¿Qué tan seguro es tu iPhone?

El control de Apple sobre su ecosistema de dispositivos y aplicaciones ha sido históricamente estricto. Además, hay varias funciones de seguridad integradas, como el cifrado fuerte y la contenerización, que ayudan a evitar la fuga de datos y limitan la propagación de malware. A pesar de todo esto, ESET, compañía líder en detección proactiva de amenazas, advierte que no se eliminan los riesgos por completo, ya que las estafas cotidianas y otras amenazas bombardean también a usuarios de iOS, y aunque algunas son más comunes que otras, todas exigen atención.

“El hecho de que las aplicaciones de iOS suelan proceder de la App Store oficial de Apple y deban superar estrictas pruebas para ser aprobadas ha evitado dolores de cabeza relacionados con la seguridad y la privacidad a lo largo de los años. Pero, la reciente ley antimonopolio de la UE, conocida como Ley de Mercados Digitales (DMA), busca que los usuarios de iOS tengan la opción de utilizar mercados de aplicaciones de terceros. Esto traerá nuevos retos a Apple a la hora de proteger a los usuarios de iOS de posibles daños y a los que utilicen sus productos, ya que tendrán que ser más conscientes de las amenazas. Este cambio de las reglas de juego, sin dudas, será aprovechado por el cibercrimen”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

Además de los riesgos que podrían derivar del cumplimiento de la DMA, ESET analiza los diferentes tipos de amenazas, posiblemente más inmediatas, que apuntan a los usuarios de iOS en todo el mundo:

Dispositivos con jailbreak: Si se desbloquea deliberadamente un dispositivo para permitir lo que Apple denomina «modificaciones no autorizadas», se podría violar el Contrato de Licencia de Software y desactivar algunas funciones de seguridad integradas, como el Arranque Seguro y la Prevención de Ejecución de Datos. También significará que el dispositivo dejará de recibir actualizaciones automáticas. Al poder descargar aplicaciones de fuera de la App Store, se está expuesto a software malicioso y/o con errores.

Aplicaciones maliciosas: Aunque Apple hace un buen trabajo a la hora de examinar las aplicaciones, no acierta el 100% de las veces. Entre las aplicaciones maliciosas detectadas recientemente en la App Store se incluyen: Una versión falsa del gestor de contraseñas LastPass diseñada para recopilar credenciales, un programa malicioso de lectura de capturas de pantalla apodado «SparkCat», camuflado en aplicaciones de inteligencia artificial y reparto de comida y una falsa aplicación de monedero criptográfico llamada «Rabby Wallet & Crypto Solution».

Descargas de aplicaciones desde sitios web: Como se detalló en el último ESET Threat Report, las aplicaciones web progresivas (PWA) permiten la instalación directa sin necesidad de que los usuarios concedan permisos explícitos, lo que significa que las descargas podrían pasar desapercibidas. ESET descubrió esta técnica utilizada para disfrazar malware bancario como aplicaciones legítimas de banca móvil.

Phishing/ingeniería social: Los ataques de phishing por correo electrónico, texto (o iMessage) e incluso voz son habituales. Se hacen pasar por marcas legítimas y engañan al usuario para que facilite sus credenciales, haga clic en enlaces maliciosos o abra archivos adjuntos para desencadenar descargas de malware. Los ID de Apple se encuentran entre los inicios de sesión más preciados, ya que pueden proporcionar acceso a todos los datos almacenados en una cuenta de iCloud y/o permitir a los atacantes realizar compras en iTunes/App Store. Desde ESET aconsejan tener cuidado con:

• Ventanas emergentes falsas que afirman que el dispositivo tiene un problema de seguridad

• Llamadas telefónicas fraudulentas y llamadas FaceTime haciéndose pasar por el Soporte de Apple u organizaciones asociadas

• Promociones falsas que ofrecen regalos y sorteos

• Spam de invitaciones al calendario con enlaces de phishing

En una campaña muy sofisticada, los autores de la amenaza utilizaron técnicas de ingeniería social para engañar a los usuarios y conseguir que descargaran un perfil de gestión de dispositivos móviles (MDM) que les permitiera controlar los dispositivos de las víctimas. Con esto, desplegaron el malware GoldPickaxe, diseñado para recopilar datos biométricos faciales y utilizarlos para eludir los inicios de sesión bancarios.

Riesgos de las redes wifi públicas: Un punto de acceso de wifi público, puede ser un punto de acceso falso creado por agentes de amenazas para vigilar el tráfico web y robar información confidencial, como contraseñas bancarias. Incluso si el punto de acceso es legítimo, muchos no cifran los datos en tránsito, lo que significa que los hackers con las herramientas adecuadas podrían ver los sitios web que visita y las credenciales que introduce. Es por lo que desde ESET recomiendan la utilización de VPN, que crea un túnel cifrado entre el dispositivo e Internet.

Vulnerabilidades: Si bien desde Apple se le dedica mucho tiempo y esfuerzo a garantizar que su código esté libre de vulnerabilidades, a veces hay fallos en la producción. En estos casos, los piratas informáticos pueden aprovecharse si los usuarios no han actualizado el dispositivo, por ejemplo, enviando enlaces maliciosos en mensajes que activan un exploit si se hace clic sobre ellos.

• El año pasado, Apple se vio obligada a parchear una vulnerabilidad que podía permitir a los agresores robar información de un dispositivo bloqueado mediante comandos de voz de Siri

• En ocasiones, los propios actores de amenazas y empresas comerciales investigan nuevas vulnerabilidades (de día cero) para explotarlas. Aunque son poco frecuentes y muy selectivos, los ataques que aprovechan estas vulnerabilidades se utilizan a menudo para instalar de forma encubierta programas espía con el fin de espiar los dispositivos de las víctimas

Si bien hay malware que acecha los dispositivos de iOS, también es posible minimizar la exposición a las amenazas. ESET comparte las principales tácticas:

• Mantener el iOS y todas las aplicaciones actualizadas. Esto reducirá la ventana de oportunidad para que los actores de amenazas exploten cualquier vulnerabilidad en versiones antiguas para lograr sus objetivos.

• Utilizar siempre contraseñas seguras y únicas para todas las cuentas, quizás utilizando el gestor de contraseñas de ESET para iOS, y activar la autenticación multifactor si se ofrece. Esto es fácil en los iPhones, ya que requerirá un simple escaneo de Face ID. Esto asegurará que, incluso si obtienen las contraseñas, no podrán acceder a las aplicaciones sin el escaneo de cara.

• Activar Face ID o Touch ID para acceder al dispositivo, respaldado con una contraseña segura. Esto mantendrá el iPhone seguro en caso de pérdida o robo.

• No hacer jailbreak al dispositivo, por las razones mencionadas anteriormente. Lo más probable es que tu iPhone sea menos seguro.

• Tener cuidado con el phishing. Eso significa tratar con extrema precaución las llamadas, mensajes de texto, correos electrónicos y mensajes de redes sociales no solicitados. No hacer clic en enlaces ni abrir archivos adjuntos. Si realmente se necesita hacerlo, comprobar por separado con el remitente que el mensaje es legítimo (es decir, no respondiendo a los datos que figuran en el mensaje). Buscar signos de ingeniería social, como errores gramaticales y ortográficos, una urgencia para actuar, regalos y ofertas demasiado buenas para ser ciertas o cominios del remitente que no coinciden con el supuesto remitente.

• Evitar las redes wifi públicas. Si es necesario utilizarlas, intentar hacerlo con una VPN. Como mínimo, no iniciar sesión en ninguna cuenta valiosa ni introducir información confidencial en una red wifi pública.

• Intentar limitarse a la App Store para cualquier descarga, con el fin de minimizar el riesgo de descargar algo malicioso o arriesgado.

• Si se cree que se puede ser objetivo de programas espía (utilizados a menudo contra periodistas, activistas y disidentes), activar el modo de bloqueo.

• Prestar atención a los signos reveladores de una infección por malware, que podrían incluir un rendimiento lento, ventanas emergentes de publicidad no deseada, un sobrecalentamiento del dispositivo, aparición de nuevas aplicaciones en la pantalla de inicio o aumento del consumo de datos.

“Si bien el iPhone de Apple sigue siendo uno de los dispositivos más seguros que existen. Esto no quiere decir que estén libres de amenazas. Mantenerse alerta, conocer los posibles riesgos y tomar las medidas de protección necesarias ayudan a mantener la información y los dispositivos seguros”, concluye Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/seguridad-moviles/que-tan-seguro-iphone/

La ciberseguridad es tan importante como cerrar la puerta de casa.

En un mundo cada vez más conectado, donde tecnologías como la inteligencia artificial (IA) y el Internet de las Cosas (IoT) se integran rápidamente a nuestra vida diaria, la ciberseguridad ha dejado de ser un asunto exclusivo de expertos. Hoy, proteger nuestros datos y dispositivos se ha convertido en una necesidad cotidiana.

“Hoy cuidar nuestros dispositivos es tan importante como cerrar la puerta de casa con llave”, afirma Martina López, especialista en Seguridad Informática de ESET Latinoamérica. Los ciberdelincuentes evolucionan constantemente, desarrollando métodos cada vez más sofisticados para obtener información personal y convertirla en una fuente de ingresos ilícitos.

