¿Es seguro comprar en Temu?

Comprar en línea se ha convertido en una práctica cada vez más habitual para las personas, y así como las posibilidades son cada vez más grandes, también crecen los engaños vinculados a estas plataformas. ESET, compañía líder en detección proactiva de amenazas, analiza Temu, una plataforma de compras online china que permite comprar directamente a los fabricantes, las estafas más comunes que la rodean y de qué manera mantenerse protegidos frente a estos.

Temu es la filial occidental de Pingduoduo, una importante empresa china especializada en la venta al por menor en línea, la cual ofrece a los compradores la posibilidad de adquirir productos directamente a fabricantes que destacan por ofrecer precios muy bajos. De hecho, según reporta Statista, es la aplicación de compras más descargada en el mundo. Adicionalmente, brinda a sus usuarios la posibilidad de generar créditos para futuras compras, a través de juegos de ruleta o incentivando a otros a unirse al sitio.

Si bien pareciera ser el sitio ideal para realizar compras, es interesante revisar por ejemplo las reseñas de los clientes: Al momento, el sitio presenta una calificación de 2,45/5 de los visitantes del Better Business Bureau (BBB) de Estados Unidos. Por otro lado, el 40% de las reseñas efectuadas en Trustpilot son de una estrella. Las principales críticas de los usuarios se basan en el spam que generan en la bandeja de entrada, lo dificultoso que es recibir reembolsos y también que muchas veces los artículos llegan en malas condiciones o directamente no llegan.

“Claro que lo enunciado anteriormente no hace de Temu un sitio fraudulento. Pero su popularidad sí lo convierte en un sitio de interés para los estafadores, que buscarán realizar sus estafas aprovechándose de consumidores desprevenidos”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las principales estafas relacionadas a Temu, son:

Phishing: Es preciso prestar atención a aquellas publicidades que aparecen en diferentes sitios web o que llegan a través de correos electrónicos no solicitados, las cuales dicen otorgar importantes descuentos en diversos productos de Temu. Muchas de ellas se valen de la ingeniería social para crear una sensación de urgencia para acceder a ofertas increíbles por tiempo limitado, y desde ESET recomiendan tener en cuenta que si es algo demasiado bueno para ser verdad, probablemente no lo sea. Lo que puede suceder es que al hacer clic, en realidad se ingresará a un sitio de phishing, mediante el cual los cibercriminales accederán a los datos personales y financieros que allí se ingresen.

Falsa publicidad de celebridades: Otro de los vectores de ataque que utilizan los estafadores consiste en publicaciones falsas de celebridades que se presentan como si tuvieran un vínculo comercial con Temu. El objetivo final es similar al del primer punto: redirigir a un sitio falso para así obtener los datos personales y de la tarjeta de crédito de la víctima.

Productos al límite de la infracción: Si bien de momento no hay evidencia de que Temu incluya productos falsificados en su catálogo, si se han identificado informes de productos duplicados, los cuales rozan los límites de la infracción de patentes (aunque sin cruzarlos). Los productos Apple pueden ser un gran paradigma, ya que es posible que se presenten artículos similares, pero a un precio muy por debajo del real.

Recientemente, Tim Griffin, fiscal general de Arkansas, presentó una demanda acusando a Temu de espiar los mensajes de texto de sus usuarios y de recolectar datos personales sin autorización. Según informa el sitio Wired, la empresa china se mostró “sorprendida” por la demanda e intentó desligarse de inmediato. Más allá de lo que resulte de esta situación judicial, desde ESET comentan que siempre es bueno prestar atención a los apartados de privacidad y seguridad de todo tipo de plataformas.

Debido a este escenario, Temu ha buscado mejorar su seguridad, por ejemplo, con el lanzamiento de un Bug Bounty (o programa de recompensas por errores). De todos modos, el equipo de investigación de ESET Latinoamérica comparte diversas medidas que como usuarios se pueden implementar para hacer de la compra una experiencia placentera y sobre todo, segura:

• No hacer clic en aquellos enlaces que están incluidos en correos electrónicos no solicitados, o en anuncios.

• En caso de querer consultar una oferta de Temu anunciada de manera online, es más prudente visitar el sitio de forma independiente.

• No es recomendable guardar los datos de pago en la cuenta. Adicionalmente, es preferible tener configurada la autenticación de dos factores.

• No creer en aquellas ofertas que piden ingresar un código de referencia en Temu, sobre todo aquellas que son presentadas por celebridades.

• Si bien Temu ofrece ofertas especiales y precios muy bajos, es mejor prestar atención a los grandes descuentos que se aplican porque en general podrían ser una estafa. 

Cuidado con las amenazas de malware disfrazadas de herramientas IA.

La IA Generativa (GenAI) está causando furor en todo el mundo. ESET, compañía líder en detección proactiva de amenazas, advierte que su popularidad y uso generalizado también han atraído la atención de los ciberdelincuentes, y ha dado lugar a ciberamenazas que giran en torno a ella, o en cómo la tecnología puede utilizarse indebidamente para ayudar a los estafadores a crear mensajes de phishing convincentes, producir código malicioso o buscar vulnerabilidades.

¿Cómo utilizan la GenAI como señuelo? Los ciberdelincuentes tienen varias formas de engañar a los usuarios para que instalen malware disfrazado de aplicaciones GenAI. ESET comparte algunos ejemplos

Sitios de phishing: En la segunda mitad de 2023, ESET bloqueó más de 650.000 intentos de acceso a dominios maliciosos que contenían "chapgpt" o un texto similar. Es probable que las víctimas hayan llegado allí después de hacer clic en un enlace en las redes sociales, o de un mensaje de correo electrónico/móvil. Estas páginas de phishing pueden contener enlaces que instalen malware disfrazado de software GenAI.

Extensiones del navegador web: El informe de amenazas H1 2024 de ESET detalla una extensión de navegador maliciosa distribuida a través de anuncios de Facebook que prometían llevar al sitio web oficial de Sora de OpenAI o Gemini de Google. Aunque la extensión se hace pasar por Google Translate, en realidad es un infostealer, diseñado para obtener las credenciales de Facebook de los usuarios.

Desde agosto de 2023, la telemetría de ESET registró más de 4.000 intentos de instalar la extensión maliciosa. Otras extensiones maliciosas afirman ofrecer funcionalidades GenAI, y en realidad pueden hacerlo de forma limitada, así como entregar malware, según Meta.

Aplicaciones falsas: Varios informes muestran aplicaciones GenAI falsas publicadas en tiendas de aplicaciones móviles, muchas que contenían malware. Algunas cargadas de software malicioso diseñado para robar información confidencial del dispositivo del usuario, como credenciales de inicio de sesión, datos de identificación personal, información financiera y mucho más.

Anuncios maliciosos: Los actores maliciosos aprovechan las herramientas GenAI para engañar a los usuarios y que hagan clic en anuncios maliciosos. Este tipo de anuncios en Facebook son especialmente frecuentes, Meta advirtió el año pasado que muchas de estas campañas están diseñadas para comprometer a “empresas con acceso a cuentas de anuncios en todo Internet”.

Los delincuentes secuestran una cuenta o página legítima, cambian la información del perfil para que parezca una página auténtica de ChatGPT u otra página de la marca GenAI, y luego utilizan las cuentas para publicar anuncios falsos. Estos anuncios ofrecen enlaces a la última versión de las herramientas GenAI, pero en realidad despliegan malware de robo de información, según investigadores.

Desde ESET aseguran que como usuarios es muy común caer en este tipo de trucos, sobre todo si se tiene prisa, o si se ve el contenido directamente desde un dispositivo móvil. En lo que respecta a la GenAI, los creadores de malware son cada vez más sofisticados. Utilizan múltiples canales para difundir sus mentiras. Y disfrazan el malware de todo, desde ChatGPT y el creador de vídeos Sora AI, hasta el generador de imágenes Midjourney, DALL-E y el editor de fotos Evoto. Muchas de las versiones que promocionan aún no están disponibles, lo que atrae a la víctima: "ChatGPT 5" o "DALL-E 3", por ejemplo. Se aseguran de que el malware siga volando bajo el radar y dedican mucho tiempo y esfuerzo a asegurarse de que sus señuelos (como los anuncios de Facebook) tengan el aspecto adecuado”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Algunas buenas prácticas probadas y comprobadas que mantendrán a los usuarios lejos de las amenazas GenAI, según ESET, son las siguientes:

• Instalar solo aplicaciones de tiendas oficiales: Google Play y Apple App Store cuentan con rigurosos procesos de selección y supervisión periódica para eliminar las aplicaciones maliciosas. No descargar aplicaciones de sitios web de terceros o de fuentes no oficiales, ya que es mucho más probable que alojen productos maliciosos.

• Comprobar los desarrolladores de las aplicaciones y las reseñas del software: Antes de descargar una aplicación, verificar las credenciales del desarrollador, buscar otras aplicaciones que haya desarrollado y leer los comentarios de los usuarios. Las aplicaciones sospechosas suelen tener descripciones mal redactadas, un historial de desarrollo limitado y comentarios negativos que ponen de manifiesto problemas.

