común de lo que pensamos.

¿Cuáles son los peligros de la ingeniería social?

Puede ser evidente después de escuchar todas estas historias de la importancia de protegernos de la ingeniería social, sin embargo no queremos dejar de comentar que TODAS las personas, TODAS las escuelas y TODA organización son víctimas potenciales de la ingeniería social, y ésta puede traer graves consecuencias, por lo tanto todo es posible, los ingenieros sociales están limitados solo por su imaginación y pueden obtener información como:

  • Contraseñas de usuario.
  • Tarjetas de acceso
  • Llaves de oficinas
  • Acceso a centros de datos.
  • Informes financieros confidenciales.
  • Información privada y confidencial de los empleados.
  • Información de identificación personal y datos personales, como registros de salud e información de tarjetas de crédito.
  • Propiedad intelectual.
  • Listas de clientes y prospectos de ventas.

Si se filtra alguna de la información anterior, podrían producirse pérdidas financieras, afectación a la reputación, disminución de la lealtad de clientes e incluso multas y problemas de cumplimiento normativo y legal.

Los 6 principios que explotan los ingenieros sociales

El psicólogo social, Robert Beno Cialdini, en su publicación “Influence: The Psychology of Persuasion”, explica seis conceptos básicos que las personas que buscan influir en otros a menudo aprovechan. Los ingenieros sociales explotan estos mismos seis principios:

  • Prueba social: las personas tienden a hacer cosas que observan que otras personas hacen.
  • Reciprocidad: la gente, en general cree que si alguien hizo algo bueno por ellos, le deben a esa persona devolverle el favor.
  • Autoridad: las personas tienden a obedecer a las figuras de autoridad, incluso cuando no están de acuerdo con y cuando piensan que lo que se les pide que hagan es objetable.
  • Simpatía: Las personas, en términos generales, son más fáciles de persuadir por las personas que les agradan que por otras.
  • Coherencia y compromiso: si las personas se comprometen a lograr algún objetivo e internalizan ese compromiso, se convierte en parte de su propia imagen y es probable que lo intenten.
  • Escasez: si las personas piensan que un recurso en particular es escaso, independientemente de si realmente es escaso, lo querrán, incluso si no lo necesitan.

Es importante tenerlas en consideración. ¿Cómo lo logran?

Con una historia o un pretexto convincentes, estos mensajes pueden ser:

  • Urge pedir tu ayuda.
  • Usar intentos de phishing con antecedentes aparentemente legítimos.
  • Pedirte que hagas una donación para una recaudación de fondos o alguna otra causa.
  • Presentar un problema que requiere que «verifiques» tu información haciendo clic en el enlace que se muestra y proporcionando información en un formulario.
  • Notificarte que eres un ‘ganador’.
Ref. Phishing Citi Banamex.

Consejos para estar protegido contra los ataques de ingeniería social

  • Abstenerse de abrir archivos adjuntos y correos electrónicos de fuentes sospechosas.
  • Utilizar autenticación multifactor.
  • Mantener actualizado software antimalware o antivirus.
  • Tener cuidado con ofertas tentadoras.
  • Asegurarse siempre de verificar la fuente de dónde proviene la comunicación antes de hacer clic en ella.
  • Validar si la persona que se comunica no tiene la información que espera que tenga porque las instituciones autorizadas siempre tienen datos relevantes sobre usted antes de ponerse en contacto.
  • Solicitar datos de identidad.
  • Eliminar cualquier solicitud de información financiera o contraseñas.
  • Rechazar solicitudes u ofertas de ayuda.
  • Instalar antimalware, firewall, filtros de correo electrónico.
  • Configurar actualizaciones automáticas de sistema operatyivo
  • Usar herramienta anti-phishing -muchos navegadores web o terceros cuentan con ello- para alertarte.

¡No te dejes engañar!

Provehito in altum
Por: Juan Pablo Carsi

¿Cómo trabajar de manera segura desde casa?

La asistente del director general, quien desde que inició la pandemia está trabajando desde casa, recibe un correo electrónico que parece provenir de la cuenta de su jefe, tiene un estilo de redacción semejante al de su jefe y el mensaje le da la instrucción de disparar una transferencia. Una situación totalmente normal, salvo que al final el dinero no llegó a donde se esperaba, sino a las cuentas de cibercriminales.

¡Esta historia puede ser la tuya, la mía, la de nosotros si no prevenimos y tomamos acciones! Y sí, puede sonar como una historia de película, pero esto sucede casi todos los días, y sí en México también ha ocurrido.

Y para muestra un botón, la Unidad de Inteligencia Financiera (UIF) descubrió en 2020 una red criminal liderada por nigerianos, sí, leíste bien, ¡nigerianos involucrados entre otros delitos en el fraude y narcomenudeo! quienes amenazaban a mexicanos de escasos recursos y les obligaban a realizar depósitos. Se habló de cantidades millonarias. Estas personas utilizaban diferentes técnicas para hackear cuentas.