Ante este panorama, ESET, compañía líder en detección proactiva de amenazas, resalta que es fundamental que las personas adquieran conocimientos básicos en ciberseguridad. Prácticas como crear contraseñas robustas, activar la autenticación en dos pasos, identificar correos sospechosos o mantener los dispositivos actualizados deben formar parte de nuestra rutina diaria. “No se trata de ser expertos, sino de adoptar hábitos simples pero efectivos que nos ayuden a reducir riesgos”, agrega la especialista.

Nuevas tecnologías, nuevos desafíos

El avance tecnológico, aunque aporta soluciones innovadoras, también abre nuevas puertas para los atacantes. “La inteligencia artificial, por ejemplo, puede ser una gran aliada para detectar amenazas, pero también puede ser utilizada para diseñar ataques más complejos. Cada nuevo dispositivo conectado representa un posible punto de entrada para los ciberdelincuentes”, advierte la experta de ESET.

En este contexto, la educación se vuelve una herramienta clave para mitigar los riesgos. Escuelas, universidades y espacios de formación deben incorporar la ciberseguridad como parte esencial de la ciudadanía digital, fomentando el pensamiento crítico, la comprensión de la privacidad y la ética en el uso de la tecnología.

Educar para proteger

Los gobiernos también tienen un papel fundamental. Promover políticas públicas que impulsen la concienciación sobre la seguridad digital, en alianza con el sector privado y académico, es esencial para crear una cultura sólida de protección. Campañas de sensibilización, capacitación de docentes y el desarrollo de materiales accesibles pueden marcar una gran diferencia.

“Fomentar una cultura de ciberseguridad no significa sembrar miedo, sino generar conciencia. Se trata de mostrar que protegernos en el mundo digital debe ser tan natural como usar el cinturón de seguridad. Y eso se logra con educación constante, buenos ejemplos y espacios para aprender”, destaca López.

Ciberseguridad inclusiva y accesible

Para ser realmente efectiva, la educación en ciberseguridad debe ser inclusiva y adaptarse a diferentes edades, niveles de conocimiento y realidades sociales. Hoy existen herramientas como plataformas gamificadas, simuladores de ciberataques, videojuegos educativos y asistentes virtuales que facilitan un aprendizaje atractivo, interactivo y accesible para todos.

Un idioma que todos debemos aprender

Mirar hacia el futuro implica comprender que las amenazas digitales serán cada vez más complejas y difíciles de detectar. Por eso, formar ciudadanos capaces de adaptarse, pensar críticamente y actuar con responsabilidad en el entorno digital es una de las tareas más urgentes de nuestra época.

“La ciberseguridad no es solo una cuestión técnica: es un nuevo idioma que todos debemos aprender a hablar”, concluye la vocera de ESET.

Ciberdelincuentes imitan a FedEx para robar información.

ESET, compañía líder en detección proactiva de amenazas, alerta por una nueva campaña de phishing que utiliza correos electrónicos que imitan al servicio de logística FedEx para engañar a quien los reciba. Los correos usan de excusa para el contacto que hay un paquete retenido en aduana y se debe realizar alguna gestión para destrabar el envío.

El mensaje provee un supuesto número de seguimiento de un envío para generar confianza con la víctima y que esta responda. La finalidad es el robo de datos financieros de la víctima, quien ingresará sus datos para hacer un pago ficticio como canon para liberar el paquete retenido. Los cibercriminales recolectan así información financiera verificada con la que pueden cometer otras estafas o venderla en mercados ilegales de la darkweb.

“Los correos utilizan la misma tipografía y diseño de FedEx, dirigiendo a los usuarios a un sitio web falso que imita la estética de la marca. El sitio guía a la víctima a través de varios pasos antes de solicitar información sensible, como datos de tarjeta de crédito, para liberar el supuesto paquete retenido”. advierte Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

Primero, llega el email a la bandeja de entrada de la víctima potencial, indicándole que hay una “entrega de paquete suspendida”. En el cuerpo del mensaje se aprecia la estética de la marca FedEx, con un alto grado de similitud y la firma de FedEx Express para darle legitimidad. Aquí comienza el engaño con el botón “resolución de problemas”, que llevará a una URL que nada tiene que ver con la real de la empresa suplantada.

Cuando el usuario ingresa al hipervínculo del número de seguimiento, es derivado a una URL falsa donde se simula una serie de pasos para destrabar la “entrega de paquete”. Como se puede observar en la imagen, si bien la URL no coincide con el sitio de FedEx, sí imita la tipografía y la estética de la marca.

Si la víctima decide continuar, el sitio va guiando una serie de pasos para hacer el pago para recibir el paquete supuestamente retenido. Incluso se programa una supuesta entrega mediante opciones en las sucesivas pantallas que van abriéndose.

Una vez completados los pasos, la víctima es redirigida a un sitio para efectuar el pago del envío del paquete. Ahora sí, los cibercriminales logran hacerse de los datos de tarjetas de crédito de la víctima, que, si ha llegado hasta esta instancia, puede no llamarle la atención la pasarela de pago, ya que los cibercriminales redirigen a una página de compras legítima.

Según ESET, los ciberatacantes buscan que las víctimas paguen un monto en pesos y, si ingresan datos no válidos, el sistema advierte la situación, incitando a la víctima a proporcionar datos verdaderos para realizar el pago. Esta verificación de los datos la realizan los cibercriminales a partir de una página legítima de compra de gift cards, usando su pasarela de pago, que contrasta los datos ante las principales empresas de tarjetas de crédito.

ESET comparte algunos consejos de seguridad básicos para evitar caer en este tipo de engaños:

• Utilizar tarjetas de crédito y débito virtuales para hacer compras online. La mayoría de los servicios financieros y billeteras virtuales incorporan esta funcionalidad para hacer pagos a través de wallets.

• Desconfiar de comunicaciones que no se esperen, y sobre todo si presentan una urgencia e instan a actuar rápidamente. Siempre chequear con la entidad comunicándose a los canales oficiales.

• Chequear que la página a la que ha ingresado y donde se brindaran datos personales sea segura y la URL corresponda a la real.

“Tal como pudimos observar en este caso hay situaciones comunes a las distintas estrategias utilizadas por los ciberatacantes cuando despliegan phishing: ganarse la confianza con el usuario y transmitir un sentido de urgencia. Es importante estar atentos y no dejarnos llevar por las apariencias”, concluye Mario Micucci de ESET.

Los principales ataques a modelos de inteligencia artificial.

Los modelos de inteligencia artificial se convirtieron en activos valiosos y en objetivos atractivos para los cibercriminales, debido a la cantidad de información que procesan y por su uso cada vez más frecuente en diversas industrias. En este contexto, ESET, compañía líder en detección proactiva de amenazas, alerta que los ataques a los modelos de IA varían desde el robo de propiedad intelectual, filtrado de información -e incluso su manipulación para generar resultados erróneos, sesgados-, hasta la utilización de su infraestructura para fines maliciosos como, el uso de servidores comprometidos para comandar redes de bots o ataques similares.

Existen numerosos ejemplos de vulneraciones a modelos de IA. Uno de los más conocidos es el caso de Tay de Microsoft,  que en 2016 un chatbot de IA fue manipulado por usuarios para aprender y replicar discursos de odio en menos de 24 horas. Por otro lado, el ataque a GPT-3/OpenAI, donde se identificaron intentos de extracción de información confidencial de modelos de OpenAI, consultas o peticiones específicas que inducían a  revelar datos sensibles utilizados en su entrenamiento. Además, en 2023, el modelo desarrollado por Meta LLaMA fue filtrado antes de su lanzamiento y fue utilizado y accedido por terceros, lo que generó preocupación sobre la protección de modelos propietarios en entornos abiertos.

“Los ataques dirigidos ya han puesto foco en modelos de IA, su funcionamiento e infraestructura. La seguridad debe abordarse desde una perspectiva integral, protegiendo todas las capas del funcionamiento de esta tecnología, partiendo de datos de entrenamiento, implementación del modelo y luego posteriores fases de acceso o interacción con este”, comenta Fabiana Ramírez Cuenca, investigadora de seguridad informática de ESET Latinoamérica.

Para comprender cómo podría la IA ser objetivo de ataque, el equipo de investigación de ESET desgrana algunos de sus elementos básicos expuestos y sus vulnerabilidades. Entro lo destacado, se encuentran los datos, todos los modelos son alimentados con datos de entrenamiento que deben tener calidad y confiabilidad para garantizar el funcionamiento correcto de la tecnología. Estos datos podrían ser vulnerables y un ciberatacante podría introducir algunos de tipo malicioso y de esa manera manipular el comportamiento o los ouputs del modelo. 

Por otro lado, están las APIS (Application Programming Interface) que al estar expuestas también se pueden intervenir para manipular el modelo o extraer información sensible, y la estructura interna del modelo, inclusive sus algoritmos, podrían ser susceptibles a ataques adversariales o extracción de información confidencial. Finalmente, los servidores, fuera de ataques al funcionamiento del modelo en sí, este se podría ver afectado en caso de que los servidores o bases de datos donde se almacene su información o se procese el modelo sean blanco de diversos ataques que interrumpan el sistema.

