¿Son seguros controles de accesos biométricos?

Los accesos biométricos se han utilizado ampliamente en entornos corporativos durante muchos años, pero cada vez más comienzan a aparecer en la vida personal, más precisamente para permitir la entrada a condominios o edificios particulares y esto, según ESET, compañía líder en detección proactiva de amenazas, trae varios puntos para tener en cuenta con respecto a la seguridad.

Los datos biométricos son vistos, por ejemplo, por la Ley General de Protección de Datos (LGPD), como datos sensibles, y se exige que sean tratados con más discreción que los datos personales. En el caso de la biometría facial, estos datos tienen aún más información que puede presentar características étnicas, convicciones religiosas e incluso aspectos relacionados con la salud de las personas. La ley no estipula qué medios deben aplicarse para dicha protección de datos, sino que basa sus fundamentos en los pilares de la seguridad de la información, valorando su integridad, disponibilidad y confidencialidad, y las empresas deben aplicar todos los esfuerzos necesarios para lograr este objetivo.

“Asumiendo que los datos están adecuadamente protegidos y que todos los procesos están siendo seguidos por quienes almacenarán estos datos, observando el funcionamiento de algunos de estos edificios y condominios en las ciudades que utilizan estos sistemas, me di cuenta de que la comunicación no es clara con los residentes, haciendo entender a algunos que el reconocimiento facial es la única alternativa de acceso y esto no es ni puede ser cierto”, comenta Daniel Cunha Barbosa, Investigador de Seguridad Informática de ESET Latinoamérica.

Los tipos de control de acceso más comunes, son el acceso biométrico por reconocimiento facial, que establece que los datos pueden ser tratados con normalidad si se cumplen una serie de requisitos, como el consentimiento explícito del interesado, así como el cumplimiento de una serie de obligaciones para proteger estos datos. Si el titular se niega a proporcionar sus datos biométricos, las empresas responsables de la seguridad perimetral deberán ofrecer alternativas para el acceso del titular y sus invitados. Otras formas de control de acceso puede ser a través de huellas dactilares, lectura de tarjetas de proximidad (NFC), PIN numéricos o, en los últimos casos, incluso el uso de una llave. 

A la hora de conceder accesos, ya sea adoptando la biometría o alguna medida alternativa desde ESET recomiendan analizar los posibles incidentes de seguridad que pueden presentarse:

Incidentes de seguridad con el titular: Si la persona que tiene un derecho legítimo a entrar en el edificio se encuentra bajo algún tipo de coacción impuesta por terceros, los medios utilizados para autorizar esta entrada no suelen tener repercusión. Ya sea con reconocimiento biométrico facial, biometría de huellas dactilares, tarjeta, PIN o llave, la víctima será coaccionada para usarlo y el resultado sería básicamente el mismo. A su vez, los objetos utilizados para abrir puertas, como llaves y tarjetas, pueden perderse, ser robados o perforados, lo que puede tener impactos muy negativos en la seguridad.

Incidentes de seguridad en un entorno protegido por biometría: Este tipo de escenario es el más preocupante porque suelen tener un impacto alto, y pueden afectar a todos los que forman parte de este entorno.

Incidentes de seguridad en medios digitales, los directamente vinculadas a cuestiones relacionados con el acceso a la estructura, son:

• Registro de uno o varios medios de acceso al entorno para uno o varios delincuentes: permite a los ciberdelincuentes autorizar su propio ingreso por cualquiera de los medios disponibles por el equipo, asegurando el acceso sin necesidad de interacción con otras personas.

• Robo de datos registrales y biométricos: en posesión de datos registrales y biométricos, especialmente biométricos de reconocimiento facial, es posible registrarse, comprar productos e incluso solicitar préstamos, realizando las validaciones necesarias con la imagen recolectada de la víctima.

• Deshabilitar dispositivos o eliminar usuarios de la base: ambas acciones tienen como objetivo evitar que cualquier usuario acceda al entorno, ya sea el entorno digital o físico.

• Incidentes de seguridad en medios físicos: este tipo de incidentes tiene el agravante de que los delincuentes ya estarán físicamente dentro del entorno y también pueden causar daños a los usuarios y sus bienes.

El equipo de investigación de ESET, describe algunas de las mejores prácticas adoptadas para abordar de manera más adecuada la seguridad de un entorno como este: 

 Para usuarios: Asegurarse de que el entorno cuenta con buenas prácticas de seguridad y protección de datos, ya sean biométricos o no. Si se adoptan métodos alternativos de acceso, como tarjetas de identificación o llaves, asegurarse de que siempre permanezcan en posesión del propietario, sin olvidarlas sin supervisión en ningún lugar.

 Para empresas: 

• Proteger todos los dispositivos presentes en el entorno con un software de protección robusto, como protecciones de endpoints (antivirus).

• Asegurarse de que todos los usuarios han dado su consentimiento formal para el tratamiento de sus datos personales.

• Instruir a los empleados sobre la necesidad de ofrecer formas alternativas de acceso más allá de la biometría.

• Restringir el acceso a los equipos de control relacionados con el acceso biométrico y los datos personales solo a los empleados que realmente lo necesiten. 

Riesgos de entrar en sitios web falsos.

En un mundo cada vez más globalizado, la navegación en Internet se ha convertido en un hábito cotidiano. Se navega en la red para múltiples finalidades desde obtener información hasta realizar operaciones comerciales. En este contexto, los sitios web falsos también conocidos como sitios de phishing o fraudulentos, presentan la particularidad de camuflarse e imitar en apariencia a los sitios web legítimos, buscando engañar a las personas para que revelen información confidencial, como contraseñas o datos de tarjetas de crédito, haciéndose pasar por una entidad de confianza. 

Según el ESET Security Report (ESR) 2023, en América Latina los países con el mayor porcentaje de detecciones de códigos maliciosos en campañas de phishing son Ecuador 8%, seguido por Costa Rica 7,2%, Colombia 5,7%, Guatemala 5,2% y El Salvador 5,1%. Según el mismo informe, un 70% de las empresas consultadas considera que el phishing es la forma de ataque más común, seguida por malware (63%) y en tercer lugar los que buscan robar credenciales de acceso (56%). Vale la pena mencionar que el 49% de las empresas consultadas confirmó que recibió intentos de ataque que buscaban explotar una vulnerabilidad.

Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica recomienda estar siempre atentos a los primeros resultados obtenidos de la búsqueda de una página de Internet ya que “en dichos resultados puede haber sitios falsos que pretenden hacerse pasar por legítimos con el objetivo de robar dinero, contraseñas o incluso hacer que el usuario descargue malware en sus dispositivos”. Generalmente, son sitios que parecen ser patrocinados por marcas reconocidas, que han logrado posicionarse en los buscadores para aparecer como primeras opciones en los resultados de las exploraciones, imitan a sus contrapartes originales con el objetivo de generar confianza y lograr la interacción deseada, agrega el experto.