• Desconfiar de los anuncios digitales: Los anuncios digitales, especialmente en plataformas de redes sociales como Facebook, pueden ser un vector habitual de distribución de aplicaciones maliciosas. En lugar de hacer clic en los anuncios, buscar directamente la aplicación o herramienta en la tienda oficial de aplicaciones.

• Comprobar las extensiones del navegador web antes de instalarlas: Las extensiones del navegador web pueden plantear riesgos para la seguridad, pero antes de instalar alguna comprobar los antecedentes del desarrollador y leer las reseñas. Usar solo extensiones con calificaciones altas y de desarrolladores conocidos.

• Utilizar un software de seguridad completo de un proveedor de confianza: Asegurarse de tener instalado un software de seguridad de un proveedor de confianza. Esto proporciona protección en tiempo real contra el malware, los intentos de phishing y otras amenazas en línea.

• Ser consciente del phishing: Tener cuidado con los mensajes no solicitados que invitan a hacer clic en enlaces o a abrir archivos adjuntos. Verificar la identidad del remitente antes de interactuar con cualquier mensaje de correo electrónico, de texto o de redes sociales.

• Activar la autenticación multifactor (MFA) en todas las cuentas en línea: La autenticación multifactor añade una capa extra de seguridad a las cuentas online al requerir múltiples métodos de verificación. Habilitar la MFA siempre que sea posible, de esta forma se protegen las cuentas incluso si la contraseña se ve comprometida.

• Mantener alerta: Los ciberdelincuentes no pueden resistirse a aprovechar el entusiasmo que despiertan los nuevos lanzamientos. Si se observa una oferta para descargar una nueva versión de una herramienta GenAI, verificar su disponibilidad a través de los canales oficiales antes de proceder. Consultar el sitio web oficial o fuentes de noticias de confianza para confirmar el lanzamiento.

Pagos sin contacto qué riesgo de ciberseguridad hay que considerar.

La tecnología Near Field Communication (NFC, o comunicación de campo cercano) está revolucionando la interacción con el mundo, desde pagos sin efectivo hasta el control de dispositivos inteligentes. ESET, compañía líder en detección proactiva de amenazas, comparte los puntos principales para conocer su nivel de seguridad y saber cómo protegerse de los posibles riesgos.

Esta tecnología permite la transmisión inalámbrica de información entre dispositivos cercanos y tiene una amplia gama de utilidades. Basada en la identificación por radiofrecuencia (RFID, por sus siglas en inglés), tuvo su origen a principios de los 2000.

Para entender cómo funciona la comunicación entre dispositivos mediante NFC, es necesario distinguir dos modos en los que se pueden vincular. Uno activo, donde ambos dispositivos generan su propio campo electromagnético, lo que les permite intercambiar datos por turnos. Por el otro lado, el pasivo, donde un dispositivo genera el campo magnético, mientras que el otro responde. En este caso, el dispositivo generador lee la información del otro. El dispositivo pasivo cuenta con un chip que detecta el campo electromagnético, utiliza su energía para encenderse y luego enviar los datos. Por ejemplo, los tags son pequeños dispositivos que contienen un chip con tecnología NFC que puede ser leído por dispositivos compatibles. Estos pueden contener y ser programados para diferentes tipos de datos, como direcciones web, información de contacto, o comandos para realizar acciones en un dispositivo móvil.

Además de los pagos, desde el equipo de ESET explican que esta tecnología que se está implementando en distintos ámbitos, entre los que se incluyen:

• Control de acceso: Utilización de tarjetas o dispositivos móviles NFC para acceder a edificios, habitaciones de hotel, eventos, etc.

• Intercambio de información: Compartición rápida de información entre dispositivos, como contactos, enlaces web, fotos, videos, etc.

• Transporte público: Uso de tarjetas o móviles para pagar el transporte público.

• Etiquetas inteligentes: Etiquetas NFC incorporadas en productos para proporcionar información adicional, como características del producto y promociones.

• Autenticación y seguridad: Uso de dispositivos NFC para autenticar usuarios en sistemas de seguridad, como llaves electrónicas para vehículos o sistemas de seguridad en el hogar.

• Interacción con dispositivos IoT: Control de dispositivos del Internet de las cosas (IoT), como luces, termostatos, cámaras, etc., a través de dispositivos móviles habilitados con NFC.

Según comenta el equipo de investigación de ESET Latinoamérica, la tecnología NFC se considera mayoritariamente segura por distintas razones. Por un lado, la corta distancia de comunicación, ya que la comunicación NFC se produce a distancias muy cortas, generalmente de unos pocos centímetros, lo que dificulta la interceptación. A eso se le suma la necesidad de autenticación, donde muchas implementaciones de NFC requieren que el usuario autorice la comunicación tocando activamente los dispositivos NFC, reduciendo el riesgo de acceso no autorizado. A su vez, cuenta con protocolos de seguridad, por ejemplo los protocolos de autenticación como ISO/IEC 14443 e ISO/IEC 18092, que garantizan que los dispositivos involucrados en la comunicación sean legítimos. También incluyen medidas para proteger contra ataques de intermediarios, como el uso de autenticación de dos factores o tokens de sesión.

Asimismo, como con cualquier tecnología, existen algunos riesgos potenciales asociados con NFC. Por un lado, el Malware NFC que puede alojarse en etiquetas NFC y transferirse a dispositivos vulnerables. El Sniffing NFC, donde los atacantes pueden usar dispositivos especiales para interceptar comunicaciones NFC. Otro de los riesgos es el robo de datos, si un dispositivo NFC se pierde o se roba, los datos almacenados en él podrían ser vulnerables.

Para mitigar estos riesgos, desde ESET Latinoamérica recomiendan:

• Descargar aplicaciones NFC de fuentes confiables.

• Mantener el software de los dispositivos actualizado.

• Utilizar contraseñas seguras para proteger los dispositivos NFC.

• Estar atento a actividades inusuales en los dispositivos NFC.

• Evitar tocar etiquetas NFC desconocidas.

• Contar siempre con una solución de seguridad instalada y actualizada.

“NFC es una tecnología versátil y segura que ofrece una amplia gama de posibilidades. Al ser conscientes de los riesgos potenciales y tomar las precauciones adecuadas, se pueden aprovechar al máximo los beneficios de NFC”, concluye Fabiana Ramírez, Investigadora de Seguridad Informática de ESET Latinoamérica. 

Evita caer en ofertas falsas de trabajo.

A la tarea de buscar trabajo se le agregó una nueva dificultad, ya que a los puestos en oferta se suman otros falsos que dicen ser de empresas legítimas y que saturan los portales de empleo. Es más, estos anuncios pueden parecer muy auténticos, ya que los estafadores llegan a construir la personalidad y la vida profesional de un reclutador o una persona de Recursos Humanos robando datos reales. ESET, compañía líder en detección proactiva de amenazas, analiza estos engaños y advierte a qué prestar atención para detectarlos y evitar ser víctima del robo de información.

“Los usuarios suelen revelar mucha información personal en Internet, especialmente en sitios como LinkedIn, que sirve tanto de servicio de redes sociales profesionales como de portal de empleo. Esto puede facilitar a los delincuentes la obtención de datos, ya sea comprando credenciales de cuentas filtradas o haciendo web scraping. La construcción de perfiles destinados a engañar para recopilar datos y cometer delitos más graves, como el compromiso del correo electrónico empresarial o diversos ataques de ingeniería social, se vuelve más fácil que nunca”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las herramientas de inteligencia de código abierto (OSINT) pueden ayudar fácilmente a recopilar datos de los perfiles y actividades en línea de las personas. Programas como Maltego ayudan a descubrir información sobre personas o empresas en línea, permitiendo a cualquiera conectar y trazar relaciones entre sitios web, cuentas, correos electrónicos, ubicaciones y mucho más.

ESET advierte que la manera de detectar una oferta de empleo falsa depende de varios motivos. Los falsos reclutadores pueden enviar un mensaje directo a los solicitantes de empleo e incluir un enlace malicioso o un archivo adjunto en el mensaje o correo electrónico. A estos mensajes se suman también las ofertas de empleo falsas en los portales de contratación, lo que hace que los puestos parezcan más reales. Además, al principio del proceso de solicitud, los falsos pueden llegar a pedir información sobre cuentas bancarias o números de la seguridad social, lo que debería llamar la atención de quien se está postulando. Para confirmar si una oferta es auténtica, lo mejor es comprobar:

• Si la empresa y la persona existen: razón social, dirección, registro, presencia en Internet y posibles noticias.

• Los perfiles en las redes sociales de la empresa/el reclutador, y buscar errores gramaticales, fechas de extrañas en sus publicaciones y falta de actividad constante en línea (los perfiles falsos podrían no tener una presencia regular en línea a largo plazo).