Una vez que se identifican elementos básicos, ESET comparte los principales ataques contra modelos de IA:

1. Data Poisoning (Envenenamiento de Datos): consiste en la manipulación de los datos de entrenamiento con el objetivo de alterar el comportamiento del modelo.

2. Ataques Adversariales: se generan inputs o entradas manipuladas de manera casi imperceptible para los humanos, pero que inducirán errores en el modelo. Por ejemplo, la manipulación de imágenes para hacer que un modelo de reconocimiento facial confunda identidades.

3. Control del Modelo y Explotación: los cibercriminales toman el control del modelo durante su producción aprovechándolo con distintos fines como ejecución de otros ataques. Por ejemplo, una denegación de servicio aprovechando para generar comando y control (C&C) e incluso mezclarlo con bots.

4. Model Inversion Attack (Inversión de Modelo): el objetivo es inferir y obtener información sensible a partir de las predicciones del modelo. Por ejemplo, en modelos que identifican datos faciales se podría llegar reconstruir los rostros originales tomando como base los resultados del modelo frente a ciertas peticiones.

5. Model Extraction Attack (Extracción de Modelo): En este tipo de ataque se envían diferentes consultas al modelo para luego analizar las salidas con el objeto de entender y reconstruir su estructura interna, así como su lógica. De esta manera se podría imitar o replicar un modelo sin necesidad de acceso directo al código fuente o datos de entrenamiento.

6. Ataque de Evasión (Evasion Attack): para el caso se modifican los inputs de los modelos con el fin de evadir detección de ciertas actividades o generar una clasificación errónea. Se ha utilizado en sistemas de detección de fraudes, por ejemplo, y en modelos de seguridad de tipo antimalware y firewalls basados en IA. Los atacantes utilizan códigos maliciosos que puedan generar que el modelo victima clasifique un archivo como legítimo, por ejemplo, y esto mediante generación de inputs alterados de forma imperceptible.

7. Malware en Infraestructuras: fuera de ataques directos al modelo, estos están sujetos a que sus servidores sean infectados con diferentes clases de malware que pudiera interrumpir su operatividad, bloquearlos e incluso lograr filtrar información.

Modelos de negocio del malware: ¿cómo operan los cibercriminales en la economía digital?

ESET, compañía líder en detección proactiva de amenazas, advierte que el malware ya no es solo una herramienta para causar estragos; en la actualidad, es un negocio multimillonario que opera en un ecosistema altamente estructurado. Desde el ransomware hasta el malware como servicio (MaaS), los cibercriminales han desarrollado sofisticados modelos de negocio para maximizar sus ganancias. En este sentido, ESET explora las estrategias utilizadas en la economía del cibercrimen, los grupos más destacados y casos recientes de gran impacto.

Si bien se suele escuchar mucho la palabra cibercrimen o ciberestafa con bastante énfasis en las pérdidas económicas y daños a la reputación de las empresas e incluso los estados, también los ciudadanos de a pie sufren los embates de los actores maliciosos. Seguramente todos conocen a alguien cercano que haya sido víctima de robos a través de homebanking o billeteras virtuales, o incluso le pudo haber pasado a uno mismo; la seguridad cibernética es una preocupación de todo tipo de usuarios.

Esta problemática no es nueva, y se viene gestando hace varias décadas, quizá desde los comienzos de la hiperconectividad en los años 90. Con el tiempo, la información se digitalizó cada vez más y los ciberdelincuentes, que siempre han estado al acecho, transformaron los datos en el oro de estos tiempos. La cantidad de sistemas y dispositivos que guardan información sensible se multiplicó: desde las computadoras y dispositivos móviles, hasta el extenso ecosistema IoT que incluye cámaras IP, automóviles modernos, smartwatch, entre otros. Con esta expansión, los cibercriminales han desarrollado perfiles diversos y sofisticados para el robo y la explotación de esos datos que resultan tan valiosos.

“Tal como sucede con la delincuencia tradicional existen diversos perfiles de delincuentes, y las bandas cibercriminales más sofisticadas funcionan tan organizadamente y disponen de tanto presupuesto como las grandes empresas de diversas industrias. Esto se pudo observar en varios casos, como la exfiltración de información del grupo cibercriminal Conti, entre otros tantos”, señala Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

Teniendo en cuenta el escenario descrito previamente, ESET dará un vistazo a este ecosistema del malware y la organización de los grupos ciber delictivos. 

El negocio del malware se sustenta en una cadena de valor bien definida que incluye el desarrollo, distribución, monetización y servicios de soporte. En cada una de estas partes, se pueden destacar los siguientes actores clave:

• Desarrolladores de malware: Crean software malicioso, desde troyanos bancarios hasta ransomware.

• Distribuidores y afiliados: Utilizan tácticas como phishing, exploits y botnets para propagar el malware.

• Operadores de infraestructura: Proveen servidores de comando y control (C2), hosting clandestino y proxies anónimos.

• Lavadores de dinero: Facilitan el movimiento de fondos a través de criptomonedas y sistemas financieros alternativos.

Impacto financiero del malware

Según un informe de Cybersecurity Ventures, el costo del cibercrimen a nivel mundial alcanzará los 10,5 billones de dólares anuales para 2025. En cuanto a los pagos por ransomware en Estados Unidos en 2023, el Internet Complaint Center (IC3) reportó los registrados aumentaron a 59,6 millones de dólares, lo que representa un incremento del 74% respecto al año anterior

Entre los principales modelos de negocio del malware ESET destaca:

1. Ransomware como Servicio (RaaS): Uno de los esquemas más lucrativos del cibercrimen. Grupos como LockBit o Conti ofrecen su malware en un modelo de afiliación, donde operadores sin conocimientos avanzados pueden lanzar ataques a cambio de un porcentaje de los rescates cobrados.

Ejemplo real: La variante de ransomware REvil operaba bajo este modelo, generando millones en pagos de rescate. Un caso reciente fue el ataque a la empresa Kaseya en 2021, donde REvil exigió 70 millones de dólares en rescate.

2. Malware como Servicio (MaaS): Plataformas en la darkweb permiten alquilar malware sofisticado con características avanzadas, como keyloggers, troyanos bancarios y stealers de credenciales. Este modelo reduce la barrera de entrada al cibercrimen.

Ejemplo real: Emotet, inicialmente un troyano bancario, evolucionó para actuar como servicio de entrega de otros tipos de malware. Su infraestructura fue desmantelada en 2021, pero ha resurgido en distintas formas desde entonces.

3. Exploits y Zero-Days como Servicio: Los mercados clandestinos venden vulnerabilidades de día cero y kits de exploits que permiten comprometer sistemas sin que existan parches disponibles.

Ejemplo real: El exploit EternalBlue, desarrollado originalmente por la NSA y filtrado en 2017, fue utilizado en ataques masivos como WannaCry y NotPetya, causando daños por miles de millones de dólares.

4. Botnets y Ataques DDoS como Servicio: Las botnets permiten realizar ataques de denegación de servicio (DDoS) bajo un modelo de alquiler. Este tipo de servicio es utilizado tanto por cibercriminales como por actores estatales para desestabilizar infraestructuras críticas.

Ejemplo real: La botnet Mirai, que comprometió millones de dispositivos IoT, fue usada para ataques DDoS de gran escala. Más recientemente, la botnet Mantis ha demostrado ser una de las más potentes, afectando servicios de gran tamaño.

5. Phishing como Servicio (PhaaS): Se comercializan kits de phishing que incluyen plantillas de sitios web falsos y paneles de administración para robar credenciales de acceso.

Ejemplo real: Grupos como BulletProofLink han ofrecido servicios de phishing en la dark web con miles de campañas activas. En 2023, se detectó una ola masiva de phishing dirigida a entidades bancarias en América Latina.

Grupos de malware más destacados

Algunas de las bandas cibercriminales más activas y sofisticadas incluyen a:

• LockBit: Especializados en ransomware, han atacado organizaciones en todo el mundo.

• Lazarus Group: Vinculados a Corea del Norte, han robado cientos de millones de dólares en criptomonedas.

• FIN7: Enfocados en el robo de tarjetas de crédito y ataques a empresas de retail.

• Evil Corp: Responsable de múltiples ataques de ransomware dirigidos a grandes corporaciones.

Estrategias de defensa para organizaciones y usuarios

Para mitigar estos riesgos, las empresas y los usuarios deben adoptar una estrategia de defensa en capas:

• Concientización y capacitación: La educación en ciberseguridad es clave para evitar caer en ataques de phishing y ransomware.

• Proteger todos los dispositivos: Contar con un software de seguridad multicapa de un proveedor de confianza para minimizar los riesgos de ataque.

• Autenticación multifactor (MFA): Agregar una capa extra de seguridad protege contra el robo de credenciales.

• Monitoreo y detección temprana: Soluciones de inteligencia de amenazas y análisis de comportamiento pueden identificar patrones sospechosos.

• Gestión de parches: Mantener los sistemas actualizados es crucial para reducir la superficie de ataque.

• Respaldos seguros: Copias de seguridad offline pueden prevenir la pérdida de datos en caso de un ataque de ransomware.