Para evitar caer en los sitios falsos lo mejor es conocerlos, identificando las diversas técnicas que utilizan para engañar a sus víctimas:

• Imitación: copian la apariencia de sitios web legítimos, como bancos, tiendas online o redes sociales, para generar confianza. 

• Ingeniería social: utilizan mensajes urgentes, ofertas atractivas o incluso amenazas para presionar a las personas a actuar sin pensar.

• Enlaces engañosos: envían correos electrónicos o mensajes de texto con enlaces que parecen llevar a sitios legítimos, pero en realidad dirigen a sitios falsos.

• Formularios falsos: crean formularios que solicitan información personal o financiera, haciéndose pasar por formularios legítimos. 

El experto de ESET indica que “cualquier persona puede ser víctima de un sitio web falso”, sin embargo, algunos grupos son más propensos:

• Usuarios nuevos en internet: aquellos con poca experiencia en la navegación online pueden ser más susceptibles a tácticas de engaño.

• Personas mayores: pueden ser más propensas a confiar en sitios web que parecen legítimos y a ser menos conscientes de las estafas online.

• Usuarios apresurados: los que navegan por internet de forma rápida y distraída pueden pasar por alto las señales de alerta de un sitio falso.

Para evitar caer en la trampa de un sitio web falso, es importante seguir estas recomendaciones que comparte ESET:

1. Verificar la URL: antes de ingresar cualquier información, asegúrese de que la URL sea la correcta del sitio web que desea visitar. Compare la URL con la que recuerda o busque el sitio web en un motor de búsqueda confiable.

2. Buscar el candado verde: cuando ingrese información personal o financiera, busque el símbolo de candado verde en la barra de direcciones. Esto indica que el sitio web está utilizando una conexión segura (HTTPS).

3. No ingresar información personal en sitios desconocidos: evite ingresar datos personales o financieros en sitios web que no conoce o que no le inspiren confianza.

4. Instalar software de seguridad: mantenga actualizado su antivirus y antispyware para protegerse contra malware que pueda ser instalado en su dispositivo desde un sitio web falso.

5. Denunciar los sitios web falsos: si encuentra un sitio web falso, repórtelo a las autoridades correspondientes o a organizaciones especializadas en seguridad online.

Cuidado con la estafa con criptomonedas que circula por WhatsApp

Cada vez son más frecuentes las estafas que utilizan WhatsApp como forma de contactar a las posibles víctimas. ESET, compañía líder en detección proactiva de amenazas, alerta sobre una nueva estafa que circula por esta plataforma de mensajería, la cual hace creer al destinatario que tiene crédito en criptomonedas listo para ser retirado de una billetera virtual (wallet), abierta a su nombre.

“Como siempre decimos, si algo parece muy bueno para ser verdad, lo más probable es que efectivamente no lo sea. Desconfía siempre de ofertas únicas o supuestas oportunidades de ganancias monetarias fuera de lo común, con montos exagerados. Cuando la limosna es grande hasta el santo desconfía.”, comentó Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica. 

“¡Bienvenido! David, Tu cuenta financiera ha sido agregada”, así inicia el mensaje que llega al WhastApp de la posible víctima, donde le asegura que tiene a su disposición una billetera virtual con un monto acreditado en criptomonedas, ya listo para ser retirado y transferido a su cuenta bancaria en moneda local. Para ello, en el mismo mensaje, se le da al usuario las credenciales para acceder a la wallet y comenzar a operar los criptofondos que supuestamente tiene ya disponibles. Una vez que el usuario busca retirar el dinero prometido, es donde los estafadores pedirán una transferencia para poder liberar esos fondos inexistentes. Además de relevar datos personales de cada usuario mediante una web que simula ser una plataforma de intercambio (Exchange) de criptomonedas, los criminales se quedan con los fondos que cada víctima les transfiere.

Si bien el mensaje puede tentar a quien lo recibe, desde ESET indican que hay muchas señales de alerta que es importante revisar antes de actuar, ya que ayudan a distinguir inmediatamente las estafas:

Número desconocido: Sin dudas, el primer punto es la recepción de un mensaje de un contacto con un número de prefijo de dudosa procedencia, tal como podemos observar hasta la propia aplicación de mensajería nos advierte que el mensaje proviene de un número desconocido y aprovecha para recordarle al usuario revisar sus configuraciones de seguridad.

Sitios que no puede verificarse su autenticidad: En este caso, el mensaje contiene un enlace que lleva al usuario a un sitio que simula ser una página de operaciones con criptomonedas -similar a cualquier crypto Exchange-, pero que tiene detalles que deben ser vistos como alertas.

Por un lado, si buscamos información del sitio en Google, se puede observar que nadie reconoce este sitio para operar con criptos y si se valida la información del dominio, se identifica que tiene una antigüedad de 6 días; más que suficientes argumentos para considerar al sitio como falso.

Por otro lado, la dirección de soporte que muestra la web también da la idea de que no es un sitio válido, ya que tiene un mail genérico como contacto de ayuda.

Ganancia inmediata de origen desconocido: Se puede observar que el dinero prometido se encuentra acreditado, en la supuesta cuenta, a nombre de la víctima. Esto hace tentar al usuario, pero a la vez es una de las mecánicas más comunes en este tipo de estafas: ganancias que caen del cielo, pero para las cuales se necesita pagar alguna suma para “liberar” el premio, regalo o descuento.

Las personas que se dejan seducir por esta oferta y prosiguen con la interacción en el sitio web, pueden transferir a los estafadores el monto que solicitan, con la esperanza de liberar los fondos en criptomonedas que nunca existieron. Hasta ese momento llegan a darse cuenta de la estafa, pero ya nada se puede hacer para recuperar el dinero.

ESET comparte consejos de seguridad fundamentales para evitar caer en este tipo de engaños:

• No responder al mensaje ni hacer clic en ningún enlace.

• Eliminar el mensaje inmediatamente.

• Contactar directamente al banco o empresa financiera para verificar la información de la cuenta.

• Cambiar la contraseña utilizando un canal seguro.

• Reportar el mensaje como spam o phishing con el proveedor de telefonía móvil.

• Investigar a fondo la empresa: Buscar información en internet, en foros y en sitios web de reseñas.

• Verificar la información legal: Buscar el registro de la empresa en las autoridades correspondientes.