Estos son solo unos ejemplos de la realidad a la que nos enfrentamos. Si en una oficina, donde suponemos contamos con los controles de seguridad mínimos existen riesgos, imaginemos ahora que trasladamos la oficina a nuestro hogar en un ambiente donde el trabajo remoto incluye medidas más austeras, en el mejor de los casos.

¿Por qué es importante la ciberseguridad cuando trabajamos de manera remota?

Puede ser obvio para algunos, pero la importancia de implementar medidas de seguridad cuando estamos trabajando desde casa es fundamental, no solo porque si caemos en la trampa de algún ciberdelincuente existirá seguramente un impacto en nuestro trabajo, sino porque estas acciones también pueden acarrearnos problemas en nuestra esfera familiar, por ello debemos prevenir.

Si bien la mayoría de personas que trabajan desde sus hogares utilizan tecnologías de acceso remoto que les proporciona su organización, es imperativo que mantengan buenos hábitos de higiene digital y sigan normas y mejores prácticas con el fin de minimizar riesgos.

En un escenario habitual de teletrabajo nos encontramos con el hogar del trabajador como su punto de interconexión con la organización, donde existen dispositivos de comunicación que no son de su propiedad y que además se desarrollan y comercializan para uso doméstico, lo cual se traduce en un reto importante para su seguridad. Algunas de las principales amenazas para estos esquemas incluyen explotar las vulnerabilidades de estos dispositivos y engañar a los usuarios para robar sus credenciales o infectarlos con malware.

Por otro lado, -y por supuesto no es novedad- pero es importante reiterar que la pandemia ha impactado todos los ámbitos de nuestras vidas, pero no ha frenado al cibercrimen, el cual se ha aprovechado en más de una forma de esta situación, de manera que “bombardean” a teletrabajadores con malware además de buscar engañarlos a través de diferentes técnicas de ingeniería social, principalmente a través de vehículos como el phishing y una modalidad peculiar que se le denomina “email corporativo comprometido” o “BEC”.

¿Qué riesgos existen?

Por supuesto existen muchos riesgos y estos no son los únicos, y de hecho hemos ya compartido de algunos de ellos, pero es importante tenerlos presentes:

  • Pérdida o robo de equipos, es mucho más fácil que se roben los equipos de cómputo en nuestro hogar que en nuestra oficina, y por lo tanto la información ahí almacenada.
  • Ataques de man-in-the-middle (MITM) los cuales permiten que la información que se transmite pueda ser interceptada e incluso modificada de forma clandestina.
  • Infección de dispositivos con malware con todo lo que ello implica dadas las variantes.
  • Secuestro de información o ransomware.

Y en este post particularmente, queremos hacer énfasis en los ataques tipo BEC, esa amenaza que acecha constantemente a las personas que trabajamos desde casa.

Un poquito de contexto

  • Statista señala que a finales de febrero de 2020 se registraron los primeros casos de coronavirus (COVID-19) en México y que, según fuentes oficiales, el 30 de julio de ese mismo año la cifra ya había superado los 408,000 casos. Como resultado de dicho brote y según una encuesta llevada a cabo en el país en junio de 2020, casi tres cuartas parte de los entrevistados en línea (un 72%) trabajaron en casa en algún momento durante los tres meses previos al sondeo. Únicamente un 27% de los encuestados no mudaron su oficina a su hogar durante el periodo de confinamiento. Esta situación por supuesto que también abrió los ojos a muchas organizaciones en el sentido de los ahorros que pueden tener y han mantenido la mayoría de sus colaboradores en estos esquemas de trabajo remoto.
  • Las detecciones de estos ataques tipo BEC se han venido incrementando año con año, y particularmente desde que llevamos el trabajo a casa y de que los estafadores consideran que los teletrabajadores están más expuestos a ingeniería social.
  • El ransomware, del cual ya hemos compartido en otras entradas, también se ha incrementado en los últimos años, sobre todo con nuevas variantes y modalidades de extorsión.
  • El FBI emitió su informe anual Internet Crime Report que en el último año se ha detectado una evolución significativa de los casos de Business Email Compromise (BEC) y de Email Account Compromise (EAC). Los destinos de las transferencias fraudulentas suelen ser bancos asiáticos, principalmente en China y Hong Kong , pero Inglaterra, Turquía ¡y México! también están siendo identificados como nuevos destinos para esas transacciones.
  • Microsoft reportó que en 2020 las estafas de soporte técnico de sus clientes en Latinoamérica reportaban llamadas telefónicas no solicitadas y mensajes de computadoras de estafadores que se hacían pasar por la empresa. Tan solo en Colombia, Brasil y México estuvieron entre los 20 principales países a nivel mundial que reportaron quejas de estafa de soporte técnico de la empresas. Y este es solo un ejemplo que nos encontramos comúnmente en cualquier organización ¿A ti no te ha sucedido? Aquí una referencia que te puede ser de ayuda específicamente para este caso.