"El cibercrimen ha evolucionado hacia un ecosistema comercial complejo, con modelos de negocio sofisticados que requieren un enfoque proactivo y una cultura de ciberseguridad robusta por parte de las organizaciones. Aunque el futuro de esta lucha es incierto, la concientización, la evolución de las defensas cibernéticas y la capacidad de las autoridades para desmantelar estas redes son cruciales para inclinar la balanza a favor de la seguridad digital. Mientras tanto, la implementación de buenas prácticas y la educación continua siguen siendo nuestras mejores armas contra los ciberatacantes", concluye Micucci de ESET.

Riesgos a la privacidad al crear tu imagen al estilo de Studio Ghibli

La última actualización del chatbot de ChatGPT ha permitido a las personas que lo utilizan replicar el inconfundible estilo artístico del co creador del estudio de animación y legendario cineasta japonés Hayao Miyazaki. Esta nueva funcionalidad se ha viralizado rápidamente en redes sociales, con miles de personas compartiendo sus imágenes generadas al estilo de Studio Ghibli.

Sin embargo, desde ESET, compañía líder en detección proactiva de amenazas, advierten que, como se ha demostrado en distintas ocasiones, sumarse a una tendencia por mera diversión, puede derivar en fraudes o suplantación de identidad si la tecnología se ve comprometida, o simplemente si para usarla se aceptan condiciones de privacidad desfavorables, o que pueden estar en contra de las regulaciones locales o internacionales.  

Un ejemplo de esto es el caso de Clearview AI que funcionaba desde 2020 como un motor de búsquedas similar a Google, pero de rostros. Debido a que recolectaba la información de fuentes públicas como redes sociales, revistas digitales o blogs, tuvo en 2022 una disputa con la Unión Americana de Libertades Civiles para que restrinja las ventas del software en el mercado estadounidense de servicios de reconocimiento facial a entidades gubernamentales. Este tipo de controversias continúa y la empresa sigue operando, no exenta de disputas y reclamos legales, y pago de multas en distintos países. 

Por otro lado, la empresa australiana Outabox, en mayo de 2024 sufrió una filtración que expuso datos de reconocimiento facial y biometría de sus sistemas, que se utilizaban en bares y clubes de Australia. Personas que afirmaron ser antiguos desarrolladores de Outabox crearon un sitio web donde confirmaban tener datos biométricos de reconocimiento facial, escaneo de licencia de conducir, firma, datos de membresía de clubes, dirección, fecha de nacimiento, número de teléfono, marcas de tiempo de visitas a clubes y uso de máquinas tragamonedas. Las investigaciones demostraron que los datos se recopilaron de 19 establecimientos en Nueva Gales del Sur y el Territorio de la Capital Australiana, operados por ClubsNSW que había contratado a Outabox.  

“Como analizamos recientemente desde ESET, entre los principales desafíos que impone  la Inteligencia Artificial Generativa, la moderación del contenido y los derechos de autor son dos puntos que toman fuerza por esta tendencia y requieren de la atención tanto de gobiernos, empresas y usuarios. El funcionamiento de los modelos de IA depende mayoritariamente del acceso a grandes volúmenes de datos (con los que se entrenan y de los cuales se sirven), muchos de estos contienen información personal, sensible y confidencial. Las diversas fuentes para recolectar información y así entrenar a los modelos de IA pueden provenir de información pública o de fuentes abiertas, información solicitada a los usuarios (quienes la consienten, como lo es en este caso con la tendencia de las imágenes generadas al estilo Studio Ghibli) y también de redes sociales y, más recientemente, de información recopilada por dispositivos IoT”, explica David González, investigador de Seguridad Informática de ESET Latinoamérica. 

Dada la gran cantidad de datos que se procesan, se destaca la importancia de que los mismos sean tratados y almacenados de forma segura, ya que, según ESET, pueden quedar expuestos y sujetos a posibles accesos indebidos, filtraciones o incluso robos de información como en el caso de Outabox. Esto puede traer como consecuencia que los ciberdelincuentes puedan suplantar de forma fácil la identidad de los vulnerados o generar estafas con identidades reales, ampliando la superficie de ataque y exposición. 

Otro desafío recae en la recolección masiva de datos sin el consentimiento informado de los usuarios, quienes muchas veces desconocen el alcance del uso de su información. Ese desconocimiento implica un vicio del consentimiento (a nivel legal) y, por tanto, dichas recopilaciones se tornan grises. 

La falta de explicación y transparencia sobre cómo funcionan los modelos y cómo tratan la información genera también conflictos legales. Aquí es donde se puede tornar una línea delgada entre lo privado y lo invasivo; algunas empresas directamente advierten que los datos serán usados para mejorar el modelo de entrenamiento de su Inteligencia Artificial, con el fin de presentar un producto o servicio de mayor calidad.  

Unirse a esta tendencia además del entusiasmo puede traer riesgos de la privacidad si no se toman las debidas precauciones, por lo que desde ESET Latinoamérica comparten los puntos más importantes a considerar para minimizar los riesgos: 

• Revisar las políticas de privacidad del sitio o aplicación: Mantenerse informado sobre cómo funcionan los modelos de IA y cómo tratan la información es fundamental para saber si es fiable subir o no información personal o confidencial. 

• Chequear si la información que se sube a un sitio o aplicación está protegida por alguna ley: Garantizar que los modelos de IA dentro de aplicaciones o sitios cumplan con regulaciones internacionales y nacionales pertinentes, así como con los principios éticos de transparencia, explicabilidad, equidad y responsabilidad. En caso de la ausencia de alguno de estos principios, es mejor no subir información personal (rostro del usuario/fotos familiares) o confidencial (lugar de trabajo). 

• Usar aplicaciones web o móviles de fuentes oficiales: Debido al gran uso de aplicaciones o sitios similares a ChatGPT que puedan generar imágenes con el estilo artístico del Studio Ghibli, los ciberdelincuentes aprovechan esta temática para poder engañar a los usuarios e incitarlos a descargar software que aparentemente cumple con el propósito de generar imágenes con IA, sin embargo, puede contener malware como se menciona en este post.  

• Usar imágenes seguras o sin derechos de autor: Si no se tiene el conocimiento de que la imagen sea para su uso libre, es mejor no subirla para evitar problemas legales relacionadas con los derechos de autor. Una buena práctica es subir imágenes relacionadas a paisajes o ilustraciones que cumplan con las políticas de privacidad del sitio o aplicación. 

Ciberseguridad para adultos mayores.

En un contexto en el que la interacción con la tecnología es cada vez más frecuente, se observa que, además de ofrecer beneficios para todos los grupos etarios, también presenta riesgos significativos. ESET, compañía líder en detección proactiva de amenazas, afirma que los adultos mayores al utilizar herramientas digitales en su vida diaria, también se convierten en blanco de las amenazas online, como estafas que se dirigen exclusivamente a su grupo etario, aprovechando que no están tan familiarizados con estos entornos digitales para llevar adelante engaños. 

“La tendencia, según el FBI con datos del Internet Crime Complaint Center (IC3), indica que 88 mil personas mayores de 60 años en Estados Unidos perdieron más de 3,1 mil millones de dólares en fraudes a través de Internet. Es importante promover la ciberseguridad entre la población adulta mayor, con estrategias adecuadas que les permitan navegar el mundo digital de manera segura y confiable. Conocer estos fraudes es el primer paso para prevenirlos y proteger a esta población cada vez más digitalizada”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los 5 principales ciberdelitos que afectan a los adultos mayores y a los que este grupo tiene que prestar especial atención, según ESET, son:

1. Estafas por correo electrónico (phishing): Su objetivo es inducir a la descarga de un archivo o hacer clic en algún enlace potencialmente malicioso. Estos correos buscan despertar alegría o preocupación para que los usuarios reduzcan su atención y no sospechen, lo que los hace muy efectivos para los cibercriminales. 

Si se recibe un correo con la promesa de haber ganado algún premio o una oferta (alegría), una amenaza de que una cuenta se bloqueará, o de una deuda (preocupación), se debe pensar dos veces antes de hacer clic en un enlace o descargar un archivo. Si bien el phishing puede venir de supuestas entidades bancarias, de gobierno o marcas comerciales, siempre que se reciba una noticia que altere nuestras emociones e implique una acción (ya sea visitar un sitio, descargar archivos o brindar información) se debe prestar atención y validar la fuente antes de actuar. 

Desde ESET aclaran que el phishing no solamente llega por correo electrónico, sino que puede llegar por sistemas de mensajería como WhatsApp, Telegram, Instagram, e incluso mensajes de texto. Debajo un ejemplo de engaño por SMS.

2. Llamadas telefónicas fraudulentas: Delincuentes que se hacen pasar por técnicos o familiares en apuros. Siguiendo la premisa de que “al entrar la emoción se va la razón”, es importante guardar la calma y, en ninguna circunstancia, proporcionar información personal o de personas cercanas al interlocutor.