• No invertir dinero que no se está dispuesto a perder: Las inversiones en criptomonedas siempre conllevan un alto riesgo.

• Utilizar plataformas de intercambio confiables: Investigar y elegir plataformas con buena reputación y trayectoria.

• Tener cuidado con los mensajes no solicitados: Desconfiar de los mensajes que ofrecen inversiones sin haberlas solicitado.

“Es importante recordar que los bancos y empresas financieras nunca te pedirán información personal o financiera por mensaje de texto. Si tienes dudas sobre la veracidad de un mensaje, es mejor que te pongas en contacto directamente con la entidad emisora.”, agregó Micucci de ESET Latinoamérica.

Recomendaciones para tener una contraseña a prueba de hackers

Una de las primeras líneas de defensa contra la invasión de la privacidad y el robo de identidad es una contraseña fuerte y segura. Con el aumento de la digitalización de nuestras vidas, la seguridad es una preocupación creciente. Por esto, ESET, compañía líder en detección proactiva de amenazas, explica cómo saber si tu contraseña es realmente segura.

A la hora de crear una contraseña fuerte, es fundamental tener en cuenta varios aspectos que aumentan su resistencia a los ciberataques. Estos son algunos puntos clave que comparte ESET:

• Longitud: La longitud de una contraseña es un factor clave en su seguridad. Las contraseñas más largas proporcionan una barrera que es más difícil de penetrar para los ataques de fuerza bruta, en la que los piratas informáticos intentan todas las combinaciones posibles para obtener acceso a una cuenta. Se recomienda que las contraseñas tengan al menos 12 caracteres, pero cuanto más largas, mejor. Una contraseña con 20 caracteres o más es aún más segura.

• Complejidad: Además de la longitud, la complejidad de las contraseñas juega un papel crucial en su seguridad. Una contraseña segura debe incluir una variedad de caracteres, como letras mayúsculas y minúsculas, números y símbolos especiales como @, #, $, % y más. La inclusión de estos elementos aumenta exponencialmente el número de combinaciones posibles, haciendo que la contraseña sea mucho más difícil de descifrar.

• Aleatoriedad: Evitar patrones predecibles o secuencias obvias. Las contraseñas que consisten en palabras comunes, nombres de personas, fechas de nacimiento o cadenas como "123456" o "qwerty" son extremadamente vulnerables a los ataques. Opta por contraseñas generadas aleatoriamente o crea tus propias combinaciones que no tengan nada que ver con la información personal.

• Diversidad: Es tentador usar la misma contraseña para varias cuentas, después de todo, es más fácil de recordar. Sin embargo, esta práctica es muy arriesgada. Si una contraseña se ve comprometida en una cuenta, todas las demás cuentas que comparten esa contraseña son vulnerables. Por lo tanto, debes utilizar contraseñas diferentes para cada cuenta en línea que tengas.

“Mantener actualizadas las contraseñas también hace a la seguridad. Es importante no solo crear contraseñas seguras, sino también actualizarlas regularmente. Esto es especialmente importante si sospechas que tus cuentas pueden haber sido comprometidas. Al cambiarlas periódicamente, reduces el tiempo de exposición en caso de una brecha de seguridad.”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Tener en cuenta estos principios fortalecerá significativamente la seguridad de tus cuentas en línea, reducirá los riesgos de vulneraciones y protegerá tu información personal. Un administrador de contraseñas puede ayudarte a manejar de forma segura varias contraseñas, sin necesidad de memorizarlas. Estas herramientas te permiten almacenar de forma segura varias contraseñas. Además, muchos administradores de contraseñas ofrecen funciones para generarlas automáticamente, lo que elimina la necesidad de crearlas manualmente.

¿Cómo agregarles seguridad a tus cuentas?

Además de crear contraseñas seguras, hay una serie de pasos adicionales que puedes tomar en cuenta para fortalecer la seguridad y proteger tu información personal, como la autenticación de dos factores (2FA). La autenticación de dos factores es una capa adicional de seguridad que requiere no solo la contraseña, sino también un segundo método de verificación, como un código enviado a tu teléfono móvil o generado por una aplicación de autenticación. Al habilitar 2FA es más difícil el acceso no autorizado, incluso si la contraseña se ve comprometida.

“En un mundo donde la seguridad en línea es una prioridad absoluta, tomar estas medidas adicionales de protección es esencial para garantizar la seguridad de tus cuentas e información personal. Al seguir estas pautas y mejores prácticas, puedes navegar por Internet con más confianza, sabiendo que tus cuentas en línea están protegidas de las amenazas cibernéticas.”, concluyó Gutiérrez Amaya de ESET Latinoamérica. 

¿Me puedo infectar descargando una aplicación de Google Play?

Para utilizar cualquier servicio o red social es necesario descargar una aplicación en un dispositivo móvil. ESET, compañía líder en detección proactiva de amenazas, advierte que es posible infectar un dispositivo al descargar una app desde Google Play y comenta de qué manera se puede reducir el riesgo de infección.

“Siempre que se deba descargar alguna aplicación es ideal realizarlo desde Google Play u otros repositorios oficiales como App Store. El riesgo de infectarse mediante la descarga de una app maliciosa es muchísimo mayor si se realiza por fuera de estos repositorios. Ahora bien, esto no quiere decir que lo descargado en las tiendas oficiales sea 100% confiable. Diversas aplicaciones maliciosas logran pasar las barreras de seguridad y están disponibles en Google Play, hasta que son denunciadas y dadas de baja.”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Una de las vías mediante las que el malware logra evadir los controles y barreras de Google son las actualizaciones de las aplicaciones. Esta técnica se conoce como “carga dinámica de código” o DCL, por sus siglas en inglés; y se basa en que un desarrollador malintencionado logra publicar una versión legítima en Google Play Store, pero luego cambia el código y la convierte en maliciosa mediante una actualización. Esta actualización posterior se realiza desde servidores externos, pero los usuarios terminan creyendo que es una actualización legítima desde la tienda, ya que los cibercriminales simulan las ventanas emergentes desde donde se realizó la descarga.

El equipo de ESET descubrió, por ejemplo, una aplicación troyanizada para Android que había estado disponible en la tienda Google Play con más de 50,000 instalaciones. La aplicación llamada iRecorder – Screen Recorder se cargó sin malware en septiembre de 2021. Sin embargo, la funcionalidad maliciosa se implementó más tarde, en una nueva versión que estuvo disponible en agosto de 2022. 

Algunos puntos que se deben tener en cuenta para poder detectar una aplicación maliciosa o falsa en Google Play, son:

Posición en el ranking y reviews: Un primer indicio puede ser que la aplicación no aparezca en los primeros lugares de los rankings de las más descargadas. Otra alarma podrían ser las valoraciones negativas o, por el contrario, si cuenta con demasiados reviews, cuando en realidad no tuvo muchas descargas.