¿Pero… qué es eso del BEC?

Este tipo de ataque se caracteriza porque en primer instancia los ciberdelincuentes buscan tomar control de cuentas de directivos o de personas que tienen la facultad de autorizar transacciones financieras, con el fin de re-direccionar el dinero de esas operaciones a sus arcas.

A diferencia de los correos de phishing donde se busca engañar a los usuarios con un contexto diferente, por ejemplo el típico correo electrónico de «paga tus impuestos porque soy el SAT», o «introduce tu contraseña porque soy tu banco y necesito verificar que no tengas problemas de seguridad», en los ataques tipo BEC los correos electrónicos son dirigidos y diseñados con mensajes personalizados premeditadamente para que la víctima caiga en la trampa. Esto supone que hay un análisis previo del cibercriminal al respecto de cómo trabaja la organización, si cuenta con esquemas de trabajo remoto o cuáles empleados trabajan de forma remota y serán un objetivo más sencillo de alcanzar por la ausencia de controles, por ejemplo. Por ello, estos ataques tienen altas posibilidades de tener éxito.

¿Cómo hacen todo esto?

El mecanismo puede ser no tan complejo para un ciberatacante, ya que se hace de un arsenal de malware y usa diferentes técnicas que le ayudarán a pasar desapercibido, y así evadir los controles de seguridad de la organización y finalmente robar las preciadas credenciales de correo electrónico de sus objetivos. Hay incluso algunos cibercriminales que hacen uso de inteligencia artificial para analizar el comportamiento y los hábitos de una persona, por ejemplo sus horarios de conexión, sus horarios de mayor actividad en el uso del correo electrónico o estilos de redacción de la víctima, de manera que los mensajes logran ser aún mas convincentes. Hay incluso grupos de «chicos malos» más organizados que tiene la capacidad de desarrollar herramientas para automatizar campañas masivas de spear-phishing, personalizando los correos electrónicos con el resultado de su análisis predictivo, de manera que su modelo es escalable y con un gran retorno de su inversión ya que logran alcanzar a muchísimas víctimas fácilmente.

Lo que asusta -y mucho-, es que la inteligencia artificial ya está siendo utilizada para falsificar vídeos y audios de directivos para realizar fraudes. Imagina que recibes una llamada que parece ser de tu jefe, y que te da una instrucción y después de ejecutarla te das cuenta de que fuiste engañado por un software que suplantó su voz, o que estuvieras en una videollamada conversando con quien crees que es él, pero realmente quien te da la instrucción es otra persona que simplemente se aprovecha de la magia del Deep Fake. Es un hecho, en lugar de recibir correos electrónicos, en el corto plazo, el grueso de ciberataques de este tipo estarán caracterizados por llamadas telefónicas o videollamadas.

Deep-fake que muestra a la estrella de fútbol David Beckham hablando con fluidez en nueve idiomas, solo uno de los cuales realmente habla, es una versión del código desarrollado en el Technical Universidad de Munich, en Alemania.

¿Puedo ser un objetivo o solo los altos directivos?

En primera instancia, el tradicional BEC puede intentar engañarte a través de la suplantación de identidad de tu jefe si tú puedes ejecutar una operación, sin embargo recientemente los delincuentes han estado buscando objetivos al alcance de la mano y las víctimas tienden a contar con correos electrónicos fáciles de buscar o de adivinar.

¡Entonces, todos debemos estar atentos!

Recomendaciones para teletrabajadores

Estas recomendaciones no son exclusivas para prevenir BEC y además nos ayudarán a protegernos de otras amenazas. Es importante subrayar que, aunque no nos encontremos en la oficina, siempre debemos velar por la seguridad y privacidad de los datos que estamos gestionando cuando realizamos nuestro trabajo.

Para emplear algunas de estas recomendaciones puedes apoyarte del personal técnico de tu organización o de tu proveedor de servicios de internet. Si requieres apoyo adicional, contáctanos y con todo gusto te echamos una mano.