3. Estafas en la web y redes sociales: Ofertas falsas, enlaces maliciosos, perfiles fraudulentos o mensajes sospechosos. Es usual utilizar algún buscador web como Google para encontrar productos o marcas y hacer clic en los primeros resultados, ya que se confía que estos están relacionados con los sitios oficiales, pero esto no siempre es así y se debe prestar atención. Muchos delincuentes clonan sitios oficiales y pagan publicidad para aparecer en los primeros resultados de las búsquedas de los usuarios. Por otra parte, en las redes, existen perfiles de marcas o Marketplace con ofertas tentadoras, pero no siempre estos perfiles son verdaderos. Muchos ciberdelincuentes clonan perfiles de redes sociales para compartir ofertas que luego terminan en estafas. Por esta razón, si se ve un perfil de una red social que ofrece un producto a un precio sorprendentemente bajo, antes de avanzar en una compra, se debe validar la identidad, prestar atención a la cantidad de seguidores, observar qué tan activa está la cuenta, y analizar los comentarios de usuarios.

Además, tener cuidado frente a mensajes de texto, WhatsApp u otros medios de mensajería que buscan, como el phishing, estimular emociones y alentar a su víctima a proporcionar información confidencial o a hacer clic en enlaces maliciosos. También, está el secuestro de cuentas mediante estafas, en los cuales los cibercriminales se hacen pasar por agentes de los servicios de cuentas, como WhatsApp, y solicitan a su víctima un código de verificación que termina siendo la puerta de entrada para que el cibercriminal pueda tomar control de la cuenta de su víctima.

A continuación, un ejemplo de WhatsApp donde un usuario recibe un mensaje de un destinatario desconocido anunciando un supuesto beneficio que, desde luego, no existe, e intenta que transfiera dinero a cambio del supuesto beneficio.

4. Secuestro de cuentas: La comodidad de utilizar las mismas contraseñas facilita a los ciberatacantes el acceso a diversas cuentas de servicios en la red. Es importante que estas no sean las mismas ni triviales para todos los servicios, ya que, si un atacante logra acceder a una cuenta, lo más probable es que intente acceder al resto de las cuentas, y si las contraseñas son iguales, tendrán acceso automático a todos los servicios. Existen softwares especializados como KeePass para almacenar contraseñas y no tener que recordarlas.

5. QRs en acción: Los códigos QR son utilizados tanto para ver menús en restaurantes, compartir contactos o incluso para realizar pagos, es por lo que es importante prestar atención a estos códigos, ya que redirigen a algún sitio y no siempre legítimos. En el último tiempo se han detectado algunas estafas mediante el uso de códigos QR. Por esta razón, es muy importante estar seguros de qué estamos escaneando antes de hacerlo. Por supuesto, se trata de advertir que estos códigos pueden redirigirnos a sitios maliciosos.

Entre las recomendaciones prácticas para estar protegidos, ESET destaca el no compartir datos sensibles. Evitar brindar información bancaria o personal por teléfono, email o redes sociales, y siempre verificar la identidad del remitente. Además, usar contraseñas seguras, crear contraseñas únicas y robustas (una combinación de letras, números y símbolos, y guardarlas en un gestor de contraseñas si es necesario. A su vez, mantener sistemas operativos y aplicaciones actualizados para prevenir vulnerabilidades, y activar el doble factor de autenticación (2FA) en cuentas importantes como correo electrónico, sesiones bancarias y redes sociales. Por otro lado, tener cuidado con los enlaces, no hacer clic en enlaces de origen dudoso, incluso si parecen venir de personas conocidas. En cuanto a la seguridad, tener instalado un software de seguridad y escanear periódicamente los dispositivos. También evitar redes Wi-Fi públicas, no realizar transacciones bancarias o acceder a información sensible en conexiones públicas.

“La educación y la concientización son puntos clave para el cuidado de la información, sin importar la edad. En caso de ser un adulto mayor, y alguna de las recomendaciones o la misma tecnología te sobrepasa técnicamente, lo ideal es buscar alguien que te pueda acompañar, ya sea un familiar o allegado experimentado, o bien un técnico reparador de pc de confianza”, recomienda Gutierrez Amaya de ESET Latinoamérica.

ESET también comparte algunos puntos claves para saber cómo ayudar a los mayores:

• Involucrarnos activamente: Acompañarlos en la configuración de sus dispositivos y enseñarles a identificar riesgos con ejemplos concretos.

• Crear un entorno de confianza: Animarlos a que pregunten antes de tomar decisiones en línea, importante tener paciencia y estimular el dialogo pues una conversación puede evitar muchos dolores de cabeza a futuro

• Revisar juntos las plataformas: Verificar configuraciones de privacidad en redes sociales y aplicaciones. Si no contamos con el conocimiento técnico necesario, es una buena oportunidad para asesorarnos con un especialista y transmitir lo aprendido a los adultos mayores.

Aumento de estafas que utilizan clonación de voz con Inteligencia Artificial.

No es una novedad que la Inteligencia Artificial ha revolucionado el mundo, y los ciberdelincuentes han sabido aprovechar su potencial para realizar ataques de ingeniería social más realistas y sofisticados. Las técnicas que involucran la clonación de voz para suplantar a familiares, amigos o conocidos están en auge, con el objetivo obtener información privada o, directamente, dinero de sus víctimas. ESET, compañía líder en detección proactiva de amenazas, analiza la metodología de estos atacantes, cómo pueden afectar a las personas y de qué manera evitar ser víctima.

Los cibercriminales toman pequeños fragmentos de grabaciones reales y, mediante el uso de la Inteligencia Artificial y los patrones de voz, crean conversaciones y frases para llevar a cabo sus engaños, con consecuencias tan graves como costosas.  Estas muestras las obtienen de grabaciones de voz o de videos que estén publicados en redes sociales como Instagram o TikTok.

Para dimensionar cuál es su impacto, la Comisión Federal de Comercio de los Estados Unidos informó que, solo en 2023, el país perdió 2.700 millones de dólares solo por estafas. En esa línea, Starling Bank, un banco británico que opera de manera online, alertó sobre la preponderancia de este tipo de estafas en el Reino Unido. Una encuesta realizada a más de 3.000 personas reveló que más de una cuarta parte de los adultos afirma haber sido víctima de una estafa de clonación de voz mediante inteligencia artificial al menos una vez en el año. Además, el 46% de los encuestados mencionó que desconocía la existencia de estas estafas.

El crecimiento de los fraudes que involucran Inteligencia Artificial llevó al FBI a emitir un comunicado para alertar a las personas: “Los atacantes están aprovechando la IA para crear mensajes de voz, videos y correos electrónicos muy convincentes, lo que facilita esquemas de fraude contra individuos y empresas por igual. Estas tácticas sofisticadas pueden resultar en pérdidas financieras devastadoras, daño a la reputación y compromiso de datos confidenciales”, remarcaron desde el organismo.

Desde ESET advierten que ante este tipo de estafas que involucran la ingeniería social, es fundamental prestar especial atención a los mensajes inesperados que solicitan dinero o credenciales con urgencia. En estos casos, se sugiere devolver la llamada al familiar o amigo en cuestión utilizando un número de teléfono conocido.

Otra medida recomendada es establecer una “frase segura”, que sea acordada previamente entre familiares y amigos, para verificar la identidad de la persona que realiza la llamada.

Asimismo, es esencial implementar la autenticación multifactor siempre que se pueda. Se trata de agregar una capa de seguridad extra, con el objetivo de que los ciberdelincuentes no puedan acceder a nuestras cuentas y sistemas.

“En el caso de las empresas, más allá de combinar soluciones para reducir la cantidad de correos electrónicos, llamadas y mensajes de phishing que llegan a sus colaboradores, es primordial que puedan educar y concientizar a sus equipos de colaboradores para que puedan detectar los engaños y no caer en la trampa”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Falso CapCut con IA, instala software espía

ESET, compañía líder en detección proactiva de amenazas, identificó un sitio falso de CapCut que, supuestamente permite crear videos utilizando la IA. Sin embargo, tras ingresar un prompt para la creación del video, el sitio simula un proceso y luego ofrece descargar el resultado. En realidad, lo que se descarga es un troyano. Este caso no es aislado, sino que forma parte de una campaña más amplia en la que también se han identificado sitios falsos que suplantan la identidad de otras marcas, como Adobe o Canva.

Detalles del caso:

• El ejemplo reportado por el usuario de X g0njxa, se centra en el sitio falso “capcutproia”, el cual simula ser una herramienta para crear videos con la ayuda de la Inteligencia Artificial. Al ingresar, se presenta una web muy similar al sitio oficial.

• Una vez dentro, el sitio solicita escribir un prompt o subir una imagen de referencia para crear el video deseado. El sitio simula que procesa el pedido.

• Al terminar de procesar el pedido, ofrece descargar el resultado. Al hacer clic en la descarga, se obtiene un archivo llamado “creation_made_by_capcut.mp4 – Capcut.com”.