Apariencia: Las aplicaciones maliciosas buscan imitar a las reales, usando logos parecidos, aunque no idénticos. También es conveniente prestar atención a la descripción de la aplicación y verificar si existen problemas de gramática o datos incompletos.

Existen muchos ejemplos, como: aplicaciones bancarias y de préstamos, para leer PDF, para grabar pantalla, otras de wallpapers y hasta aquellas que se valen del boom de las criptomonedas, que buscan encontrar víctimas desprevenidas.

ESET comparte algunas buenas prácticas para minimizar el riesgo de infectarse mediante la descarga de una aplicación de Google Play:

• Utilizar una solución de seguridad para dispositivos móviles que sea confiable para bloquear y remover amenazas.

• Solo confiar en apps cuyo enlace se encuentre en el sitio oficial del servicio.

• Mantener el software del dispositivo actualizado.

• Verificar los permisos que solicitan las aplicaciones al momento de instalarlas: si piden permisos innecesarios, puede ser indicio de una intención sospechosa.

• Revisar los comentarios, valoraciones, cantidad de descargas y quién es el desarrollador de la app que se desea descargar desde Google Play.

ChatGPT: más de 225.000 credenciales comprometidas se venden en la Dark Web.

ESET, compañía líder en detección proactiva de amenazas, analiza el caso de las más de 225.00 credenciales de ChatGPT que estuvieron disponibles para su venta en la Dark Web, luego de ser robadas, entre enero y octubre de 2023.

Los datos, rescatados en un informe del Grupo IB, indican que más de 100.000 registros fueron comprometidos entre enero y mayo de 2023, y más del 35% en los meses siguientes. Si bien el número de credenciales comprometidas disminuyó entre junio y julio, volvió a crecer en agosto y septiembre y alcanzó su pico máximo en octubre (más de 33.000). Los infostealers asociados principalmente son  LummaC2, Raccoon y RedLine.

El malware del tipo infostealer tiene como objetivo robar información del equipo infectado y enviarlo a los cibercriminales. Este tipo de código malicioso suele ser distribuido en mercados clandestinos de la dark web por poco dinero para que otros actores maliciosos lo utilicen en sus campañas. El detalle de las tres principales familias de infostealers vinculadas a las credenciales de chatGPT comprometidas, es el siguiente:

• LummaC2: 70,484

• Mapache: 22,468

• RedLine: 15,970

“Esto se condice a la notoria actividad que han tenido estas familias en el último tiempo. De hecho, desde ESET hemos analizado casos puntuales de Lumma (afectando el mercado cripto) y RedLine (obteniendo credenciales a través de enlaces maliciosos en la descripción de videos de YouTube), confirmando así que el campo de acción es tan amplio como aleatorio”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

¿Cómo afecta esto a los usuarios?

Así como los cibercriminales han mostrado un dedicado interés en obtener acceso a computadoras corporativas y sistemas para lograr el acceso a la red interna, según ESET, ahora han ampliado su mira, poniendo el foco también en aquellos dispositivos que acceden a sistemas públicos de Inteligencia Artificial.

Al acceder al historial de comunicación que existente entre colaboradores de una organización y este tipo de chatbots, los ciberatacantes pueden obtener registros en los cuales haya datos confidenciales, información sobre la estructura interna de la empresa y claves de autenticación, entre otros. Así, no solo que podrían ejecutar ataques mucho más sofisticados y dañinos, completar tareas de espionaje o identificar vulnerabilidades que puedan explotar.

Los infostealers ponen a disposición de los cibercriminales una cantidad de información que, combinada con el abuso de credenciales de cuentas válidas, puede servir como acceso inicial a diversas cuentas empresariales. 

“La mejor defensa para los usuarios finales, ante esta y otras formas de cibercrimen, es prestar atención y estar alertas mientras navegamos online, por sobre todo cuando ingresamos información sensible y personal. Para las empresas que desarrollan y despliegan sistemas de IA cabe la responsabilidad de implementar medidas de seguridad robustas para proteger a los usuarios contra estos abusos y fraudes”, concluye Gutiérrez Amaya de ESET Latinoamérica.

¿Cómo pueden robar las claves de acceso a tu banco?

Las credenciales bancarias representan uno de los activos más valiosos para las personas: obtenerlas significa para los cibercriminales tener en sus manos la llave que abre una caja fuerte virtual, y disponer del dinero de sus víctimas. Para ello, emplean diversas técnicas que, en caso de encontrar a usuarios desprotegidos, desprevenidos o descuidados, suelen dar sus frutos. ESET, compañía líder en detección proactiva de amenazas, repasa cuáles son las 5 técnicas principales y de qué manera es posible protegerse del robo de una información tan sensible como crítica.

ESET comparte las cinco principales estrategias que utiliza el cibercrimen para robar las claves bancarias, y de qué manera es posible protegerse de estos ataques:

1. Sitios falsos: Los estafadores emplean una URL que incluye el nombre del banco y que hasta tiene una apariencia similar al oficial. El nombre del sitio suele ser casi idéntico al nombre que utiliza el banco en sus cuentas de Twitter e Instagram, con una mínima diferencia (puede ser a veces de una sola letra). De hecho, una búsqueda en Google puede llevar a estos sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda, muchas veces en forma de anuncios.

Ya en el sitio falso, la estética y el diseño son idénticos a los de la página oficial. Y para acceder al supuesto homebanking es que incluye los campos en los que las víctimas deben ingresar credenciales de inicio de sesión, que en realidad serán para ciberdelincuentes. Una vez que la persona ingresa su nombre de usuario y contraseña, el sitio suele simular que verifica los datos entregados, cuando en ese tiempo en realidad los cibercriminales inician sesión con las credenciales robadas en el sitio legítimo del banco.

Recientemente se identificaron dos sitios falsos que se hacían pasar por la web oficial del Banco Itaú (reconocida entidad con presencia en varios países de América Latina), con el objetivo de robar las credenciales bancarias de clientes en Argentina y también en Brasil. En casos como este es necesario aclarar que el banco también es víctima, ya que se utiliza su nombre para engañar a sus clientes. De hecho, en la página oficial la entidad comparte diversos consejos para evitar que las personas caigan en distintos tipos de fraudes en su nombre.