• Si tienen reacciones de personas reales, recomendaciones de empleadores y colegas anteriores, certificaciones, reacciones propias genuinas a las publicaciones de otros, etc. Cuantos más mensajes tengan en otros foros, más probabilidades habrá de que sean reales.

Los estafadores suelen recrear las páginas de trabajo de empresas reconocidos para generar confianza, pero estas páginas también pueden tener algunos detalles que den indicio de falsificación:

• Seguridad del sitio web: Las páginas web falsas pueden carecer del certificado HTTPS, lo que puede ser señal de un sitio inseguro y malicioso.

• Enlaces: Pueden tener muchos signos reveladores, como faltas de ortografía. Además, los enlaces pueden no llevar a la ubicación especificada, por lo que, antes de hacer clic, pasar el pulsor por encima del enlace y comprobar la ubicación prevista en la parte inferior izquierda de la ventana del navegador, así corroborar que sea la dirección correcta.

• Preguntas sospechosas: Las empresas no pedirán el número de cuenta bancaria, número de seguridad social, DNI o similar durante una entrevista de trabajo. A menos que ya sea un empleado (y se haya reunido con el equipo de Recursos Humanos verificado), no se debe facilitar esa información.

• Errores tipográficos: Los sitios web falsos pueden tener muchas errores gramaticales, problemas de estilo o cambios deliberados de caracteres que pueden pasar desapercibidos (usar “0racle” en lugar de “Oracle”, por ejemplo).

• Reputación: Realizar una comprobación del dominio en un sitio como who.is o ScamAdviser.com, que proporciona información útil sobre el registro del sitio, su antigüedad y mucho más.

Para no ser víctima de una suplantación de identidad, ESET recomienda restringir la configuración de privacidad en los portales de empleo (o en las redes sociales en general), y no presentar voluntariamente información personal identificable en línea, lo que incluye cualquier cuenta con visibilidad pública. De esta manera es mucho más fácil construir un perfil falso utilizando herramientas OSINT y de web scraping. En LinkedIn, por ejemplo, se puede configurar el perfil como público o privado (sólo visible para otros usuarios de LI), así como quién puede ver un apellido completo y otra información. 

Además, nunca dar los datos sin verificar al posible empleador. Es muy fácil caer en una falsa oferta de empleo, pero una señal reveladora puede ser tan simple como un anuncio de trabajo escueto o una presencia en línea irregular. También, desconfiar de correos electrónicos o mensajes aleatorios con ofertas de trabajo procedentes de cuentas no verificadas o de aspecto poco fiable.

Por último, si una oferta parece demasiado tentadora (por ejemplo, si ofrece un salario por encima de la media, pero no exige tener la experiencia necesaria), es probable que se trate de una estafa. En definitiva, desde ESET advierten que la probabilidad de que alguien se encuentre con una oferta de empleo falsa es alta, así que la clave es prestar atención e intentar mantenerse ciberseguro.

¿Son seguros controles de accesos biométricos?

Los accesos biométricos se han utilizado ampliamente en entornos corporativos durante muchos años, pero cada vez más comienzan a aparecer en la vida personal, más precisamente para permitir la entrada a condominios o edificios particulares y esto, según ESET, compañía líder en detección proactiva de amenazas, trae varios puntos para tener en cuenta con respecto a la seguridad.

Los datos biométricos son vistos, por ejemplo, por la Ley General de Protección de Datos (LGPD), como datos sensibles, y se exige que sean tratados con más discreción que los datos personales. En el caso de la biometría facial, estos datos tienen aún más información que puede presentar características étnicas, convicciones religiosas e incluso aspectos relacionados con la salud de las personas. La ley no estipula qué medios deben aplicarse para dicha protección de datos, sino que basa sus fundamentos en los pilares de la seguridad de la información, valorando su integridad, disponibilidad y confidencialidad, y las empresas deben aplicar todos los esfuerzos necesarios para lograr este objetivo.

“Asumiendo que los datos están adecuadamente protegidos y que todos los procesos están siendo seguidos por quienes almacenarán estos datos, observando el funcionamiento de algunos de estos edificios y condominios en las ciudades que utilizan estos sistemas, me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto”, comenta Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica.

Los tipos de control de acceso más comunes, son el acceso biométrico por reconocimiento facial, que establece que los datos pueden ser tratados con normalidad si se cumplen una serie de requisitos, como el consentimiento explícito del interesado, así como el cumplimiento de una serie de obligaciones para proteger estos datos. Si el titular se niega a proporcionar sus datos biométricos, las empresas responsables de la seguridad perimetral deberán ofrecer alternativas para el acceso del titular y sus invitados. Otras formas de control de acceso puede ser a través de huellas dactilares, lectura de tarjetas de proximidad (NFC), PIN numéricos o, en los últimos casos, incluso el uso de una llave. 

A la hora de conceder accesos, ya sea adoptando la biometría o alguna medida alternativa desde ESET recomiendan analizar los posibles incidentes de seguridad que pueden presentarse:

Incidentes de seguridad con el titular: Si la persona que tiene un derecho legítimo a entrar en el edificio se encuentra bajo algún tipo de coacción impuesta por terceros, los medios utilizados para autorizar esta entrada no suelen tener repercusión. Ya sea con reconocimiento biométrico facial, biometría de huellas dactilares, tarjeta, PIN o llave, la víctima será coaccionada para usarlo y el resultado sería básicamente el mismo. A su vez, los objetos utilizados para abrir puertas, como llaves y tarjetas, pueden perderse, ser robados o perforados, lo que puede tener impactos muy negativos en la seguridad.

Incidentes de seguridad en un entorno protegido por biometría: Este tipo de escenario es el más preocupante porque suelen tener un impacto alto, y pueden afectar a todos los que forman parte de este entorno.

Incidentes de seguridad en medios digitales, los directamente vinculadas a cuestiones relacionados con el acceso a la estructura, son:

• Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.

• Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recolectada de la víctima.

• Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea el entorno digital o físico.

• Incidentes de seguridad en medios físicos: este tipo de incidentes tiene el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.

El equipo de investigación de ESET, describe algunas de las mejores prácticas adoptadas para abordar de manera más adecuada la seguridad de un entorno como este: 

 Para usuarios: Asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegurarse de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar.

 Para empresas: 

• Proteger todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).

• Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.

• Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.

• Restringir el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten. 

Riesgos de entrar en sitios web falsos.

En un mundo cada vez más globalizado, la navegación en Internet se ha convertido en un hábito cotidiano. Se navega en la red para múltiples finalidades desde obtener información hasta realizar operaciones comerciales. En este contexto, los sitios web falsos también conocidos como sitios de phishing o fraudulentos, presentan la particularidad de camuflarse e imitar en apariencia a los sitios web legítimos, buscando engañar a las personas para que revelen información confidencial, como contraseñas o datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza. 

Según el ESET Security Report (ESR) 2023, en América Latina los países con el mayor porcentaje de detecciones de códigos maliciosos en campañas de phishing son Ecuador 8%, seguido por Costa Rica 7,2%, Colombia 5,7%, Guatemala 5,2% y El Salvador 5,1%. Según el mismo informe, un 70% de las empresas consultadas considera que el phishing es la forma de ataque más común, seguida por malware (63%) y en tercer lugar los que buscan robar credenciales de acceso (56%). Vale la pena mencionar que el 49% de las empresas consultadas confirmó que recibió intentos de ataque que buscaban explotar una vulnerabilidad.

Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica recomienda estar siempre atentos a los primeros resultados obtenidos de la búsqueda de una página de Internet ya que “en dichos resultados puede haber sitios falsos que pretenden hacerse pasar por legítimos con el objetivo de robar dinero, contraseñas o incluso hacer que el usuario descargue malware en sus dispositivos”. Generalmente, son sitios que parecen ser patrocinados por marcas reconocidas, que han logrado posicionarse en los buscadores para aparecer como primeras opciones en los resultados de las exploraciones, imitan a sus contrapartes originales con el objetivo de generar confianza y lograr la interacción deseada, agrega el experto.

Para evitar caer en los sitios falsos lo mejor es conocerlos, identificando las diversas técnicas que utilizan para engañar a sus víctimas:

• Imitación: copian la apariencia de sitios web legítimos, como bancos, tiendas online o redes sociales, para generar confianza. 

• Ingeniería social: utilizan mensajes urgentes, ofertas atractivas o incluso amenazas para presionar a las personas a actuar sin pensar.

• Enlaces engañosos: envían correos electrónicos o mensajes de texto con enlaces que parecen llevar a sitios legítimos, pero en realidad dirigen a sitios falsos.

• Formularios falsos: crean formularios que solicitan información personal o financiera, haciéndose pasar por formularios legítimos. 

El experto de ESET indica que “cualquier persona puede ser víctima de un sitio web falso”, sin embargo, algunos grupos son más propensos:

• Usuarios nuevos en internet: aquellos con poca experiencia en la navegación online pueden ser más susceptibles a tácticas de engaño.