“Es importante marcar que el archivo que se obtiene de la descarga es un troyano. Es decir, un archivo que dice ser algo que en realidad no es. En este caso puntual el archivo que se presenta como el video generado en realidad descarga una herramienta que permite a un tercero conectarse remotamente en el equipo del usuario. ESET detecta el archivo que se descarga como Win32/RemoteAdmin.ConnectWiseControl.E. Puntualmente en Latinoamérica no se evidenciaron detecciones, pero sí en países como República Checa y Sri Lanka”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

La herramienta que descargada es un instalador de una herramienta similar a Teamviewer. Si bien algunas soluciones de seguridad pueden detectar este archivo como una PUA (Aplicación Potencialmente no Deseada), ya que se trata de una herramienta legítima, en este contexto su uso tiene una clara intención maliciosa.

“La mayoría de las aplicaciones de control remoto cuentan con la opción de generar un ejecutable preconfigurado para conectarse con una IP o usuario específico, lo cual es útil para la asistencia virtual, pero también para los atacantes. Así, basta con que la víctima abra el archivo, y en dos o tres clicks le dará el control de su equipo al cibercriminal sin saberlo”, advierte Martina López, investigadora del equipo de Laboratorio de ESET Latinoamérica.

Además del sitio falso de CapCut, los responsables detrás de esta campaña maliciosa también están creando sitios similares que se hacen pasar por herramientas para crear contenido con IA simulando ser de marcas como Canva o Adobe. Según reportó la empresa Silent Push a través de X, existen al menos 13 sitios similares. Todos con el mismo comportamiento: hacen creer a las víctimas que descargan un archivo generado con la herramienta, pero en realidad descargan una herramienta que permite el acceso remoto a la máquina del usuario.

Recomendaciones de Seguridad 

Las campañas utilizan sitios falsos para robar información o dinero son muy comunes. Desde ESET recomiendan adoptar buenas prácticas para identificar sitios legítimos y evitar caer en fraudes:

1. Verificar siempre la URL antes de acceder o ingresar datos.

2. Evitar descargas innecesarias en herramientas que funcionan desde la web.

3. Implementar una solución de seguridad, a fin de analizar los archivos descargados antes de ejecutarlos.

4. Mantenerse informado y consultar fuentes confiables sobre campañas activas y sus riesgos. 

Loot Boxes: el riesgo oculto en los video juegos.

Históricamente, los videojuegos seguían un modelo económico sencillo: pagar una vez y jugar para siempre. Hoy, muchos han adoptado los ecosistemas free-to-play, donde los jugadores obtienen acceso gratuito al juego, pero son incentivados a gastar dinero en extras para acelerar el progreso, obtener ventajas o mejorar la experiencia de juego. Así surgen las loot boxes (o cajas de botín), las apuestas por skins y otras microtransacciones que se convirtieron en una característica controvertida de muchos videojuegos y donde la línea que separa el entretenimiento de las apuestas se vuelve difusa. ESET, compañía líder en detección proactiva de amenazas, advierte que las cajas misteriosas selladas y otras recompensas similares a las de los casinos, pueden contribuir al desarrollo de adicción al juego entre niños y adolescente, quienes muchas veces no son conscientes de que están participando en una dinámica de apuestas. 

“Las loot boxes, no muy distintas de las tarjetas raspa y gana de la lotería o de los huevos de chocolate que contienen juguetes de plástico aleatorios, son quizá el tipo más controvertido de recompensas dentro del juego. Los juegos principales, como Candy Crush, Fortnite, FIFA, League of Legends y Final Fantasy, también han dependido de los ingresos de estas "bolsas de botín" y otras microtransacciones para sustentar los costos de desarrollo. Los estudios estiman que para finales de 2025, las loot boxes generarán más de 20.000 millones de dólares en ingresos”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de ESET Latinoamérica.

Las loot boxes funcionan de la siguiente manera: un jugador gasta dinero para comprarla o la recibe como recompensa, sin saber lo que contiene. Ese contenido es aleatorio, lo que convierte en un juego de azar. Las recompensas raras y muy deseables son intencionadamente escasas, lo que fomenta el gasto repetitivo. 

“No es de extrañar, por tanto, que esta mezcla de suspenso, recompensa y refuerzo intermitente fomente el gasto adictivo, especialmente entre los jóvenes. El problema se agrava aún más por la accesibilidad de los dispositivos móviles y la falta de controles de verificación de la edad en muchas plataformas. Mientras que los casinos están sujetos a normativas y requisitos de licencia, muchos videojuegos operan en una zona gris legal. Para los jugadores jóvenes, el riesgo de gasto compulsivo es especialmente real. Las consecuencias pueden ser graves, incluido el desarrollo de conductas de juego y pérdidas financieras significativas, a menudo sin el conocimiento de personas adultas a cargo”, agrega el investigador de ESET.

Medidas legislativas sobre loot boxes en distintos países.

Algunas naciones han comenzado a tomar medidas para regular o prohibir las loot boxes y otras microtransacciones dentro de los videojuegos: 

• Australia: ha promulgado una ley para impedir que los niños accedan a juegos con loot boxes.

• Estados Unidos: varios estados están evaluando medidas para restringir estas mecánicas.

• Reino Unido: La Comisión del Juego del Reino Unido no ha prohibido las loot boxes, pero ha dejado la responsabilidad en la industria del juego para autorregularse y limitar el acceso a menores.

• Japón: ha prohibido un tipo específico de loot boxes.

• Bélgica: Prohibió las loot boxes en 2018, aunque la efectividad de la medida ha sido cuestionada.

• Países Bajos: algunos juegos con loot boxes han sido prohibidos

• España: está avanzado en regulaciones para controlar esta práctica.

¿Cómo mitigar los riesgos?  Consejos para padres y madres para reducir la exposición de niños y adolescentes a este tipo de dinámicas, ESET recomienda:

• Hablar con los niños y niñas sobre la mecánica en los juegos, ya que es muy probable que no se den cuenta de que están incurriendo en un comportamiento similar a las apuestas. Deben entender la diferencia entre ganar recompensas en un juego y gastar dinero real para comprar objetos al azar.

• Supervisar los juegos y revisar si tienen loot boxes u otras microtransacciones.

• Utilizar funciones de la propia plataforma que permiten establecer límites de gasto y restringir o desactivar las compras dentro del juego. Revisar su configuración para evitar gastos accidentales o excesivos.

• Activar los controles parentales que pueden bloquear el acceso a determinados juegos o compras dentro de la aplicación y/o permitirte establecer límites de gasto o aprobar las compras realizadas.

• Prestar atención a su actividad en internet, incluidas los influencers de las redes sociales a los que siguen.

• Dar un ejemplo positivo: apartar la vista de las propias pantallas y fomentar pasatiempos offline para reducir el tiempo que se pasa frente a la pantalla. 

Estafas más comunes en apuestas online y cómo evitarlas

El negocio de los casinos en línea, el póker virtual y las apuestas deportivas está en auge. En 2023 representó un mercado de 84 mil millones de dólares a nivel global, y se espera que para 2030 el valor de mercado se triplique. En el Día Internacional de Internet Segura, y en el contexto del aumento de las apuestas online en personas de todas las edades, ESET, compañía líder en detección proactiva de amenazas, advierte que a medida que el sector crece con plataformas cada vez más accesibles, los estafadores aumentan sus ataques en busca de ganancias rápidas y apuntan al espacio de las apuestas y los juegos de azar en línea con mayor frecuencia.

“La lista de posibles canales de fraude aumenta día a día: desde aplicaciones maliciosas y mensajes de phishing, hasta casinos fraudulentos diseñados para quedarse con el dinero de los apostadores. Los estafadores suelen llegar a sus víctimas a través de canales similares como el correo electrónico, aplicaciones de mensajería y redes sociales, así como sitios maliciosos de casinos, aplicaciones de juego e incluso foros de apuestas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las 6 principales estafas relacionadas con el juego y las apuestas según ESET son:

1. Phishing: los estafadores se hacen pasar por casinos o casas de apuestas legítimas para obtener datos personales y financieros de las víctimas. Sus mensajes, enviados por correo electrónico, redes sociales o apps de mensajería, pueden prometer ofertas especiales o alertar sobre problemas en la cuenta para engañar a los usuarios.

2. Estafas de tareas: la FTC advirtió recientemente de la creciente amenaza de un tipo específico de estafa laboral en línea en la que se contactan a las víctimas para ofrecerles trabajo, normalmente a través de mensajes no solicitados, los estafadores ofrecen trabajos falsos relacionados con la “optimización de aplicaciones” o la “promoción de productos”, atrayendo a las víctimas con pagos iniciales. Luego, las obligan a invertir su propio dinero para continuar, el cual nunca recuperan. En 2024, estas estafas generaron pérdidas de $220 millones.

3. Casinos maliciosos: algunos casinos fraudulentos atraen a jugadores con bonos exagerados y promesas irreales. Imponen restricciones ocultas, bloquean retiros con excusas o desaparecen con el dinero depositado.

4. Aplicaciones falsas: Apps fraudulentas, promocionadas con anuncios llamativos y reseñas falsas, permiten ganar pequeñas sumas inicialmente para generar confianza. Luego, bloquean las ganancias cuando los usuarios hacen apuestas mayores y desaparecen con su dinero.

5. Estafadores de pronósticos: falsos expertos aseguran tener sistemas “infalibles” o acceso a información privilegiada para apuestas exitosas, cobrando por sus consejos. Sin embargo, todo es un engaño.