Sitios comprometidos previamente: Otra vía utilizada por los cibercriminales es comprometer sitios previamente para desde allí obtener las credenciales bancarias de usuarios y usuarias. Los cibercriminales pueden explotar una vulnerabilidad en scripts o plugins agregados que no se encuentren actualizados, o bien aquellas fallas de seguridad que no han sido descubiertas. Así, pueden agregar una redirección desde el sitio víctima hacia el sitio del atacante, desde el cual podrán obtener las credenciales. Por otra parte, los atacantes muchas veces crean una página apócrifa dentro del sitio web oficial, que se hace pasar por entidad. Una vez que las víctimas se encuentran dentro de estas páginas falsas es muy probable que se solicite ingresar los datos bancarios.

2. Malware: El malware ha evolucionado a pasos agigantados, de hecho se comercializan diferentes tipos de códigos maliciosos. Los troyanos bancarios, con gran presencia en toda la región, han causado daños por una cifra que asciende a los 110 millones de euros. Mekotio, Casbaneiro, Amavaldo o Grandoreiro son solo algunas de las familias capaces de realizar distintas acciones maliciosas, pero que se destacan puntualmente por suplantar la identidad de bancos mediante ventanas emergentes falsas y así robar información sensible de las víctimas.

Hay distintas manera en que los cibercriminales pueden colocar ese tipo de malware en los equipos de sus víctimas. Por un lado, mediante correos de phishing o mensajes de texto. También a través de anuncios maliciosos, el compromiso de un sitio web que recibe muchas visitas (ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio) y hasta puede estar oculto en aplicaciones móviles maliciosas que simulan ser legítimas.

3. Llamadas telefónicas: Dado que los estafadores son profesionales en su rubro y suelen contar historias de manera muy convincente, se valen de la ingeniería social para engañar y robar información sensible, como las claves de acceso del banco. Los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, con el único objetivo de lograr una comunicación más personal que a través de un correo electrónico: así la manipulación es más fácil de llevar a cabo. Como excusa de llamada pueden utilizar el informar sobre algún problema puntual con la cuenta bancaria o de un movimiento fraudulento asociado a la víctima. Para la supuesta resolución es que solicitarán información personal y las claves de acceso a la cuenta.

Otra excusa utilizadas para este tipo de engaño fue el pago de un bono por parte del Ministerio de Desarrollo Social en la Argentina (que pedía los accesos del banco para entregarlo), pero también hay engaños que incluyen hacerse pasar por el servicio de atención al cliente de un banco o entidad reconocida. De hecho, son varias las entidades bancarias las que en su sitio web advierten de esta amenaza y brindan información muy útil de prevención para sus usuarios y usuarias.

4. Perfiles falsos en redes: Otra táctica común y muy eficiente es el armar perfiles falsos en las redes sociales (léase Facebook, Instagram o Twitter), y desde allí llevar a cabo el engaño que termine en la obtención de credenciales de acceso bancario de víctimas desprevenidas o desinformadas. 

Hay múltiples ejemplos en Twitter e Instagram que evidencian como los estafadores monitorean los comentarios que hacen los usuarios con ciertas palabras clave o cuando etiquetan a un perfil verificado. Se valen de la urgencia que generalmente llevan estos mensajes (suelen ser reclamos o algún tipo de inconveniente a resolver) y a través de estos perfiles falsos (sin marca de verificación) envían mensajes directos haciéndose pasar por la cuenta oficial del banco. Tal es así que utilizan el mismo logo y una variación del nombre oficial, y hasta ofrecen el contacto del servicio de atención al cliente o bien piden un número de contacto. Finalmente, las víctimas son contactadas por falsos representantes de atención al/la cliente que buscarán extraer información, como claves de acceso, tokens u otros datos para poder acceder a sus cuentas y vaciarlas.

5. Scraping: El scraping o “rascado” funciona una vez que una persona empieza a seguir la cuenta oficial de un banco en redes sociales para realizar una consulta, los ciberatacantes la contactan por privado, de manera inmediata, haciéndose pasar por el banco en cuestión. Si la víctima responde el mensaje sin verificar que se trata de una cuenta real o falsa, el supuesto asesor pedirá un número de teléfono para continuar con la consulta por esa vía. Allí utilizarán toda la información disponible en las redes sociales e internet en general para hacerle creer a la víctima de que realmente es un colaborador del banco y que está allí para darle soporte. Una vez que la víctima entra en confianza, el supuesto asesor pedirá la información bancaria, que le servirán para vaciar la cuenta.

Desde ESET comparten buenas prácticas que permiten reducir sensiblemente el riesgo de ser víctima de estafas:

• Verificar la dirección web visitada y confirmar que es la correcta.

• Comprobar que el sitio web tenga un certificado de seguridad válido, firmado por la compañía que dice ser.

• No brindar información personal o financiera, si no se cuenta con la seguridad de que el sitio web es legítimo.

• No divulgar ningún detalle por teléfono, incluso si la persona del otro lado suena convincente. Consultar de dónde están llamando y luego volver a llamar a esa organización para verificar. Es clave no utilizar los números de contacto proporcionados por esa persona.

• No hacer clic en enlaces ni descargar archivos de correos electrónicos, mensajes de redes sociales, mensajería instantánea (WhatsApp, Telegram), o de texto sospechosos o de remitentes desconocidos.

• Siempre utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas, y mantenerlo actualizado.

• Descargar aplicaciones de tiendas oficiales, como la App Store o Google Play.

“El primer paso como siempre en estos casos es interiorizarse y mantenerse informado de las estrategias y técnicas que utilizan los cibercriminales para obtener las credenciales bancarias y cualquier otro tipo de información sensible. Y la principal aliada en esto de mantener las claves protegidas es una solución de seguridad, que cuide las operaciones en línea, pero sobre todo, las bancarias. Las soluciones de seguridad también evolucionaron y, por ejemplo, de ESET se destaca la “Protección de banca y pagos en línea”, que asegura que cada una de las transacciones estén protegidas dentro de un entorno seguro y confiable, brindando protección contra el fraude online. Además, el modo de navegador seguro ofrece protección automática para las operaciones bancarias en línea y encripta automáticamente la comunicación entre el teclado y el navegador (en todos los navegadores compatibles) para proveer una capa de seguridad adicional frente a keyloggers, malware y otros tipos de amenazas digitales”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

10 cosas que se debe evitar publicar en las redes sociales y por qué no debes hacerlo

Cientos de millones de personas se conectan cada día a sus redes sociales favoritas para comprar, compartir fotos y noticias, revisar publicaciones y comentarios, enviar mensajes privados y mucho más. Pero, en relación a compartir información personal en exceso, ESET, compañía líder en detección proactiva de amenazas, asegura que puede dar a ciertas problemáticas como la  suplantación de identidad, permitir que ciberdelincuentes accedan contraseñas e incluso poner en peligro de robo pertenencias personales.