  1. Configuración de los dispositivos de conexión a Internet:
    • Habilita el protocolo de seguridad WiFi WPA3, o si no está disponible habilita WPA2.
    • Configura una red de invitados que permita separar entre dispositivos confiables y no confiables.
    • Si están disponibles, habilita módulos de firewall y filtrado de contenido. Debes restringir el acceso a la red interna para dispositivos externos no autorizados.
    • Modifica contraseñas administrativas incluidas en la configuración de fábrica a algo único.
    • Modifica el nombre predeterminado de tu red WiFi.
    • Evita difundir el nombre de tu red WiFi.
    • Inhabilita puertos y servicios de red que no sean necesarios para tus actividades laborales.
  2. Configuración de equipos de trabajo:
    • Utiliza contraseñas seguras, así como llaveros de contraseñas para gestionarlas.
    • Habilita el bloqueo de sesión.
    • Asegúrate de que los equipos que utilizas para tus labores, incluyendo dispositivos móviles, cuenten con una protección contra malware.
    • El sistema operativo y las aplicaciones deben mantenerse al día con las actualizaciones de seguridad.
    • Solo utiliza software oficial y licenciado.
    • Evita instalar aplicaciones que requieran permisos que puedan poner en riesgo la información sensible, así como el uso de dispositivos móviles a los que se ha realizado “jailbreak”.
    • Cifra las unidades de disco de los equipos de cómputo y dispositivos móviles donde se almacene información de la organización.
    • Respalda periódicamente.
  3. Métodos de conexión:
    • Accede de manera remota a los recursos y sistemas de información de tu organización a través de VPN o escritorios virtualizados.
    • Habilita el doble factor de autenticación.
  4. Servicios de videoconferencia
    • Utiliza las aplicaciones definidas para este fin en la organización, que se mantengan actualizadas y que se controlen los accesos a las reuniones con contraseñas.
    • Establece salas de espera para verificar la identidad de cada participante invitado, y compartir los enlaces de acceso únicamente con personal de confianza y estrictamente necesario.
    • Cuidar tu privacidad cuando te conectes en una videoconferencia y mantén un comportamiento adecuado al utilizar la cámara y el micrófono. Si requieres grabar una sesión, notifica previamente a todos los participantes.
    • En caso de que se comparta la pantalla no muestres información sensible o confidencial.
  5. Documentos y espacio de trabajo
    • Usa un espacio dedicado exclusivamente para el trabajo que cumpla con las condiciones adecuadas de privacidad.
    • Almacena documentos sensibles bajo condiciones de seguridad físicas y ambientales adecuadas.
    • Si requieres desechar información de forma permanente, emplea un procedimiento irreversible como es la trituración.

¡Éxito!

Provehito in altum
Por: Juan Pablo Carsi

Correos electrónicos de phishing: tenemos que estar atentos

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser víctimas de phishing.

Nuestra bandeja de entrada de correo electrónico es como una puerta giratoria. Todos los días, si no cada hora, recibimos correos electrónicos del trabajo, minoristas, amigos y familiares, la escuela, etc. Estamos constantemente enviando y recibiendo. Para complicar las cosas, sin pensarlo dos veces, estamos dando nuestro correo electrónico para que podamos obtener un 15% de descuento en nuestro primer pedido o acceso al eBook que promete cambiar nuestras vidas.

Hacemos esto con tanta frecuencia que perdemos la pista de quién tiene nuestra dirección de correo electrónico, lo que a veces nos hace abrir correos electrónicos que creemos que son legítimos, pero en su lugar son intentos ingeniosamente disfrazados de obtener nuestra información personal. Esos correos electrónicos se llaman correos electrónicos de phishing. Afortunadamente, hay señales que puede tener en cuenta para asegurarse de no ser víctima de un correo electrónico de phishing. 

Información del remitente y linea del asunto:

Lo primero que ve sobre un correo electrónico cuando abre su bandeja de entrada es la información del remitente y la línea de asunto. Hágase las siguientes preguntas: ¿Reconoce alguno? ¿Están mal escritos? ¿Es este un correo electrónico que estabas esperando? ¿La línea de asunto tiene un sentido de urgencia? ¿Es el correo electrónico una respuesta o reenvío a algo que nunca solicitó? Si ve errores ortográficos o texto inusual, tómelo como una bandera roja. Si además de eso, no reconoce al remitente y no lo esperaba, es más seguro marcar el correo electrónico como spam o desecharlo.

El contenido:

Si el correo electrónico no generó ninguna de las banderas rojas mencionadas anteriormente y decidió abrirlo, hay más señales a tener en cuenta en el cuerpo del correo electrónico que podrían indicar un fraude. La mala gramática y los errores ortográficos son un denominador común. Continúe buscando un sentido de urgencia o una solicitud de documentos que no esperaba. Tenga cuidado si se le pide que haga clic, descargue o abra un archivo adjunto o enlace. Si es una oferta promocional y parece demasiado buena para ser verdad, probablemente no lo sea. Si se siente incómodo o inseguro, es mejor eliminarlo o identificarlo como spam. 