6. Estafa del partido arreglado: los estafadores cobran a grupos de apostadores por información sobre supuestos partidos amañados. Dividen a las víctimas en grupos con predicciones diferentes, dejando que solo unos pocos ganen, incentivándolos a apostar más en futuras ocasiones hasta ser estafados.

En este contexto, las mejores tácticas para apostar con seguridad y para mantener a los estafadores a distancia, según ESET, son:

• Utilizar solo plataformas de apuestas verificadas y autorizadas, con aprobación reglamentaria.

• Ser escéptico ante cualquier oferta de grandes bonos y tiradas gratuitas ilimitadas, y leer siempre la letra pequeña: las ofertas de grandes bonos o tiradas gratuitas ilimitadas suelen llevar trampas ocultas.

• Activar la autenticación multifactor (MFA) para añadir una capa adicional de seguridad a las cuentas y proteger los inicios de sesión de accesos no autorizados.

• Nunca compartir información personal o financiera, sobre todo los datos de acceso, con ninguna persona.

• Comprobar regularmente las cuentas bancarias y de apuestas para detectar cualquier actividad inusual.

• Mantenerse lejos de los pronosticadores que se pongan en contacto por Internet, especialmente los que afirmen tener información privilegiada o acceso a partidos arreglados.

• Ignorar los anuncios y personas vinculadas a nuevas cuentas de redes sociales; limitarse a plataformas y personas con un historial creíble.

• Descargar aplicaciones de tiendas legítimas (por ejemplo, Apple App Store y Google Play) y comprobar antes las calificaciones y reseñas de los desarrolladores.

“Como cualquier actividad en línea, el juego conlleva sus propios riesgos. Apuesta de forma responsable y mantén tu información a salvo”, concluye Gutiérrez Amaya de ESET.

No esperes un hackeo: 6 razones para cambiar tus contraseñas.

ESET, compañía líder en detección proactiva de amenazas, comparte las 6 principales razones por las que es necesario cambiar las contraseñas, destacando la importancia de este hábito para la seguridad digital.

Las causas por las que se deben cambiar las contraseñas y mantener así más protegidas las cuentas y servicios, son:

1. Contraseña simple: Una contraseña simple, de no más de 7 caracteres, puede ser vulnerada por un cibercriminal en solo dos segundos. Sí, dos segundos. Vale recordar que las contraseñas son la puerta de entrada a nuestra vida digital: redes sociales, cuentas bancarias y otros servicios en los que se almacenan datos personales o información sensible.

Por ello, si aún cuentas con una contraseña simple y corta (léase “123456” o “password”), es fundamental que sea cambiada por una mucho más robusta y larga, que contenga números, mayúsculas y caracteres especiales.

2. Contraseña reutilizada: Si utilizas la misma contraseña para diferentes cuentas o servicios, ese es otro gran motivo para cambiarla por otra. A modo de ejemplo, sería igual que utilizar la misma llave para entrar a una casa, encender el automóvil y también abrir la caja fuerte.

Por eso, es muy importante emplear una contraseña única para cada cuenta. Si tienes dudas de cómo armarla, ESET comparte consejos para crear una contraseña única y segura.

3. Contraseña filtrada en una brecha de datos: Si tu contraseña fue filtrada en alguna brecha de datos, es motivo más que suficiente para actualizarla de manera rápida.

Para saber si tu contraseña ha sido filtrada, a través de Have I Been Pwned, podrás verificar si la dirección de correo electrónico fue filtrada alguna vez y dónde. Esta base de datos se actualiza constantemente, con direcciones y contraseñas que fueron filtradas recientemente.

4. Contraseña no actualizada por mucho tiempo: Dado que nuestras contraseñas protegen información tan importante como sensible, actualizarlas periódicamente representa un muy buen hábito para mantener la vida digital segura. Por otro lado, la contraseña anterior no debe ser reutilizada en un futuro ni tampoco en otra cuenta o servicio.

5. Contraseña compuesta por datos personales: Para un cibercriminal, es muy fácil hoy encontrar información personal o gustos de los usuarios a través de todo lo que estos comparten en sus redes sociales. Desde lugares de interés, nombres de mascotas, nombres de los hijos, fechas importantes, equipos deportivos, libros, música, entre tantísimos otros.

“Para entender la criticidad de este punto, es vital tener en cuenta que los cibercriminales suelen descifrar contraseñas de usuarios mediante ataques de fuerza bruta, que consisten en probar con grandes volúmenes de palabras de diccionarios, datos públicos, contraseñas de uso común o datos de filtraciones (a base de prueba y error) hasta dar con la credencial correcta. Por ello, si aún cuentas con este tipo de contraseñas, también recomendamos actualizarla de inmediato”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

6. Contraseña compartida: lamentablemente, compartir la contraseña para acceder, por ejemplo, a una cuenta de un servicio de streaming es un fenómeno generalizado, pero también peligroso. Es que una vez que se comparte la contraseña, se pierde el control y no se sabe cómo la otra persona manipulará la clave y si la compartirá con otra persona.

De hecho, si se comparte las credenciales a una plataforma de compras, la persona con acceso podría iniciar sesión y ver métodos de pago guardados y hasta usar la información para realizar una transacción. Por ello, si la contraseña fue compartida en algún momento, lo más aconsejable es cambiarla por otra.

“Contar con contraseñas únicas, robustas y actualizadas es un gran paso hacia adelante respecto de la protección de las cuentas, servicios e información personal. Herramientas como el gestor de contraseñas y la activación de un doble factor de autenticación son dos grandes aliadas para reforzar el buen hábito de tener contraseñas seguras. En el marco del Change your password day, reforzamos la importancia de contar con claves de acceso seguras, robustas, ya que representan la puerta de entrada a nuestra vida digital”, concluye Gutiérrez Amaya de ESET Latinoamérica. 

28 de enero: Día Internacional de la Protección de Datos Personales

El contexto mundial evidencia que los ciberincidentes van en aumento año a año y que los datos son el oro de este siglo, considerándolos un bien valioso no solo para empresas y organismos, sino también para cibercriminales que encuentran en ellos una fuente de riqueza en su explotación. Es por esto que, cada 28 de enero, ESET, compañía líder en detección proactiva de amenazas, conmemora el Día Internacional de la Protección de Datos Personales y alienta a reflexionar acerca de la importancia de asegurar un manejo de los datos que se alinee tanto con los derechos sobre la protección de datos de los ciudadanos, como con garantizar la protección de la información frente a los cibercriminales que siempre están al acecho.

El “Día Internacional de la Protección de Datos Personales” se conmemora la apertura a la firma del Convenio 108 en 1981, conocido como el primer tratado internacional sobre protección de datos, una iniciativa del Consejo de Europa. La protección de datos personales no solo salvaguarda el derecho humano a la privacidad, sino que también evita violaciones que podrían resultar en consecuencias graves, como el robo de identidad o el fraude financiero. 

“Tomar conciencia sobre la protección de datos es casi obligatorio para navegar el ciberespacio y utilizar sistemas digitales de una forma controlada y segura. Esto sin dejar de estar atentos no solo a las medidas preventivas que se pueden tomar, sino también a cuáles son los derechos y obligaciones que tenemos como personas usuarias de los múltiples sistemas de almacenamiento de datos a los que nos exponemos cada vez con más frecuencia”, comenta Fabiana Ramírez Cuenca, investigadora de Seguridad Informática del Laboratorio de ESET Latinoamérica. 

Las principales preocupaciones de este año en torno a los datos, para ESET, son la privacidad, ya que los sistemas de inteligencia artificial (IA), en auge, pueden recopilar y procesar grandes cantidades de datos personales, y esto aumenta el riesgo de violaciones a este derecho. Por otro lado, la transparencia en el funcionamiento y el proceso de toma de decisiones de la IA ya que puede llevar a desigualdades y discriminación. 

En Latinoamérica existen avances legislativos en varios países orientados a la actualización de las normativas y regulaciones para adaptarse rápidamente a los desafíos que imponen las nuevas tecnologías, en favor de garantizar los derechos y la protección de los datos de los ciudadanos.

“Es necesario que las legislaciones del mundo se pongan al día y sean capaces de arbitrar medios para resolver las problemáticas del uso de esta tecnología. Aún hay varias dudas al respecto en tanto muchas veces no está claro que país o estado debe juzgar por daños hechos con IA o quien es responsable”, agrega la investigadora de ESET Latinoamérica. 

A nivel internacional se ve un proceso de regulación, donde se destaca la Ley de IA de la Unión Europea, y el Blueprint y la IA Act, ambas de los Estados Unidos. Además, la ONU a través de UNICEF, viene favoreciendo las legislaciones a través de recomendaciones desde el año 2021 y en Latinoamérica ya existen las primeras normas, como la de Perú. Más recientemente, el PARLATINO emitió una ley modelo que servirá de inspiración para los países miembros.

“La mayoría de los países de LATAM están tratando al menos proyectos de ley, los más avanzados en la materia son Perú, Uruguay y Chile. Para este año, más allá de IA y protección de datos como tal, esperamos el avance sobre normas exclusivas sobre ciberseguridad a nivel organizacional y tecnológico. Esto se debe a que como consecuencia del crecimiento del cibercrimen, la ciberseguridad se ha vuelto una parte esencial del funcionamiento de cualquier organización y es por eso que es de interés su regulación”, analiza Ramírez Cuenca de ESET. 