“Aunque te consideres experto/a en privacidad, quienes gestionan las plataformas actualizan a menudo sus sitios web y aplicaciones, por lo que es esencial estar actualizados y realizar una vigilancia constante. Con esto en mente, es importante considerar algunos puntos que sería mejor no compartir en las redes sociales, y por qué hacerlo puede poner en riesgo tu seguridad física y digital o la de tus amigos y familiares”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los 10 puntos que según ESET es mejor no compartir en redes sociales, son:

1. Información personal identificable (IPI): quienes realizan estafas están siempre a la caza de pequeños datos que puedan unir para crear una identidad con la que estafar. Podrían utilizar esta información para solicitar un crédito a nombre de alguien más o abrir cuentas en Internet. Peor aún, podrían utilizarla para descifrar las contraseñas y/o preguntas secretas, con el fin de apropiarse totalmente de alguna cuenta. Algo tan inocuo como el nombre de la mascota o la fecha de nacimiento debería mantenerse en secreto.

2. Planes de viaje: Publicar una foto o una actualización diciendo que se está emocionado por unas próximas vacaciones, podría indicarle a alguien que tu propiedad quedará desatendida durante ese tiempo. Lo mejor es no ser muy preciso y no poner nada de fechas. Por la misma razón, es mucho mejor publicar fotos de las vacaciones una vez que se está de vuelta en casa.

3. Datos sobre la ubicación: Como ya hemos dicho, hay un punto en el que la ciberdelincuencia y la delincuencia física se solapan, y ese punto suele estar en las redes sociales. Si un delincuente sabe que una persona va a estar sola en casa, o caminando por una zona remota, o que su propiedad va a estar desocupada, se puede adivinar lo que puede ocurrir a continuación. Mantener los datos de localización en secreto siempre que sea posible. Además, algunas plataformas de redes sociales pueden etiquetar automáticamente la ubicación de las publicaciones. Compartir eventos familiares o ubicaciones de amigos puede revelar inadvertidamente dónde viven, trabajan o pasan el tiempo.

4. Compras costosas: Al igual que ocurre con los planes de viaje, publicar fotos de joyas caras o de un coche nuevo y llamativo puede llamar la atención de los seguidores de redes sociales. Pero si hay alguien vigilando una cuenta con planes más oscuros en mente, podría señalar esa cuenta como objetivo potencial de atracos o robos. Intentar ser prudente a la hora de publicar información sobre nuevas compras o regalos.

5. Fotos de niños/as: A algunos padres les encanta compartir fotos de sus hijos. Pero, ¿son ellos lo bastante mayores para dar su consentimiento? Puede que no les gusten las fotos de bebés desnudos o de niños babeando por todo Internet cuando tengan edad suficiente para pedirle a sus padres que paren. Por no hablar de los casos más siniestros que pueden rastrear la web en busca de imágenes de menores. A su vez, si se está pensando en colgar imágenes de los hijos de otra persona, pedir siempre su consentimiento. De lo contrario, se podría estar infringiendo la ley.

6. Agravios laborales: ¿Qué hay peor que te roben una joya cara? ¿Perder el trabajo? Por eso es importante guardar silencio sobre cualquier asunto polémico relacionado con el trabajo. Si lo que se busca es desahogarse, hacerlo con un compañero o amigo fuera de Internet. Si Recursos Humanos o incluso un compañero descontento descubre quejas de tu lugar de trabajo, de tus compañeros y/o de tu jefe, podría generarte problemas.

7. Datos financieros: Al igual que en el caso de la información personal, conviene mantener en secreto los datos financieros. Así que se recomienda no publicar datos de tarjetas de crédito o débito. Incluso si la imagen parece borrosa o lejana para ser vista, podría ser suficiente para dar a los estafadores la oportunidad combinarla con otros datos personales de la cuenta para cometer un fraude de identidad.

8. Información personal identificable de familiares y amigos: La información que se comparte en las redes sociales suele ser permanente y no todo el mundo se siente cómodo compartiendo en línea sus datos personales o detalles de su vida. Además, no arriesgar a que amigos y familiares sean estafados en Internet. Es preferible cuidar su información personal identificable como se protege la propia: bajo llave.

9. Regalos en las redes sociales: Las redes sociales están llenas de sorteos y regalos. Frecuentemente son intentos mal disimulados de hacerse con la información personal de los usuarios, o incluso de propagar malware encubierto. Pensar dos veces antes de rellenar formularios en línea y compartir enlaces a sorteos. Si parecen demasiado buenos para ser verdad, suelen no serlo.

10. Conversaciones privadas: Las redes sociales son por naturaleza un foro público, incluso si una cuenta está relativamente bloqueada. Por eso no es el lugar adecuado para compartir información privilegiada. Si está relacionada con el lugar de trabajo, es aún más importante no compartirla. Pero incluso si se trata de noticias relativamente mundanas sobre un grupo de amigos o la familia, podrían causar angustia si se hace pública. Si no son noticias propias, es preferible no compartirla.

En este contexto, ESET comparte algunos consejos para proteger la seguridad:

• Ser consciente de lo que se publica: Pensar siempre (aunque el perfil esté restringido) si te sentirías cómodo contándole a alguien sentado a tu lado la misma información que estás publicando en Internet.

• Revisar la lista de amigos de vez en cuando: Es un ejercicio útil para purgar a aquellos que no reconoces o que preferirías que no pudieran ver tus publicaciones.

• Restringir quién puede ver la lista de amigos y las publicaciones: Esto ayudará a reducir las posibilidades de que alguien utilice cualquier información que compartas con fines nefastos.

• Restringir el acceso a las fotos: Lo ideal es que sólo puedan verlas los amigos conocidos y los familiares aprobados.

• Activar la autenticación de doble factor ( 2FA) y utilizar contraseñas seguras y únicas: Esto reducirá la posibilidad de que alguien pueda secuestrar tu cuenta, incluso si consigue adivinar o descifrar tu contraseña.

“Compartir con nuestros amigos, familiares y contactos es lo que hace que las redes sociales sean tan divertidas y gratificantes, pero también es una fuente potencial de riesgos. Utilizar las redes sociales con precaución puede evitar muchos riesgos de seguridad y dolores de cabeza”, concluye Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.

5 desafíos de la inteligencia artificial generativa

ESET, compañía líder en detección proactiva de amenazas, advierte que si bien el futuro es prometedor para cada uno de los campos dónde puede ser aplicada la inteligencia artificial generativa, y con grandes expectativas, existen riesgos vinculados a la adopción de esta nueva tendencia.