• Personas mayores: pueden ser más propensas a confiar en sitios web que parecen legítimos y a ser menos conscientes de las estafas online.

• Usuarios apresurados: los que navegan por internet de forma rápida y distraída pueden pasar por alto las señales de alerta de un sitio falso.

Para evitar caer en la trampa de un sitio web falso, es importante seguir estas recomendaciones que comparte ESET:

1. Verificar la URL: antes de ingresar cualquier información, asegúrese de que la URL sea la correcta del sitio web que desea visitar. Compare la URL con la que recuerda o busque el sitio web en un motor de búsqueda confiable.

2. Buscar el candado verde: cuando ingrese información personal o financiera, busque el símbolo de candado verde en la barra de direcciones. Esto indica que el sitio web está utilizando una conexión segura (HTTPS).

3. No ingresar información personal en sitios desconocidos: evite ingresar datos personales o financieros en sitios web que no conoce o que no le inspiren confianza.

4. Instalar software de seguridad: mantenga actualizado su antivirus y antispyware para protegerse contra malware que pueda ser instalado en su dispositivo desde un sitio web falso.

5. Denunciar los sitios web falsos: si encuentra un sitio web falso, repórtelo a las autoridades correspondientes o a organizaciones especializadas en seguridad online.

Cuidado con la estafa con criptomonedas que circula por WhatsApp

Cada vez son más frecuentes las estafas que utilizan WhatsApp como forma de contactar a las posibles víctimas. ESET, compañía líder en detección proactiva de amenazas, alerta sobre una nueva estafa que circula por esta plataforma de mensajería, la cual hace creer al destinatario que tiene crédito en criptomonedas listo para ser retirado de una billetera virtual (wallet), abierta a su nombre.

“Como siempre decimos, si algo parece muy bueno para ser verdad, lo más probable es que efectivamente no lo sea. Desconfía siempre de ofertas únicas o supuestas oportunidades de ganancias monetarias fuera de lo común, con montos exagerados. Cuando la limosna es grande hasta el santo desconfía.”, comentó Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica. 

“¡Bienvenido! David, Tu cuenta financiera ha sido agregada”, así inicia el mensaje que llega al WhastApp de la posible víctima, donde le asegura que tiene a su disposición una billetera virtual con un monto acreditado en criptomonedas, ya listo para ser retirado y transferido a su cuenta bancaria en moneda local. Para ello, en el mismo mensaje, se le da al usuario las credenciales para acceder a la wallet y comenzar a operar los criptofondos que supuestamente tiene ya disponibles. Una vez que el usuario busca retirar el dinero prometido, es donde los estafadores pedirán una transferencia para poder liberar esos fondos inexistentes. Además de relevar datos personales de cada usuario mediante una web que simula ser una plataforma de intercambio (Exchange) de criptomonedas, los criminales se quedan con los fondos que cada víctima les transfiere.

Si bien el mensaje puede tentar a quien lo recibe, desde ESET indican que hay muchas señales de alerta que es importante revisar antes de actuar, ya que ayudan a distinguir inmediatamente las estafas:

Número desconocido: Sin dudas, el primer punto es la recepción de un mensaje de un contacto con un número de prefijo de dudosa procedencia, tal como podemos observar hasta la propia aplicación de mensajería nos advierte que el mensaje proviene de un número desconocido y aprovecha para recordarle al usuario revisar sus configuraciones de seguridad.

Sitios que no puede verificarse su autenticidad: En este caso, el mensaje contiene un enlace que lleva al usuario a un sitio que simula ser una página de operaciones con criptomonedas -similar a cualquier crypto Exchange-, pero que tiene detalles que deben ser vistos como alertas.

Por un lado, si buscamos información del sitio en Google, se puede observar que nadie reconoce este sitio para operar con criptos y si se valida la información del dominio, se identifica que tiene una antigüedad de 6 días; más que suficientes argumentos para considerar al sitio como falso.

Por otro lado, la dirección de soporte que muestra la web también da la idea de que no es un sitio válido, ya que tiene un mail genérico como contacto de ayuda.

Ganancia inmediata de origen desconocido: Se puede observar que el dinero prometido se encuentra acreditado, en la supuesta cuenta, a nombre de la víctima. Esto hace tentar al usuario, pero a la vez es una de las mecánicas más comunes en este tipo de estafas: ganancias que caen del cielo, pero para las cuales se necesita pagar alguna suma para “liberar” el premio, regalo o descuento.

Las personas que se dejan seducir por esta oferta y prosiguen con la interacción en el sitio web, pueden transferir a los estafadores el monto que solicitan, con la esperanza de liberar los fondos en criptomonedas que nunca existieron. Hasta ese momento llegan a darse cuenta de la estafa, pero ya nada se puede hacer para recuperar el dinero.

ESET comparte consejos de seguridad fundamentales para evitar caer en este tipo de engaños:

• No responder al mensaje ni hacer clic en ningún enlace.

• Eliminar el mensaje inmediatamente.

• Contactar directamente al banco o empresa financiera para verificar la información de la cuenta.

• Cambiar la contraseña utilizando un canal seguro.

• Reportar el mensaje como spam o phishing con el proveedor de telefonía móvil.

• Investigar a fondo la empresa: Buscar información en internet, en foros y en sitios web de reseñas.

• Verificar la información legal: Buscar el registro de la empresa en las autoridades correspondientes.

• No invertir dinero que no se está dispuesto a perder: Las inversiones en criptomonedas siempre conllevan un alto riesgo.

• Utilizar plataformas de intercambio confiables: Investigar y elegir plataformas con buena reputación y trayectoria.

• Tener cuidado con los mensajes no solicitados: Desconfiar de los mensajes que ofrecen inversiones sin haberlas solicitado.

“Es importante recordar que los bancos y empresas financieras nunca te pedirán información personal o financiera por mensaje de texto. Si tienes dudas sobre la veracidad de un mensaje, es mejor que te pongas en contacto directamente con la entidad emisora.”, agregó Micucci de ESET Latinoamérica.

Recomendaciones para tener una contraseña a prueba de hackers

Una de las primeras líneas de defensa contra la invasión de la privacidad y el robo de identidad es una contraseña fuerte y segura. Con el aumento de la digitalización de nuestras vidas, la seguridad es una preocupación creciente. Por esto, ESET, compañía líder en detección proactiva de amenazas, explica cómo saber si tu contraseña es realmente segura.

A la hora de crear una contraseña fuerte, es fundamental tener en cuenta varios aspectos que aumentan su resistencia a los ciberataques. Estos son algunos puntos clave que comparte ESET:

• Longitud: La longitud de una contraseña es un factor clave en su seguridad. Las contraseñas más largas proporcionan una barrera que es más difícil de penetrar para los ataques de fuerza bruta, en la que los piratas informáticos intentan todas las combinaciones posibles para obtener acceso a una cuenta. Se recomienda que las contraseñas tengan al menos 12 caracteres, pero cuanto más largas, mejor. Una contraseña con 20 caracteres o más es aún más segura.

• Complejidad: Además de la longitud, la complejidad de las contraseñas juega un papel crucial en su seguridad. Una contraseña segura debe incluir una variedad de caracteres, como letras mayúsculas y minúsculas, números y símbolos especiales como @, #, $, % y más. La inclusión de estos elementos aumenta exponencialmente el número de combinaciones posibles, haciendo que la contraseña sea mucho más difícil de descifrar.

• Aleatoriedad: Evitar patrones predecibles o secuencias obvias. Las contraseñas que consisten en palabras comunes, nombres de personas, fechas de nacimiento o cadenas como "123456" o "qwerty" son extremadamente vulnerables a los ataques. Opta por contraseñas generadas aleatoriamente o crea tus propias combinaciones que no tengan nada que ver con la información personal.

• Diversidad: Es tentador usar la misma contraseña para varias cuentas, después de todo, es más fácil de recordar. Sin embargo, esta práctica es muy arriesgada. Si una contraseña se ve comprometida en una cuenta, todas las demás cuentas que comparten esa contraseña son vulnerables. Por lo tanto, debes utilizar contraseñas diferentes para cada cuenta en línea que tengas.

“Mantener actualizadas las contraseñas también hace a la seguridad. Es importante no solo crear contraseñas seguras, sino también actualizarlas regularmente. Esto es especialmente importante si sospechas que tus cuentas pueden haber sido comprometidas. Al cambiarlas periódicamente, reduces el tiempo de exposición en caso de una brecha de seguridad.”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Tener en cuenta estos principios fortalecerá significativamente la seguridad de tus cuentas en línea, reducirá los riesgos de vulneraciones y protegerá tu información personal. Un administrador de contraseñas puede ayudarte a manejar de forma segura varias contraseñas, sin necesidad de memorizarlas. Estas herramientas te permiten almacenar de forma segura varias contraseñas. Además, muchos administradores de contraseñas ofrecen funciones para generarlas automáticamente, lo que elimina la necesidad de crearlas manualmente.