Archivos adjuntos e hipervínculos:

No abra el archivo adjunto si no reconoce al remitente, si el tipo de archivo parece extraño, si no reconoce el título del archivo adjunto o no lo esperaba. Para evitar hacer clic en un hipervínculo fraudulento, desplace el mouse (no haga clic, simplemente desplace el mouse) y si la dirección del enlace que se muestra es diferente a la del correo electrónico, no haga clic en ella. Esa es una gran bandera roja. Otra bandera roja es un error ortográfico dentro del hipervínculo. Por ejemplo, la «r» adicional en https://bankofamerrica.com puede perderse fácilmente, haciéndole creer que se dirige al sitio web correcto. ¡Tenga cuidado y verifique dos veces antes de continuar! 

Los ciberdelincuentes son cada vez más sofisticados cuando se trata de correos electrónicos de phishing. Los personalizarán para hacerte sentir que debes saber de dónde viene esto o te inclinarán para abrir archivos adjuntos o hacer clic en hipervínculos. Tenemos que estar atentos, especialmente con la crisis en curso en todo el mundo. Asegúrese de revisar nuestra publicación de blog de estafa COVID-19 para leer más sobre estafas específicas relacionadas con el coronavirus. 

Phishing en mi vida

Quizá ha escuchado o conoce a alguien que tiene como hobbie o que practica el deporte de ir de pesca. La pesca es una actividad que requiere de conocimiento, de técnica particular, de equipos, de herramientas y de una fuerte dosis de paciencia. Primero, es necesario que piense en el tipo de presa que desea pescar, después en dónde va a realizarla (¿será en aguas dulces o saladas, en el río, en la laguna o en el mar? Después, hay que pensar en el tipo caña de anzuelo o de red. Finalmente en el tipo carnada y… ¡Listo, a pescar!  A grandes rasgos, y sin pretender ser un experto en esta actividad, esto es lo que implica el “ir de pesca”.

Quizá se pregunta “¿y el ir de pesca, qué tiene que ver con mi ciberseguridad?”. Pues bien, pescando o phishing en inglés es una técnica que utilizan los ciberdelincuentes para obtener información del usuario y así acceder a determinado recurso.

Esto se logra a través del uso de diferentes herramientas y de técnicas basadas, principalmente, en la persuasión y en el engaño a los usuarios o víctimas. Y no es algo nuevo. Según Phishing.org, la práctica del phishing comenzó alrededor de 1995. Para familiarizarlo con lo anterior, tal vez usted sabe o conoce a alguien que ha recibido algún correo en donde ofrecen premios, regalos, super ofertas, incluso herencias de un pariente lejano que ni siquiera usted sabía que existía (mensajes empáticos). O tal vez, haya recibido algunos correos en donde el fisco le daba aviso sobre algún problema con su situación fiscal; o tal vez algún banco le haya informado que sus tarjetas bancarias fueron bloqueadas; o tal vez haya recibido alguna notificación de demanda o de pérdida de servicios (mensajes coercitivos). Entonces, mi estimado lector, estos son ejemplos clásicos y muy recurrentes del phishing.

¿Cuáles son las principales motivaciones de los cibercriminales?

Las motivaciones de los cibercriminales pueden ser desde obtener información para perpetrar robos y fraudes —con los números de cuentas bancarias, tarjetas de crédito, de débito, departamentales, etc. —, hasta la de generar robos, fraudes y secuestro de información a individuos y a organizaciones de todo tipo y tamaño, accesando a información clasificada como bases de datos, sistemas, servidores entre otras. Estas actividades, al basarse en engaños y accesos no autorizados, son tipificadas como ciberdelitos.

¿Porqué ha proliferado?

El Informe de investigación de violaciones de datos de Verizon (VDBIR, por sus siglas en inglés) clasificó el phishing como la tercera técnica más común utilizada en incidentes y en violaciones confirmadas de ciberseguridad. Además, casi el 80% de los incidentes de seguridad relacionados con espionaje o con instalación de malware se realizaron a través de ataques de phishing.

Un elemento fundamental es la falta de conocimiento y la poca capacitación que se da al personal que utiliza servicios digitales, particularmente, el entrenamiento que se dirige a fomentar una cultura de seguridad digital o de ciberseguridad, pues los criminales que se dedican al phishing se aprovechan de las emociones básicas del humano, la alegría, el miedo, el coraje, la tristeza.

Otro elemento importante es la disponibilidad de recursos para capacitación para “entusiastas” y contra ciberdelincuentes: para conocer el manejo de foros, de grupos, de tutoriales, de plantillas y de herramientas que permiten el aprendizaje para el lanzamiento de campañas de phishing, y sin dejar de lado la constante evolución de las técnicas de persuasión y de engaño.

Por otro lado, tenemos la tecnificación de todo. Todo se está conectando; cada día vemos nuevos servicios digitales que nos facilitan la vida: banca electrónica, transferencias de dinero, compras por internet, videoconferencias, intercambio de información de todo tipo (personal, confidencial, clasificada); y es justamente este botín tan tentador lo que hace que el ciberdelincuente salga a pescar.