Los modelos tradicionales de Inteligencia Artificial se basan en modelos estadísticos que reconocen patrones a partir de datos existentes y son más aprovechados para contextos analíticos y predictivos. En el auge de la inteligencia artificial, se creó una nueva categoría llamada generativa que tiene el potencial de (re)construir o (re)producir contenido proveniente de algún texto, imagen, video, audio o código fuente, tan verosímil como el usuario lo permita. Los modelos generativos pueden producir nuevos datos (artificiales) usando datos reales (alimentados por el usuario) y crear información nueva; aquel horizonte que existía hasta hace un par de años solo en los libros de ciencia ficción o las películas va acercándose cada vez más a la realidad.

La IA Generativa reside en el ciberespacio y, por consecuencia, existen riesgos asociados que pueden afectar tanto a personas como empresas o gobiernos, ESET identifica principalmente 5:

1. Moderación de contenidos: Algunas de las redes sociales, sitios web o aplicaciones no son legalmente responsables, o son muy ambiguos, en lo que refiere a los contenidos subidos por sus usuarios, como ideas o publicaciones hechas por terceros o subyacentes, ni el contenido generado por IA: aun cuando cuentan con términos de uso, normas de comunidad y políticas de privacidad que protejan los derechos de autor, hay un vacío legal que sirve de blindaje para los proveedores ante una violación de derechos de autor.

 El usuario cuenta con un fácil acceso y una enorme disponibilidad de herramientas de IA Generativa que son poco claras, incluso contradictorias, en sus políticas de uso e implementación.

2. Infracción de los derechos de autor e imagen: En los Estados Unidos, en mayo 2023, una Huelga del Sindicato de Guionistas, comenzó una serie de conflictos al que se le unieron en julio del mismo año el Sindicato de Actores en Hollywood. Las principales causas de este movimiento se debieron a la petición de un aumento salarial derivado del auge de las plataformas digitales, ya que hubo un incremento en la demanda/creación del contenido y buscaban que las ganancias fueran repartidas proporcionalmente entre guionistas/actores y las grandes compañías.

Otro motivo fue el abuso de la IA Generativa por parte de estas compañías para producir contenido sin el consentimiento del actor o actriz de usar su rostro y voz para fines comerciales, por lo que solicitaron un nuevo contrato que los protegiera de la explotación de su identidad y talento sin su consentimiento ni remuneración para esta tecnología. La originalidad de algún contenido independientemente de la fuente, con la llegada de la IA Generativa cada vez parece ser más difusa. En este caso, muchos derechos de autor y permisos de imagen fueron ignorados por grandes compañías, generando una enorme molestia y como consecuencia de esto Estados Unidos optó por implementar recursos legales que protegieran a ambas partes.

3. Privacidad: Para que los modelos de IA Generativa puedan funcionar correctamente necesitan degrandes volúmenes de datos para ser entrenados, pero ¿qué sucede cuando este volumen puede obtenerse de cualquier fuente pública como videos, audios, imágenes, textos o códigos fuente sin el consentimiento del titular? Es aquí donde, según ESET, las plataformas, aplicaciones y redes sociales debieran apegarse al marco normativo sobre la privacidad de datos de cada país en caso de existir, de lo contrario apoyarse Reglamento General de Protección de Datos (GDPR) del Parlamento Europeo que ya incluye una sección para la IA.

4. Cuestiones éticas: Aquellos países donde las regulaciones en materia de IA son escasas o nulas, son aprovechadas por algunos usuarios para fines nada éticos como la suplantación de identidad (voz, imagen o video) para crear perfiles falsos que usan para cometer fraude/extorsión a través de alguna plataforma, aplicación o red social, o también lanzar campañas de phishing sofisticadas o estafas del tipo catfishing.

5. Desinformación: Aprovechando este tipo de IA las prácticas de difusión de noticias falsas en plataformas y redes sociales se ven mejoradas. La viralización de estos contenidos engañosos generados llega a perjudicar la imagen de alguna persona, comunidad, país, gobierno o empresa.

“La IA Generativa presenta riesgos particulares que deben abordarse de manera cuidadosa para garantizar su uso ético y seguro. Estos riesgos incluyen desde la moderación del contenido que suben los usuarios, hasta aquel engañoso, sesgado o perjudicial para evitar la manipulación de información.”, menciona David González Cuautle, Investigador de Seguridad Informática de ESET Latinoamérica.

Al considerar estos riesgos, desde ESET señalan que es esencial implementar estrategias preventivas y correctivas, tales como:

 Filtrado y moderación efectiva: Desarrollar sistemas de filtrado y moderación robustos que puedan identificar y eliminar contenido inapropiado, engañoso o sesgado generado por modelos de IA Generativa. Esto ayudará a mantener la integridad de la información y a prevenir posibles consecuencias negativas.

 Entrenamiento con datos éticos y diversificados: Garantizar que los modelos de IA Generativa se entrenen con conjuntos de datos éticos, imparciales y representativos. La diversificación de los datos contribuye a reducir sesgos y a mejorar la capacidad del modelo para generar contenido más equitativo y preciso.

 Transparencia en la regulación del contenido: Establecer regulaciones que permitan a los usuarios comprender cómo se genera el contenido, el tratamiento que reciben los datos y las implicaciones que puede llegar a tener en caso de no cumplir.

 Evaluación continua de la ética y la calidad: Implementar mecanismos de evaluación continua para monitorear la ética y la calidad del contenido generado. Estos mecanismos pueden incluir auditorías regulares, pruebas de robustez y colaboración con la comunidad para identificar y abordar posibles problemas éticos.

 Educación y conciencia pública: Promover la educación y la conciencia pública sobre los riesgos asociados con la IA Generativa. Fomentar la comprensión de cómo funcionan estos modelos y cuáles son sus posibles impactos permitirán al usuario participar activamente en la discusión y en la exigencia de prácticas éticas por parte de los desarrolladores y empresas.

Evita fraudes protegiendo tus datos personales.

En un mundo cada vez más globalizado, la protección de datos se ha convertido en una prioridad esencial para salvaguardar la identidad digital de personas y empresas que, diariamente, utilizan su información en Internet. 

Se consideran datos críticos y vendibles los nombres y apellidos, fechas de nacimiento, números telefónicos, correos electrónicos, historiales médicos, cuentas bancarias y financieras, contratos empresariales, planillas, y cualquier otro tipo de información sensible de personas o empresas, que puede ser comercializadas por los cibercriminales en el mercado negro. 

Para educar a los consumidores sobre el valor y la importancia de mantener su información resguardada, se celebra cada 28 de enero, el Día Internacional de la Protección de Datos. En el marco de esta conmemoración, ESET brinda una serie de recomendaciones clave para defender la privacidad en línea en 2024 e indica que la educación continua contribuye a la adaptación y protección contra amenazas emergentes. 