¿Cómo agregarles seguridad a tus cuentas?

Además de crear contraseñas seguras, hay una serie de pasos adicionales que puedes tomar en cuenta para fortalecer la seguridad y proteger tu información personal, como la autenticación de dos factores (2FA). La autenticación de dos factores es una capa adicional de seguridad que requiere no solo la contraseña, sino también un segundo método de verificación, como un código enviado a tu teléfono móvil o generado por una aplicación de autenticación. Al habilitar 2FA es más difícil el acceso no autorizado, incluso si la contraseña se ve comprometida.

“En un mundo donde la seguridad en línea es una prioridad absoluta, tomar estas medidas adicionales de protección es esencial para garantizar la seguridad de tus cuentas e información personal. Al seguir estas pautas y mejores prácticas, puedes navegar por Internet con más confianza, sabiendo que tus cuentas en línea están protegidas de las amenazas cibernéticas.”, concluyó Gutiérrez Amaya de ESET Latinoamérica. 

¿Me puedo infectar descargando una aplicación de Google Play?

Para utilizar cualquier servicio o red social es necesario descargar una aplicación en un dispositivo móvil. ESET, compañía líder en detección proactiva de amenazas, advierte que es posible infectar un dispositivo al descargar una app desde Google Play y comenta de qué manera se puede reducir el riesgo de infección.

“Siempre que se deba descargar alguna aplicación es ideal realizarlo desde Google Play u otros repositorios oficiales como App Store. El riesgo de infectarse mediante la descarga de una app maliciosa es muchísimo mayor si se realiza por fuera de estos repositorios. Ahora bien, esto no quiere decir que lo descargado en las tiendas oficiales sea 100% confiable. Diversas aplicaciones maliciosas logran pasar las barreras de seguridad y están disponibles en Google Play, hasta que son denunciadas y dadas de baja.”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Una de las vías mediante las que el malware logra evadir los controles y barreras de Google son las actualizaciones de las aplicaciones. Esta técnica se conoce como “carga dinámica de código” o DCL, por sus siglas en inglés; y se basa en que un desarrollador malintencionado logra publicar una versión legítima en Google Play Store, pero luego cambia el código y la convierte en maliciosa mediante una actualización. Esta actualización posterior se realiza desde servidores externos, pero los usuarios terminan creyendo que es una actualización legítima desde la tienda, ya que los cibercriminales simulan las ventanas emergentes desde donde se realizó la descarga.

El equipo de ESET descubrió, por ejemplo, una aplicación troyanizada para Android que había estado disponible en la tienda Google Play con más de 50,000 instalaciones. La aplicación llamada iRecorder – Screen Recorder se cargó sin malware en septiembre de 2021. Sin embargo, la funcionalidad maliciosa se implementó más tarde, en una nueva versión que estuvo disponible en agosto de 2022. 

Algunos puntos que se deben tener en cuenta para poder detectar una aplicación maliciosa o falsa en Google Play, son:

Posición en el ranking y reviews: Un primer indicio puede ser que la aplicación no aparezca en los primeros lugares de los rankings de las más descargadas. Otra alarma podrían ser las valoraciones negativas o, por el contrario, si cuenta con demasiados reviews, cuando en realidad no tuvo muchas descargas.

Apariencia: Las aplicaciones maliciosas buscan imitar a las reales, usando logos parecidos, aunque no idénticos. También es conveniente prestar atención a la descripción de la aplicación y verificar si existen problemas de gramática o datos incompletos.

Existen muchos ejemplos, como: aplicaciones bancarias y de préstamos, para leer PDF, para grabar pantalla, otras de wallpapers y hasta aquellas que se valen del boom de las criptomonedas, que buscan encontrar víctimas desprevenidas.

ESET comparte algunas buenas prácticas para minimizar el riesgo de infectarse mediante la descarga de una aplicación de Google Play:

• Utilizar una solución de seguridad para dispositivos móviles que sea confiable para bloquear y remover amenazas.

• Solo confiar en apps cuyo enlace se encuentre en el sitio oficial del servicio.

• Mantener el software del dispositivo actualizado.

• Verificar los permisos que solicitan las aplicaciones al momento de instalarlas: si piden permisos innecesarios, puede ser indicio de una intención sospechosa.

• Revisar los comentarios, valoraciones, cantidad de descargas y quién es el desarrollador de la app que se desea descargar desde Google Play.

ChatGPT: más de 225.000 credenciales comprometidas se venden en la Dark Web.

ESET, compañía líder en detección proactiva de amenazas, analiza el caso de las más de 225.00 credenciales de ChatGPT que estuvieron disponibles para su venta en la Dark Web, luego de ser robadas, entre enero y octubre de 2023.

Los datos, rescatados en un informe del Grupo IB, indican que más de 100.000 registros fueron comprometidos entre enero y mayo de 2023, y más del 35% en los meses siguientes. Si bien el número de credenciales comprometidas disminuyó entre junio y julio, volvió a crecer en agosto y septiembre y alcanzó su pico máximo en octubre (más de 33.000). Los infostealers asociados principalmente son  LummaC2, Raccoon y RedLine.

El malware del tipo infostealer tiene como objetivo robar información del equipo infectado y enviarlo a los cibercriminales. Este tipo de código malicioso suele ser distribuido en mercados clandestinos de la dark web por poco dinero para que otros actores maliciosos lo utilicen en sus campañas. El detalle de las tres principales familias de infostealers vinculadas a las credenciales de chatGPT comprometidas, es el siguiente:

• LummaC2: 70,484

• Mapache: 22,468

• RedLine: 15,970

“Esto se condice a la notoria actividad que han tenido estas familias en el último tiempo. De hecho, desde ESET hemos analizado casos puntuales de Lumma (afectando el mercado cripto) y RedLine (obteniendo credenciales a través de enlaces maliciosos en la descripción de videos de YouTube), confirmando así que el campo de acción es tan amplio como aleatorio”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

¿Cómo afecta esto a los usuarios?

Así como los cibercriminales han mostrado un dedicado interés en obtener acceso a computadoras corporativas y sistemas para lograr el acceso a la red interna, según ESET, ahora han ampliado su mira, poniendo el foco también en aquellos dispositivos que acceden a sistemas públicos de Inteligencia Artificial.

Al acceder al historial de comunicación que existente entre colaboradores de una organización y este tipo de chatbots, los ciberatacantes pueden obtener registros en los cuales haya datos confidenciales, información sobre la estructura interna de la empresa y claves de autenticación, entre otros. Así, no solo que podrían ejecutar ataques mucho más sofisticados y dañinos, completar tareas de espionaje o identificar vulnerabilidades que puedan explotar.

Los infostealers ponen a disposición de los cibercriminales una cantidad de información que, combinada con el abuso de credenciales de cuentas válidas, puede servir como acceso inicial a diversas cuentas empresariales. 

“La mejor defensa para los usuarios finales, ante esta y otras formas de cibercrimen, es prestar atención y estar alertas mientras navegamos online, por sobre todo cuando ingresamos información sensible y personal. Para las empresas que desarrollan y despliegan sistemas de IA cabe la responsabilidad de implementar medidas de seguridad robustas para proteger a los usuarios contra estos abusos y fraudes”, concluye Gutiérrez Amaya de ESET Latinoamérica.

¿Cómo pueden robar las claves de acceso a tu banco?

Las credenciales bancarias representan uno de los activos más valiosos para las personas: obtenerlas significa para los cibercriminales tener en sus manos la llave que abre una caja fuerte virtual, y disponer del dinero de sus víctimas. Para ello, emplean diversas técnicas que, en caso de encontrar a usuarios desprotegidos, desprevenidos o descuidados, suelen dar sus frutos. ESET, compañía líder en detección proactiva de amenazas, repasa cuáles son las 5 técnicas principales y de qué manera es posible protegerse del robo de una información tan sensible como crítica.

ESET comparte las cinco principales estrategias que utiliza el cibercrimen para robar las claves bancarias, y de qué manera es posible protegerse de estos ataques:

1. Sitios falsos: Los estafadores emplean una URL que incluye el nombre del banco y que hasta tiene una apariencia similar al oficial. El nombre del sitio suele ser casi idéntico al nombre que utiliza el banco en sus cuentas de Twitter e Instagram, con una mínima diferencia (puede ser a veces de una sola letra). De hecho, una búsqueda en Google puede llevar a estos sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda, muchas veces en forma de anuncios.

Ya en el sitio falso, la estética y el diseño son idénticos a los de la página oficial. Y para acceder al supuesto homebanking es que incluye los campos en los que las víctimas deben ingresar credenciales de inicio de sesión, que en realidad serán para ciberdelincuentes. Una vez que la persona ingresa su nombre de usuario y contraseña, el sitio suele simular que verifica los datos entregados, cuando en ese tiempo en realidad los cibercriminales inician sesión con las credenciales robadas en el sitio legítimo del banco.