El robo de información una amenaza creciente en 2025

La actividad infostealer de 2024 hace pensar que este tipo de amenaza continuará siendo central durante 2025. Desde ESET, compañía líder en detección proactiva de amenazas, advierten que las organizaciones deberán reforzar sus defensas y adoptar estrategias preventivas para mitigar los riesgos.

“En el último semestre de 2024 se observaron cambios en el panorama de los infostealers. Estos malware “silenciosos”, diseñados para robar información confidencial, mostraron un aumento de la actividad en el segundo semestre y se posicionan para este 2025 como amenazas centrales para la seguridad de las organizaciones, sobre todo en aquellas que no implementan la autenticación de dos factores”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según los datos presentados en el ESET Threat Report del último semestre del año pasado, el alza de la actividad infostealer estuvo impulsada, entre otros, por el crecimiento de la actividad de Formbook, y Lumma Stealer, que sorprendió con un aumento récord de detecciones. Estos infostealers utilizan el modelo MaaS ("malware as a service") en los que los cibercriminales ofrecen un paquete de malware en mercados ilegales, con herramientas y plataformas a cambio de una suscripción. Este modelo permite a actores maliciosos menos capacitados, lanzar ataques y expandirse rápidamente.

ESET analiza los infostealers más destacados:

Formbook: Este malware, si bien es conocido al menos desde 2016, escaló en el ranking de detecciones hacia el final de año pasado y se posicionó como principal amenaza infostealer con un aumento en sus detecciones en la telemetría ESET de un 200%. 

También conocido como XLoader, se difunde principalmente en adjuntos maliciosos en correos electrónicos de phishing. Es un infostealer que recolecta datos del portapapeles, registros de tecleo, capturas de pantalla y cachés de navegadores web.

Lumma Stealer: Logró posicionarse por primera vez en el top 10 de detecciones de ESET en el segundo semestre de 2024. En total, en ese periodo mostró un crecimiento récord de 395% más de 50.000 detecciones registradas. El mayor número de detecciones se focalizaron en Perú, Polonia, España, México y Eslovaquia.

Se dirige a las extensiones de navegador para autenticación de dos factores, las credenciales de usuario y billeteras de criptomonedas.

Algunos de los métodos para su distribución fueron a través de repositorios de GitHub, haciéndose pasar por un editor de imágenes IA EditPro, o a través de archivos e instaladores parcheados, principalmente los KMS de copias ilegítimas de Windows. En una investigación de ESET Research, de octubre, se descubrió que varios criptors contenían este infostealer listo para que infectar dispositivos de jugadores que buscaban bots de granja o autoclickers (mejoras para el juego) del popular juego Hamster Kombat, en repositorios de GitHub.

RedLine: Activo desde 2020, luego de la Operación Magnus de octubre 2024, se observó un declive en la actividad de este infostealer aunque no ha desaparecido por completo. Se han observado campañas de phishing pasivas que entregan RedLine en comentarios de YouTube o en repositorios de GitHub. 

Si bien el creador de este malware no fue arrestado, los expertos estiman que no habrá un intento de resucitarlo. “Si bien podría, en teoría, comprar o alquilar nuevos servidores y usar el código existente para configurar nueva infraestructura y distribuir paneles a los afiliados, ha sido identificado y acusado, por lo que probablemente querrá mantener un perfil bajo. Podemos esperar que el vacío de poder dejado por el desmantelamiento de RedLine conduzca a un aumento en la actividad de otros infostealer MaaS”, advierte Alexandre Côté Cyr, investigador de malware de ESET, en el reporte.

Para mitigar esta amenaza, ESET comparte las siguientes medidas proactivas para organizaciones:

1. Implementar la autenticación multifactorial en todos los accesos.

2. Educar a las y los empleados sobre los riesgos de correos de phishing.

3. Monitorear y restringir el acceso a repositorios no confiables.

4. Invertir en soluciones de seguridad que detecten y prevengan malware avanzado.

“Los infostealers continuarán desempeñando un rol central en las violaciones de datos, y pone en relieve que serán fundamentales en el robo de credenciales en entornos que no apliquen la autenticación de dos factores. Además, el modelo de MaaS, que facilita el acceso a estas herramientas incluso para atacantes con poca experiencia, amplifica el riesgo”, concluye Gutiérrez Amaya de ESET Latinoamérica. 

Estafas más comunes en Discord y cómo evitarlas

Discord es una plataforma gratuita y es uno de los servicios de mensajería más usados por distintas comunidades, pues permite crear servidores de chat, voz y video con el que sus usuarios pueden interactuar sobre temáticas específicas, haciendo que existan miles comunidades en diferentes partes del mundo. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que su popularidad y características han llamado la atención de los ciberdelincuentes para utilizarla con fines nada éticos, por ejemplo, para fraudes y estafas con criptomonedas, o para distribuir malware, por mencionar los principales.

Dentro de foros de Discord existen reportes sobre estos métodos de estafas o fraudes, de los cuales ESET destaca los más recurrentes:

Bots de Scam/Phishing: En este método de estafa, a la víctima le llega un mensaje directo a su bandeja en donde un bot lo invita a hacer clic en un enlace malicioso que puede desencadenar la instalación de complementos con malware y el robo de la información del dispositivo infectado, o incorporarlo en una botnet para el cryptojacking. Muchas de las estafas que vienen a continuación son derivadas de este primer método.

Estafas de criptomonedas: Los cibercriminales los utilizan para invitar a los usuarios a ingresar en enlaces que suplantan la identidad de compañías que usan a las criptomonedas como medio de transferencia, ofreciendo un pequeño premio en la criptodivisa correspondiente y que para poderlo hacer válido es necesario registrarse en el enlace adjunto.

La víctima que haga click en estos enlaces falsos, ingresará a una página similar en donde se le pedirá que finalice el registro y se le solicitará que haga un depósito de la criptomoneda o que pase por una comprobación de identidad para dar el premio en sí. En este procedimiento se le pedirá su dirección, datos de contacto, foto del documento de identidad, etc. Una vez recopilada la información con éxito, los estafadores pueden vender esta información a un buen precio en mercados negros dentro de la dark web.

Estafas de Discord Nitro: Nitro es la versión de paga de Discord, la cual permite a los usuarios desbloquear el acceso a emojis y stickers personalizados en cualquier servidor, la transmisión de video en alta definición o enviar mensajes más largos, entre sus principales diferencias con respecto a la versión gratuita. Sin embargo, existen dos variantes de estafas que se aprovechan de estas características, y juegan con la supuesta posibilidad de obtenerlas gratis:

En la primera se emplean los bots de Discord, donde se envían mensajes masivos a los usuarios de forma aleatoria -o bien se agregan mensajes públicos a un canal o servidor- a partir de los cuales los usuarios pueden conseguir una suscripción gratuita a Nitro. Las víctimas entran a un enlace de tipo phishing que las lleva a una página de inicio de sesión falsa. Una vez que inician sesión a través de esta página, los estafadores se apropian de todos los datos introducidos como pueden ser credenciales, información de la cuenta en Discord, incluso dinero.

En la segunda, las víctimas pueden recibir un mensaje de un amigo ofreciéndoles probar un nuevo juego que, por supuesto, será un malware u otro bot de spam. Se tiene el antecedente de que incluso las cuentas de los amigos pueden ser suplantadas y podrían ser utilizadas por los estafadores para enviar enlaces de phishing o atraer a las víctimas para que les envíen información o en el peor escenario, dinero.

Descarga de malware: Discord permite transferir archivos de hasta 25 MB en la versión gratuita, pero si se tiene Nitro la transferencia puede ser de hasta 500 MB. Los ciberdelincuentes aprovechan esta característica para enviar archivos con malware ya sea disfrazados como un juego o un video.

Estafa de baneo en Discord: Otra estafa empleada por los ciberdelincuentes es la llamada “de baneo”. Las víctimas recibirán un mensaje de otros usuarios o bots afirmando que han denunciado su cuenta y que para poder habilitarla es necesario realizar varios procesos de entre los cuales destaca que a la víctima se le pedirán datos personales como correo, contraseña y datos financieros como su número de tarjeta de crédito, NIP y CVV para poder reactivar la cuenta supuestamente.

ESET comparte algunos consejos de seguridad para mantenerse protegido en Discord:

• Estar actualizado en cuanto a estafas más usadas en Discord y el modus operandi de los ciberdelincuentes.

• Contar con el software siempre actualizado, tanto de la plataforma si se emplea en su versión de escritorio o de aplicación móvil.

• No descargar archivos de fuentes desconocidas.

• No dar clic en enlaces que sea poco fiables.

• Desconfiar de los ofrecimientos de opciones gratuitas, ninguna característica que sea de paga pasa a ser gratis dentro de la plataforma, así como así.

• Activar un doble factor de autenticación. Contar con una solución de seguridad en el dispositivo móvil o equipo de cómputo.

Para saber más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/estafas-enganos/estafas-mas-comunes-en-discord-y-como-evitarlas/