En resumen, el phishing es una de las técnicas más utilizado por los ciberdelincuentes para robar información, robar dinero o instalar software malicioso (malware), utilizando como principal arma la persuasión y el engaño a través de herramientas tecnológicas comunes que se encuentran al alcance de todos. El phishing es un elemento que conforma un pilar dentro de la estrategia general del ataque, ya que se centra en el elemento más débil en la cadena de ciberseguridad: el humano.

¿Cuáles son las principales herramientas?

Otras herramientas son: el envío de correos electrónicos falsos, invitaciones a acceder a páginas web falsas, el envío de mensajería electrónica con promociones increíbles, invitaciones y promociones en redes sociales, etc. La herramienta más valiosa es la poca cultura del usuario sobre la protección de información.

¿Y qué puede hacer usted para reducir el riesgo de ser víctima de phishing?

  • Defina e identifique qué tipo de su información puede ser considerada como importante, confidencial, clasificada o delicada.
  • Establezca lineamientos, parámetros o políticas en las que defina qué tipo de información se puede compartir en línea o incluso, con quién puede compartirse. Incluya en este ejercicio la información que compartirá en sus redes sociales.
  • Monitoré y busque en el ciberespacio información sobre usted y sobre su organización.
  • Actualmente, la gran mayoría de las aplicaciones están habilitadas con autenticación de doble factor, utilícelo.
  • Busque entrenamiento y capacitación para aprender sobre esta amenaza, sobre cómo detectarla, sobre su relación con la Ingeniería Social y sobre qué hacer en caso de que logre identificar un posible ataque.
  • Y lo más importante: use su sentido común, sea incrédulo, no abra correos que no espera, pregúntese si tiene sentido abrir correos o páginas web desconocidos, no de click sin antes leer cuidadosamente, no descargue programas, documentos, videos, etc., por más tentadores que parezcan.

La permanencia y evolución del phishing se deben, en gran medida, a la explotación de la confianza de los usuarios y a su falta de entrenamiento en materia de seguridad de la Información. En Capa8 estamos conscientes de esta brecha y estamos comprometidos con la sociedad para fomentar una cultura de seguridad digital que coadyuve a la formación de “ciudadanos digitales” Responsables. Contáctenos, podemos ayudarle.

En nuestro próximo capítulo, hablaremos sobre el software malicioso o malware y sobre cómo los ciberdelincuentes lo mezclan con la ingeniería social, con redes inalámbricas no seguras y con el phishing para perpetrar sus ataques.

Por Eleazar Cruz

Mantenerse saludable, mantenerse seguro

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para mantener un entorno de trabajo ciberseguro, aun en casa.

Dependiendo de en qué parte del mundo vivas, ya estás trabajando a distancia, preparándote para comenzar un período de dos semanas de trabajo a distancia o contemplando la idea. Estas medidas se implementan para evitar la propagación de la pandemia de COVID-19 conocida como coronavirus. Para algunos de ustedes, trabajar a distancia es solo otra opción, para otros, este podría ser un entorno completamente nuevo que deben seguir.

Si bien mantenerse saludable es la prioridad de todos, la seguridad cibernética debe ser considerada para cada empleado remoto. Trabajar en casa significa menores medidas de seguridad y una mayor probabilidad de cibercrimen.

Ya sea que estés usando la computadora portátil de la compañía o la tuya, aquí hay cinco recomendaciones para un trabajo remoto seguro mientras manejamos el brote de coronavirus.

1.     Red privada virtual (VPN): es probable que estés trabajando de forma remota conectándote a la red WiFi de tu hogar. Si bien es probable que su Internet esté protegido con contraseña, tener una VPN agrega otra capa de seguridad. Si no tiene uno, pregúntele a su departamento de TI antes de realizar cualquier trabajo que involucre datos confidenciales de la empresa.

2.     Autenticación multifactor (MFA): implemente la autenticación multifactor como una capa de seguridad adicional. Un ejemplo de factor múltiple es el envío de un código a tu smartphone cuando intentas iniciar sesión en un portal. Lo que significa que si tus credenciales se ven comprometidas, aún no accederán a ese portal sin esa segunda medida de seguridad.

3.     Intentos de phishing: espera más intentos de phishing durante este período de trabajo remoto. Sé diligente, mantente atento a las líneas de asunto urgentes, errores gramaticales, direcciones de correo electrónico de aspecto divertido e informa a tu departamento de TI. Usa la videoconferencia cuando sea posible para evitar ataques de falsificación de chat. Siempre habla cuando algo no se siente bien.

4.     Almacenamiento de datos: intenta limitar los datos en tu disco duro local. Usa una nube o un servidor remoto cuando sea posible. Es más fácil hackear el almacenamiento de datos localmente que en una nube. Al guardar tu fecha en un servidor remoto, estás agregando un «muro» adicional para los ciberdelincuentes.