Recientemente se identificaron dos sitios falsos que se hacían pasar por la web oficial del Banco Itaú (reconocida entidad con presencia en varios países de América Latina), con el objetivo de robar las credenciales bancarias de clientes en Argentina y también en Brasil. En casos como este es necesario aclarar que el banco también es víctima, ya que se utiliza su nombre para engañar a sus clientes. De hecho, en la página oficial la entidad comparte diversos consejos para evitar que las personas caigan en distintos tipos de fraudes en su nombre.

Sitios comprometidos previamente: Otra vía utilizada por los cibercriminales es comprometer sitios previamente para desde allí obtener las credenciales bancarias de usuarios y usuarias. Los cibercriminales pueden explotar una vulnerabilidad en scripts o plugins agregados que no se encuentren actualizados, o bien aquellas fallas de seguridad que no han sido descubiertas. Así, pueden agregar una redirección desde el sitio víctima hacia el sitio del atacante, desde el cual podrán obtener las credenciales. Por otra parte, los atacantes muchas veces crean una página apócrifa dentro del sitio web oficial, que se hace pasar por entidad. Una vez que las víctimas se encuentran dentro de estas páginas falsas es muy probable que se solicite ingresar los datos bancarios.

2. Malware: El malware ha evolucionado a pasos agigantados, de hecho se comercializan diferentes tipos de códigos maliciosos. Los troyanos bancarios, con gran presencia en toda la región, han causado daños por una cifra que asciende a los 110 millones de euros. Mekotio, Casbaneiro, Amavaldo o Grandoreiro son solo algunas de las familias capaces de realizar distintas acciones maliciosas, pero que se destacan puntualmente por suplantar la identidad de bancos mediante ventanas emergentes falsas y así robar información sensible de las víctimas.

Hay distintas manera en que los cibercriminales pueden colocar ese tipo de malware en los equipos de sus víctimas. Por un lado, mediante correos de phishing o mensajes de texto. También a través de anuncios maliciosos, el compromiso de un sitio web que recibe muchas visitas (ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio) y hasta puede estar oculto en aplicaciones móviles maliciosas que simulan ser legítimas.

3. Llamadas telefónicas: Dado que los estafadores son profesionales en su rubro y suelen contar historias de manera muy convincente, se valen de la ingeniería social para engañar y robar información sensible, como las claves de acceso del banco. Los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, con el único objetivo de lograr una comunicación más personal que a través de un correo electrónico: así la manipulación es más fácil de llevar a cabo. Como excusa de llamada pueden utilizar el informar sobre algún problema puntual con la cuenta bancaria o de un movimiento fraudulento asociado a la víctima. Para la supuesta resolución es que solicitarán información personal y las claves de acceso a la cuenta.

Otra excusa utilizadas para este tipo de engaño fue el pago de un bono por parte del Ministerio de Desarrollo Social en la Argentina (que pedía los accesos del banco para entregarlo), pero también hay engaños que incluyen hacerse pasar por el servicio de atención al cliente de un banco o entidad reconocida. De hecho, son varias las entidades bancarias las que en su sitio web advierten de esta amenaza y brindan información muy útil de prevención para sus usuarios y usuarias.

4. Perfiles falsos en redes: Otra táctica común y muy eficiente es el armar perfiles falsos en las redes sociales (léase Facebook, Instagram o Twitter), y desde allí llevar a cabo el engaño que termine en la obtención de credenciales de acceso bancario de víctimas desprevenidas o desinformadas. 

Hay múltiples ejemplos en Twitter e Instagram que evidencian como los estafadores monitorean los comentarios que hacen los usuarios con ciertas palabras clave o cuando etiquetan a un perfil verificado. Se valen de la urgencia que generalmente llevan estos mensajes (suelen ser reclamos o algún tipo de inconveniente a resolver) y a través de estos perfiles falsos (sin marca de verificación) envían mensajes directos haciéndose pasar por la cuenta oficial del banco. Tal es así que utilizan el mismo logo y una variación del nombre oficial, y hasta ofrecen el contacto del servicio de atención al cliente o bien piden un número de contacto. Finalmente, las víctimas son contactadas por falsos representantes de atención al/la cliente que buscarán extraer información, como claves de acceso, tokens u otros datos para poder acceder a sus cuentas y vaciarlas.

5. Scraping: El scraping o “rascado” funciona una vez que una persona empieza a seguir la cuenta oficial de un banco en redes sociales para realizar una consulta, los ciberatacantes la contactan por privado, de manera inmediata, haciéndose pasar por el banco en cuestión. Si la víctima responde el mensaje sin verificar que se trata de una cuenta real o falsa, el supuesto asesor pedirá un número de teléfono para continuar con la consulta por esa vía. Allí utilizarán toda la información disponible en las redes sociales e internet en general para hacerle creer a la víctima de que realmente es un colaborador del banco y que está allí para darle soporte. Una vez que la víctima entra en confianza, el supuesto asesor pedirá la información bancaria, que le servirán para vaciar la cuenta.

Desde ESET comparten buenas prácticas que permiten reducir sensiblemente el riesgo de ser víctima de estafas:

• Verificar la dirección web visitada y confirmar que es la correcta.

• Comprobar que el sitio web tenga un certificado de seguridad válido, firmado por la compañía que dice ser.

• No brindar información personal o financiera, si no se cuenta con la seguridad de que el sitio web es legítimo.

• No divulgar ningún detalle por teléfono, incluso si la persona del otro lado suena convincente. Consultar de dónde están llamando y luego volver a llamar a esa organización para verificar. Es clave no utilizar los números de contacto proporcionados por esa persona.

• No hacer clic en enlaces ni descargar archivos de correos electrónicos, mensajes de redes sociales, mensajería instantánea (WhatsApp, Telegram), o de texto sospechosos o de remitentes desconocidos.

• Siempre utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas, y mantenerlo actualizado.

• Descargar aplicaciones de tiendas oficiales, como la App Store o Google Play.

“El primer paso como siempre en estos casos es interiorizarse y mantenerse informado de las estrategias y técnicas que utilizan los cibercriminales para obtener las credenciales bancarias y cualquier otro tipo de información sensible. Y la principal aliada en esto de mantener las claves protegidas es una solución de seguridad, que cuide las operaciones en línea, pero sobre todo, las bancarias. Las soluciones de seguridad también evolucionaron y, por ejemplo, de ESET se destaca la “Protección de banca y pagos en línea”, que asegura que cada una de las transacciones estén protegidas dentro de un entorno seguro y confiable, brindando protección contra el fraude online. Además, el modo de navegador seguro ofrece protección automática para las operaciones bancarias en línea y encripta automáticamente la comunicación entre el teclado y el navegador (en todos los navegadores compatibles) para proveer una capa de seguridad adicional frente a keyloggers, malware y otros tipos de amenazas digitales”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

10 cosas que se debe evitar publicar en las redes sociales y por qué no debes hacerlo

Cientos de millones de personas se conectan cada día a sus redes sociales favoritas para comprar, compartir fotos y noticias, revisar publicaciones y comentarios, enviar mensajes privados y mucho más. Pero, en relación a compartir información personal en exceso, ESET, compañía líder en detección proactiva de amenazas, asegura que puede dar a ciertas problemáticas como la  suplantación de identidad, permitir que ciberdelincuentes accedan contraseñas e incluso poner en peligro de robo pertenencias personales.

“Aunque te consideres experto/a en privacidad, quienes gestionan las plataformas actualizan a menudo sus sitios web y aplicaciones, por lo que es esencial estar actualizados y realizar una vigilancia constante. Con esto en mente, es importante considerar algunos puntos que sería mejor no compartir en las redes sociales, y por qué hacerlo puede poner en riesgo tu seguridad física y digital o la de tus amigos y familiares”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los 10 puntos que según ESET es mejor no compartir en redes sociales, son:

1. Información personal identificable (IPI): quienes realizan estafas están siempre a la caza de pequeños datos que puedan unir para crear una identidad con la que estafar. Podrían utilizar esta información para solicitar un crédito a nombre de alguien más o abrir cuentas en Internet. Peor aún, podrían utilizarla para descifrar las contraseñas y/o preguntas secretas, con el fin de apropiarse totalmente de alguna cuenta. Algo tan inocuo como el nombre de la mascota o la fecha de nacimiento debería mantenerse en secreto.

2. Planes de viaje: Publicar una foto o una actualización diciendo que se está emocionado por unas próximas vacaciones, podría indicarle a alguien que tu propiedad quedará desatendida durante ese tiempo. Lo mejor es no ser muy preciso y no poner nada de fechas. Por la misma razón, es mucho mejor publicar fotos de las vacaciones una vez que se está de vuelta en casa.

3. Datos sobre la ubicación: Como ya hemos dicho, hay un punto en el que la ciberdelincuencia y la delincuencia física se solapan, y ese punto suele estar en las redes sociales. Si un delincuente sabe que una persona va a estar sola en casa, o caminando por una zona remota, o que su propiedad va a estar desocupada, se puede adivinar lo que puede ocurrir a continuación. Mantener los datos de localización en secreto siempre que sea posible. Además, algunas plataformas de redes sociales pueden etiquetar automáticamente la ubicación de las publicaciones. Compartir eventos familiares o ubicaciones de amigos puede revelar inadvertidamente dónde viven, trabajan o pasan el tiempo.

4. Compras costosas: Al igual que ocurre con los planes de viaje, publicar fotos de joyas caras o de un coche nuevo y llamativo puede llamar la atención de los seguidores de redes sociales. Pero si hay alguien vigilando una cuenta con planes más oscuros en mente, podría señalar esa cuenta como objetivo potencial de atracos o robos. Intentar ser prudente a la hora de publicar información sobre nuevas compras o regalos.

5. Fotos de niños/as: A algunos padres les encanta compartir fotos de sus hijos. Pero, ¿son ellos lo bastante mayores para dar su consentimiento? Puede que no les gusten las fotos de bebés desnudos o de niños babeando por todo Internet cuando tengan edad suficiente para pedirle a sus padres que paren. Por no hablar de los casos más siniestros que pueden rastrear la web en busca de imágenes de menores. A su vez, si se está pensando en colgar imágenes de los hijos de otra persona, pedir siempre su consentimiento. De lo contrario, se podría estar infringiendo la ley.

6. Agravios laborales: ¿Qué hay peor que te roben una joya cara? ¿Perder el trabajo? Por eso es importante guardar silencio sobre cualquier asunto polémico relacionado con el trabajo. Si lo que se busca es desahogarse, hacerlo con un compañero o amigo fuera de Internet. Si Recursos Humanos o incluso un compañero descontento descubre quejas de tu lugar de trabajo, de tus compañeros y/o de tu jefe, podría generarte problemas.

7. Datos financieros: Al igual que en el caso de la información personal, conviene mantener en secreto los datos financieros. Así que se recomienda no publicar datos de tarjetas de crédito o débito. Incluso si la imagen parece borrosa o lejana para ser vista, podría ser suficiente para dar a los estafadores la oportunidad combinarla con otros datos personales de la cuenta para cometer un fraude de identidad.

8. Información personal identificable de familiares y amigos: La información que se comparte en las redes sociales suele ser permanente y no todo el mundo se siente cómodo compartiendo en línea sus datos personales o detalles de su vida. Además, no arriesgar a que amigos y familiares sean estafados en Internet. Es preferible cuidar su información personal identificable como se protege la propia: bajo llave.

9. Regalos en las redes sociales: Las redes sociales están llenas de sorteos y regalos. Frecuentemente son intentos mal disimulados de hacerse con la información personal de los usuarios, o incluso de propagar malware encubierto. Pensar dos veces antes de rellenar formularios en línea y compartir enlaces a sorteos. Si parecen demasiado buenos para ser verdad, suelen no serlo.

10. Conversaciones privadas: Las redes sociales son por naturaleza un foro público, incluso si una cuenta está relativamente bloqueada. Por eso no es el lugar adecuado para compartir información privilegiada. Si está relacionada con el lugar de trabajo, es aún más importante no compartirla. Pero incluso si se trata de noticias relativamente mundanas sobre un grupo de amigos o la familia, podrían causar angustia si se hace pública. Si no son noticias propias, es preferible no compartirla.

En este contexto, ESET comparte algunos consejos para proteger la seguridad:

• Ser consciente de lo que se publica: Pensar siempre (aunque el perfil esté restringido) si te sentirías cómodo contándole a alguien sentado a tu lado la misma información que estás publicando en Internet.

• Revisar la lista de amigos de vez en cuando: Es un ejercicio útil para purgar a aquellos que no reconoces o que preferirías que no pudieran ver tus publicaciones.

• Restringir quién puede ver la lista de amigos y las publicaciones: Esto ayudará a reducir las posibilidades de que alguien utilice cualquier información que compartas con fines nefastos.

• Restringir el acceso a las fotos: Lo ideal es que sólo puedan verlas los amigos conocidos y los familiares aprobados.

• Activar la autenticación de doble factor ( 2FA) y utilizar contraseñas seguras y únicas: Esto reducirá la posibilidad de que alguien pueda secuestrar tu cuenta, incluso si consigue adivinar o descifrar tu contraseña.

“Compartir con nuestros amigos, familiares y contactos es lo que hace que las redes sociales sean tan divertidas y gratificantes, pero también es una fuente potencial de riesgos. Utilizar las redes sociales con precaución puede evitar muchos riesgos de seguridad y dolores de cabeza”, concluye Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.

5 desafíos de la inteligencia artificial generativa

ESET, compañía líder en detección proactiva de amenazas, advierte que si bien el futuro es prometedor para cada uno de los campos dónde puede ser aplicada la inteligencia artificial generativa, y con grandes expectativas, existen riesgos vinculados a la adopción de esta nueva tendencia.

Los modelos tradicionales de Inteligencia Artificial se basan en modelos estadísticos que reconocen patrones a partir de datos existentes y son más aprovechados para contextos analíticos y predictivos. En el auge de la inteligencia artificial, se creó una nueva categoría llamada generativa que tiene el potencial de (re)construir o (re)producir contenido proveniente de algún texto, imagen, video, audio o código fuente, tan verosímil como el usuario lo permita. Los modelos generativos pueden producir nuevos datos (artificiales) usando datos reales (alimentados por el usuario) y crear información nueva; aquel horizonte que existía hasta hace un par de años solo en los libros de ciencia ficción o las películas va acercándose cada vez más a la realidad.

La IA Generativa reside en el ciberespacio y, por consecuencia, existen riesgos asociados que pueden afectar tanto a personas como empresas o gobiernos, ESET identifica principalmente 5:

1. Moderación de contenidos: Algunas de las redes sociales, sitios web o aplicaciones no son legalmente responsables, o son muy ambiguos, en lo que refiere a los contenidos subidos por sus usuarios, como ideas o publicaciones hechas por terceros o subyacentes, ni el contenido generado por IA: aun cuando cuentan con términos de uso, normas de comunidad y políticas de privacidad que protejan los derechos de autor, hay un vacío legal que sirve de blindaje para los proveedores ante una violación de derechos de autor.

 El usuario cuenta con un fácil acceso y una enorme disponibilidad de herramientas de IA Generativa que son poco claras, incluso contradictorias, en sus políticas de uso e implementación.

2. Infracción de los derechos de autor e imagen: En los Estados Unidos, en mayo 2023, una Huelga del Sindicato de Guionistas, comenzó una serie de conflictos al que se le unieron en julio del mismo año el Sindicato de Actores en Hollywood. Las principales causas de este movimiento se debieron a la petición de un aumento salarial derivado del auge de las plataformas digitales, ya que hubo un incremento en la demanda/creación del contenido y buscaban que las ganancias fueran repartidas proporcionalmente entre guionistas/actores y las grandes compañías.

Otro motivo fue el abuso de la IA Generativa por parte de estas compañías para producir contenido sin el consentimiento del actor o actriz de usar su rostro y voz para fines comerciales, por lo que solicitaron un nuevo contrato que los protegiera de la explotación de su identidad y talento sin su consentimiento ni remuneración para esta tecnología. La originalidad de algún contenido independientemente de la fuente, con la llegada de la IA Generativa cada vez parece ser más difusa. En este caso, muchos derechos de autor y permisos de imagen fueron ignorados por grandes compañías, generando una enorme molestia y como consecuencia de esto Estados Unidos optó por implementar recursos legales que protegieran a ambas partes.

3. Privacidad: Para que los modelos de IA Generativa puedan funcionar correctamente necesitan degrandes volúmenes de datos para ser entrenados, pero ¿qué sucede cuando este volumen puede obtenerse de cualquier fuente pública como videos, audios, imágenes, textos o códigos fuente sin el consentimiento del titular? Es aquí donde, según ESET, las plataformas, aplicaciones y redes sociales debieran apegarse al marco normativo sobre la privacidad de datos de cada país en caso de existir, de lo contrario apoyarse Reglamento General de Protección de Datos (GDPR) del Parlamento Europeo que ya incluye una sección para la IA.

4. Cuestiones éticas: Aquellos países donde las regulaciones en materia de IA son escasas o nulas, son aprovechadas por algunos usuarios para fines nada éticos como la suplantación de identidad (voz, imagen o video) para crear perfiles falsos que usan para cometer fraude/extorsión a través de alguna plataforma, aplicación o red social, o también lanzar campañas de phishing sofisticadas o estafas del tipo catfishing.

5. Desinformación: Aprovechando este tipo de IA las prácticas de difusión de noticias falsas en plataformas y redes sociales se ven mejoradas. La viralización de estos contenidos engañosos generados llega a perjudicar la imagen de alguna persona, comunidad, país, gobierno o empresa.

“La IA Generativa presenta riesgos particulares que deben abordarse de manera cuidadosa para garantizar su uso ético y seguro. Estos riesgos incluyen desde la moderación del contenido que suben los usuarios, hasta aquel engañoso, sesgado o perjudicial para evitar la manipulación de información.”, menciona David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.