5.     Seguridad en línea para niños: si eres padre o madre, existe una alta probabilidad de que trabajes a distancia mientras tienes que cuidar a tus hijos. El tiempo frente a la pantalla será una de las muchas formas en que pueden ocupar su tiempo para que puedas hacer algo de trabajo. Ten en cuenta que están utilizando la misma red que tú. Si no están siendo seguros, sus acciones podrían afectar la seguridad de tu empresa.

  • Asegúrate de configurar los controles parentales para que no tengan la autoridad para descargar ninguna aplicación.
  • Enséñeles a no compartir ninguna información personal si están jugando un juego que implica chatear dentro del juego
  • Muéstreles cómo crear contraseñas seguras si es necesario iniciar sesión
  • Enséñeles a ser diligentes con actividades desconocidas para que puedan informarle de inmediato

Esperamos que estas sugerencias hagan que tu experiencia laboral remota sea más fácil de llevar y, lo más importante, más segura. Siempre solicita consejos y recomendaciones a tu departamento de TI y no dudes en informarles sobre actividades sospechosas.

Lee los consejos de seguridad cibernética de la estafa de Coronavirus aquí .

Cómo evitar estafas en línea relacionadas con COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser presa de estafadores en línea, en esta situación tan complicada que estamos viviendo.

Al igual que con cualquier crisis importante, los delincuentes solo esperan aprovecharse de una mala situación y la enfermedad de Coronavirus 2019 (COVID-19) no es diferente. Cada vez que sucede algo de esta magnitud, saca lo mejor y lo peor de las personas. Hay quienes se mueven para ayudar y hacerlo de cualquier manera pero luego están aquellos que se mueven para aumentar el caos y sacar provecho de los demás. Varias agencias de aplicación de la ley en los EEUU así como el FBI han estado advirtiendo a las personas sobre varias estafas de phishing y están pidiendo precaución al abrir correos electrónicos relacionados con el Coronavirus. Estos correos electrónicos pueden parecer correos electrónicos oficiales que provienen del Centro para el Control y la Prevención de Enfermedades ( CDC) y la Organización Mundial de la Salud (OMS).

Junto con las estafas de correo electrónico de phishing, hay informes de muchos sitios nuevos y maliciosos que se hacen pasar por legítimos para robar información personal o propagar malware. De hecho, según Check Point Threat Intelligence, se han registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo. De estos sitios, el 3% resultó ser malicioso y un 5% adicional es sospechoso. Los dominios relacionados con el coronavirus tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período de tiempo.

Además de los sitios web maliciosos y los correos electrónicos de phishing, también hay informes de estafas de caridad y tratamiento falso de Coronavirus. Con esto en mente, queremos asegurarnos de que tengas la información y los consejos para mantenerte seguro en línea durante este tiempo:

  • Consulta fuentes oficiales para actualizaciones sobre el Coronavirus. Le recomendamos que visite el Centro oficial para el Control y la Prevención de Enfermedades ( CDC ) y la Organización Mundial de la Salud ( OMS ) para obtener información actualizada sobre el brote. Tenga cuidado con los sitios web y los mapas de la propagación de la enfermedad cuando busque o busque en Google la pandemia.
  • Desafortunadamente, la enfermedad de Coronavirus 2019 (COVID-19) no tiene vacuna ni cura. Debemos estar particularmente atentos de correos electrónicos de esta naturaleza e informar cualquier correo electrónico falso o phishing a estas organizaciones. Puedes informar estafas a la OMS aquí y a la FTC aquí.
  • Investiga cualquier organización benéfica antes de donar dinero o proporcionar información personal. Ya hay informes de organizaciones benéficas falsas que afirman que necesitan dinero para encontrar una cura o ayudar a las víctimas. Lea los consejos de donación aquí .
  • Particularmente en este momento, ten cuidado con los falsos intentos de phishing por correo electrónico de los CDC y la OMS. No hagas clic en archivos adjuntos o hipervínculos de un correo electrónico que no esperabas o donde no puedes verificar al remitente. Mala gramática, hipervínculos que no coinciden con la URL real, errores ortográficos, archivos adjuntos extraños, amenazas, ningún logotipo o logotipo incorrecto, o un sentido extremo de urgencia son signos de phishing.

Recuerda que los delincuentes intentarán atraer tus emociones durante esta pandemia, especialmente el miedo y el pánico. Disminuye la velocidad al tomar decisiones y no te sientas presionado a hacer nada con prisa, ya sea visitar un sitio web, hacer clic en un enlace, abrir un archivo adjunto, donar a una organización benéfica o tratar de navegar a través de tratamientos no aprobados.