Al considerar estos riesgos, desde ESET señalan que es esencial implementar estrategias preventivas y correctivas, tales como:

 Filtrado y moderación efectiva: Desarrollar sistemas de filtrado y moderación robustos que puedan identificar y eliminar contenido inapropiado, engañoso o sesgado generado por modelos de IA Generativa. Esto ayudará a mantener la integridad de la información y a prevenir posibles consecuencias negativas.

 Entrenamiento con datos éticos y diversificados: Garantizar que los modelos de IA Generativa se entrenen con conjuntos de datos éticos, imparciales y representativos. La diversificación de los datos contribuye a reducir sesgos y a mejorar la capacidad del modelo para generar contenido más equitativo y preciso.

 Transparencia en la regulación del contenido: Establecer regulaciones que permitan a los usuarios comprender cómo se genera el contenido, el tratamiento que reciben los datos y las implicaciones que puede llegar a tener en caso de no cumplir.

 Evaluación continua de la ética y la calidad: Implementar mecanismos de evaluación continua para monitorear la ética y la calidad del contenido generado. Estos mecanismos pueden incluir auditorías regulares, pruebas de robustez y colaboración con la comunidad para identificar y abordar posibles problemas éticos.

 Educación y conciencia pública: Promover la educación y la conciencia pública sobre los riesgos asociados con la IA Generativa. Fomentar la comprensión de cómo funcionan estos modelos y cuáles son sus posibles impactos permitirán al usuario participar activamente en la discusión y en la exigencia de prácticas éticas por parte de los desarrolladores y empresas.

Evita fraudes protegiendo tus datos personales.

En un mundo cada vez más globalizado, la protección de datos se ha convertido en una prioridad esencial para salvaguardar la identidad digital de personas y empresas que, diariamente, utilizan su información en Internet. 

Se consideran datos críticos y vendibles los nombres y apellidos, fechas de nacimiento, números telefónicos, correos electrónicos, historiales médicos, cuentas bancarias y financieras, contratos empresariales, planillas, y cualquier otro tipo de información sensible de personas o empresas, que puede ser comercializadas por los cibercriminales en el mercado negro. 

Para educar a los consumidores sobre el valor y la importancia de mantener su información resguardada, se celebra cada 28 de enero, el Día Internacional de la Protección de Datos. En el marco de esta conmemoración, ESET brinda una serie de recomendaciones clave para defender la privacidad en línea en 2024 e indica que la educación continua contribuye a la adaptación y protección contra amenazas emergentes. 

1. Concientización sobre la importancia de los datos: es crucial comprender el valor de los datos y reconocer que la información en línea puede ser un activo valioso. Nombres, direcciones, números de teléfono, historiales médicos y financieros, todo puede ser vendido en bases desarrolladas por atacantes cibernéticos para diferentes usos criminales. De ahí que la concientización sea el primer paso para proteger eficazmente estos activos.

2. Prácticas de contraseñas robustas: utilizar contraseñas únicas y sólidas para cada cuenta es fundamental. Se recomienda el uso de combinaciones de letras mayúsculas y minúsculas, números y caracteres especiales, cambiándolas cada cierto tiempo. La autenticación con doble verificación (2FA) también agrega una capa adicional de seguridad.

3. Actualización y parches de software: mantener todos los dispositivos y softwares actualizados con los últimos parches de seguridad es vital para protegerlos, ya que los ciberdelincuentes aprovechan la mínima vulnerabilidad para acceder a datos sensibles. Se deben utilizar antivirus y firewalls, que son herramientas de seguridad confiables. 

4. Políticas de privacidad: Al compartir datos en línea, es vital revisar y comprender las políticas de privacidad de los servicios y plataformas utilizados. Asegúrese de estar de acuerdo con la forma en que se recopilan, almacenan y utilizan sus datos personales, así evitará compartir más información de la solicitada Esto reduce la exposición a posibles amenazas de privacidad.

5. Evaluación de configuración de privacidad: revise y ajuste la configuración de privacidad en sus perfiles en línea y dispositivos. Asegúrese de tener un control adecuado sobre quién puede acceder y ver su información.

6. Backups regulares: realice copias de seguridad periódicas de sus datos importantes. En caso de una violación de seguridad, ayudará a minimizar las pérdidas.

7. Colaboración entre usuarios y empresas: fomentar una relación colaborativa entre usuarios y empresas es esencial. Las empresas deben ser transparentes sobre sus prácticas de manejo de datos y los usuarios deben ser proactivos en la protección de su información.

Camilo Gutiérrez, jefe de  laboratorio de ESET, nos explica “que la información concerniente a los individuos es procesada, almacenada o transmitida a través de la infraestructura tecnológica de las instituciones gubernamentales, para cumplir con los propósitos de cada una de ellas, Por lo tanto, la información personal puede ubicarse en una enorme diversidad de sitios, ya que no solo se encuentra en instancias personales sino también gubernamentales, también debemos considerar otros niveles”.  

La protección de datos personales en línea es una responsabilidad compartida. Al seguir estas pautas, podemos contribuir a un entorno en línea más seguro y protegido para todos.

Cinco claves para la protección de menores en línea en el regreso a clases.

En el regreso a clases es importante velar por la seguridad digital de los menores de edad, tanto en las escuelas como en el hogar, ya que los ciberdelincuentes aprovechan sus horas en línea para cometer delitos de diversa índole contra ellos.

Por esta razón, los investigadores de ESET, compañía líder en detección proactiva de amenazas, comparten cinco consejos para una mejor educación digital en el regreso a clases:

1.Uso del smartphone: es una herramienta que no solo brinda la posibilidad de obtener información inmediata, sino que también permite estar en contacto con los menores en todo momento; sin embargo, los padres o encargados deben establecer un límite de uso, favoreciendo que los menores no caigan en el uso abusivo. Esto último puede ser el canal para que establezcan relaciones con adultos que se hacen pasar por niños, lo que se conoce como el Grooming, y cuya finalidad suele tener intenciones sexuales o de abuso para los menores.

2.Herramientas de control parental:  es el uso de herramientas de control parental es una buena práctica que ayuda a supervisar cuánto tiempo los niños y niñas pasan en línea y que establece horarios, filtros de acceso a información y bloqueo a contenido específico; esta opción se aplica principalmente en los hogares y bajo supervisión; sin embargo, es vital que en las escuelas y colegios se desarrollen estos buenos hábitos. Esta tarea conlleva una explicación a los menores sobre cuándo se puede, cuándo no y cuáles son los motivos, haciendo la comprensión más sencilla.

3.Uso de redes sociales, fotos y geolocalización: compartir fotografías, videos, estados de ánimo, mensajes, entre otros, son actividades cotidianas y con el regreso a clases se incrementan. Por eso, la educación respecto a mantener los datos en privado es fundamental para no perder el control sobre lo que se comparte público en Internet. Los datos son una minería para los ciberatacantes ya que se pueden vender en el mercado negro.

Otro aspecto para tener en cuenta es la geolocalización con los teléfonos modernos. Se recomienda no dar acceso a la ubicación a aquellas redes sociales u otras aplicaciones que puedan igualmente funcionar sin ella. Hay que revisar los permisos que se otorgan a las aplicaciones y revocar aquellos que no sean necesarios.

4.Concientización sobre los riesgos más comunes: el phishing es actualmente uno de los riesgos latentes en cuanto a seguridad informática. Los estudiantes, maestros y personal en general de las instituciones están expuestos a hacer clic en enlaces maliciosos que pueden proporcionar a los ciberdelincuentes acceso a la red de la escuela y a información de valor. La mejor manera de contrarrestar ese tipo de riesgos es a través de la concientización y capacitación de los usuarios.

5.Fomentar actividades extracurriculares: alentar a los menores a que realicen actividades extracurriculares es crucial, no solo para su desarrollo físico e intelectual, sino para que tengan un descanso de la tecnología. Hacer una actividad que los aleje al menos por una o dos horas de Internet será ideal para abandonar por un rato el mundo digital y centrarse en el físico, con otras actividades y potenciales hobbies.

“Educar y sensibilizar a los usuarios ayuda a crear una cultura de conciencia en cuanto a ciberseguridad, de igual forma hace que esas personas sean menos propensas a convertirse en víctimas de los cibercriminales. Los directivos de las escuelas, los padres y encargados deben asegurarse de construir un clima de confianza con los menores, propiciando conversaciones recurrentes y transparentes sobre los riesgos que existen en Internet, logrando que los chicos acudan a ellos en caso de riesgos o dudas”, recomienda Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

ESET impulsa una iniciativa llamada Digipadres, un portal que tiene como objetivo acompañar tanto a padres como docentes en el cuidado de los niños en internet. A través de los materiales que se comparten se busca generar conciencia sobre los riesgos y amenazas del mundo digital, asumiendo un compromiso con la educación sobre Seguridad de la Información.