Si actualmente estás trabajando en forma remota, lee nuestros consejos de seguridad cibernética sobre cómo configurar una estación de trabajo cibersegura para las próximas dos semanas.

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

¡Ten cuidado con este link de WhatsApp!

WhatsApp se ha convertido sin duda, en uno de los medios de comunicación más utilizados tanto en el ámbito personal como en el laboral, y es por ello que ciberatacantes saben que es un medio propicio para acceder a información sensible de sus víctimas, y además propagar su ataque a una velocidad increíble. Al infiltrarse a través de WhatsApp, un ciberatacante puede obtener conversaciones y fotografías comprometedoras, datos bancarios, información laboral sensible, y puede incluso espiar a los usuarios a través del micrófono. Logra un control absoluto.

La manera en que la mayoría de estos estos ciberataques funcionan, es a través de un mensaje con vínculos a sitios web desconocidos. Pues bien, ahora se está presentado una modalidad donde se envía al usuario un mensaje de texto con el título «Saludos de WhatsApp«, el cual contiene un vínculo y que solicita no compartir con nadie.

¡No hagas clic! Si recibes el mensaje ignóralo y elimínalo para no poner en riesgo tu privacidad.

La recomendación es activar la verificación en dos pasos de la aplicación, ya que de esa forma cualquier intento por verificar el número requerirá de la contraseña de seis dígitos que únicamente el responsable de la cuenta conoce.

Brasil y México, países más afectados por malware en América Latina

La novena Cumbre Latinoamericana de Ciberseguridad de Kaspersky destacó que Brasil y México son los países más afectados por malware en la región, y que además se mantienen en el Top 20 mundial. En el evento llevado a cabo en Iguazú, Argentina, se señaló también que los dispositivos móviles en América Latina reciben 6 intentos de ataque de malware por minuto, y que en la clasificación mundial de ciberataques móviles, Brasil es el que más ataques registra en estas latitudes y se ubica en sexto lugar a nivel mundial, seguido por México a nivel regional y como noveno a nivel global.

Según los expertos de la empresa de ciberseguridad, esta estadística es consecuencia en gran medida por la descarga de software no licenciado, llamado comúnmente como «pirata». “La piratería ayuda al criminal porque los sistemas piratas son vulnerables. Es una cadena de hechos: primero, el usuario no quiere pagar, instala un sistema operativo pirata e instala un crack; segundo, el usuario no actualiza el programa porque identificaría que se trata de un software pirata; tercero, el software es vulnerable y cuarto, el usuario es atacado”, señaló Fabio Assolini, analista senior de Seguridad de Kaspersky.

Otra gran amenaza en la región es el phishing, “El phishing ofrece la credencial necesaria que dará al atacante la posibilidad de desarrollar las siguientes etapas de ataques más avanzados”. México se ubica en el lugar 13 en este indicador.

Precaución con correos electrónicos que soliciten confirmación de cancelación de suscripción

El portal BleepingComputer ha reportado que se ha detectado una campaña de correo electrónico fraudulento que pretende ser una solicitud de confirmación de cancelación de suscripción. Nunca se debe hacer clic o responder a estos correos electrónicos, ya que están diseñados para recopilar direcciones de correo electrónico que funcionen o para realizar algún otro tipo de estafa. Si bien parece ser que el objetivo es el público anglosajón, se debe tener precaución porque no estamos exentos de recibir este tipo de mensajes.

El portal indica que durante la semana pasada se identificó un flujo constante de correos electrónicos con títulos de asuntos como «Confirme su solicitud de cancelación de suscripción» o «Cliente # 980920318 Para_DETENER_Recibir estos correos electrónicos de nosotros Pulse respuesta y háganos saber«. Si bien esta es una estafa de correo electrónico de larga duración, esta es la primera vez que este tipo de mensaje se detecta.

A diferencia de las notificaciones normales de cancelación de suscripción, estos correos electrónicos fraudulentos no contienen ninguna indicación de lo que está cancelando e incluyen una variedad de «plantillas» que les permiten tener una imagen diferente, por ejemplo:

¿Qué debo hacer?

Algunas de las razones por las que podríamos recibir un correo electrónico de esta naturaleza es que «spammers» -personas que envían correo electrónico indiscriminado y de manera masiva- crean listas de direcciones de correo electrónico activas que pueden usarse para estafas de correo electrónico más lucrativas, a través de phishing.

Al responder estos correos, estaríamos indicando a posibles estafadores que tienen una «cuenta viva» y lo agregan a una lista de cuentas de correo electrónico activas que pueden usarse para futuras estafas. Estas listas de correo electrónico pueden venderse a otros estafadores o usarse para sus propios fines.

Sabiendo esto, nunca responda los correos electrónicos de spammers y simplemente elimínelos. Si responde, terminará recibiendo aún más spam en su bandeja de entrada.