1. Concientización sobre la importancia de los datos: es crucial comprender el valor de los datos y reconocer que la información en línea puede ser un activo valioso. Nombres, direcciones, números de teléfono, historiales médicos y financieros, todo puede ser vendido en bases desarrolladas por atacantes cibernéticos para diferentes usos criminales. De ahí que la concientización sea el primer paso para proteger eficazmente estos activos.

2. Prácticas de contraseñas robustas: utilizar contraseñas únicas y sólidas para cada cuenta es fundamental. Se recomienda el uso de combinaciones de letras mayúsculas y minúsculas, números y caracteres especiales, cambiándolas cada cierto tiempo. La autenticación con doble verificación (2FA) también agrega una capa adicional de seguridad.

3. Actualización y parches de software: mantener todos los dispositivos y softwares actualizados con los últimos parches de seguridad es vital para protegerlos, ya que los ciberdelincuentes aprovechan la mínima vulnerabilidad para acceder a datos sensibles. Se deben utilizar antivirus y firewalls, que son herramientas de seguridad confiables. 

4. Políticas de privacidad: Al compartir datos en línea, es vital revisar y comprender las políticas de privacidad de los servicios y plataformas utilizados. Asegúrese de estar de acuerdo con la forma en que se recopilan, almacenan y utilizan sus datos personales, así evitará compartir más información de la solicitada Esto reduce la exposición a posibles amenazas de privacidad.

5. Evaluación de configuración de privacidad: revise y ajuste la configuración de privacidad en sus perfiles en línea y dispositivos. Asegúrese de tener un control adecuado sobre quién puede acceder y ver su información.

6. Backups regulares: realice copias de seguridad periódicas de sus datos importantes. En caso de una violación de seguridad, ayudará a minimizar las pérdidas.

7. Colaboración entre usuarios y empresas: fomentar una relación colaborativa entre usuarios y empresas es esencial. Las empresas deben ser transparentes sobre sus prácticas de manejo de datos y los usuarios deben ser proactivos en la protección de su información.

Camilo Gutiérrez, jefe de  laboratorio de ESET, nos explica “que la información concerniente a los individuos es procesada, almacenada o transmitida a través de la infraestructura tecnológica de las instituciones gubernamentales, para cumplir con los propósitos de cada una de ellas, Por lo tanto, la información personal puede ubicarse en una enorme diversidad de sitios, ya que no solo se encuentra en instancias personales sino también gubernamentales, también debemos considerar otros niveles”.  

La protección de datos personales en línea es una responsabilidad compartida. Al seguir estas pautas, podemos contribuir a un entorno en línea más seguro y protegido para todos.

Cinco claves para la protección de menores en línea en el regreso a clases.

En el regreso a clases es importante velar por la seguridad digital de los menores de edad, tanto en las escuelas como en el hogar, ya que los ciberdelincuentes aprovechan sus horas en línea para cometer delitos de diversa índole contra ellos.

Por esta razón, los investigadores de ESET, compañía líder en detección proactiva de amenazas, comparten cinco consejos para una mejor educación digital en el regreso a clases:

1.Uso del smartphone: es una herramienta que no solo brinda la posibilidad de obtener información inmediata, sino que también permite estar en contacto con los menores en todo momento; sin embargo, los padres o encargados deben establecer un límite de uso, favoreciendo que los menores no caigan en el uso abusivo. Esto último puede ser el canal para que establezcan relaciones con adultos que se hacen pasar por niños, lo que se conoce como el Grooming, y cuya finalidad suele tener intenciones sexuales o de abuso para los menores.

2.Herramientas de control parental:  es el uso de herramientas de control parental es una buena práctica que ayuda a supervisar cuánto tiempo los niños y niñas pasan en línea y que establece horarios, filtros de acceso a información y bloqueo a contenido específico; esta opción se aplica principalmente en los hogares y bajo supervisión; sin embargo, es vital que en las escuelas y colegios se desarrollen estos buenos hábitos. Esta tarea conlleva una explicación a los menores sobre cuándo se puede, cuándo no y cuáles son los motivos, haciendo la comprensión más sencilla.

3.Uso de redes sociales, fotos y geolocalización: compartir fotografías, videos, estados de ánimo, mensajes, entre otros, son actividades cotidianas y con el regreso a clases se incrementan. Por eso, la educación respecto a mantener los datos en privado es fundamental para no perder el control sobre lo que se comparte público en Internet. Los datos son una minería para los ciberatacantes ya que se pueden vender en el mercado negro.

Otro aspecto para tener en cuenta es la geolocalización con los teléfonos modernos. Se recomienda no dar acceso a la ubicación a aquellas redes sociales u otras aplicaciones que puedan igualmente funcionar sin ella. Hay que revisar los permisos que se otorgan a las aplicaciones y revocar aquellos que no sean necesarios.

4.Concientización sobre los riesgos más comunes: el phishing es actualmente uno de los riesgos latentes en cuanto a seguridad informática. Los estudiantes, maestros y personal en general de las instituciones están expuestos a hacer clic en enlaces maliciosos que pueden proporcionar a los ciberdelincuentes acceso a la red de la escuela y a información de valor. La mejor manera de contrarrestar ese tipo de riesgos es a través de la concientización y capacitación de los usuarios.

5.Fomentar actividades extracurriculares: alentar a los menores a que realicen actividades extracurriculares es crucial, no solo para su desarrollo físico e intelectual, sino para que tengan un descanso de la tecnología. Hacer una actividad que los aleje al menos por una o dos horas de Internet será ideal para abandonar por un rato el mundo digital y centrarse en el físico, con otras actividades y potenciales hobbies.

“Educar y sensibilizar a los usuarios ayuda a crear una cultura de conciencia en cuanto a ciberseguridad, de igual forma hace que esas personas sean menos propensas a convertirse en víctimas de los cibercriminales. Los directivos de las escuelas, los padres y encargados deben asegurarse de construir un clima de confianza con los menores, propiciando conversaciones recurrentes y transparentes sobre los riesgos que existen en Internet, logrando que los chicos acudan a ellos en caso de riesgos o dudas”, recomienda Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

ESET impulsa una iniciativa llamada Digipadres, un portal que tiene como objetivo acompañar tanto a padres como docentes en el cuidado de los niños en internet. A través de los materiales que se comparten se busca generar conciencia sobre los riesgos y amenazas del mundo digital, asumiendo un compromiso con la educación sobre Seguridad de la Información. 

Cómo localizar tu dispositivo perdido.

¿Alguna vez tuviste ese breve momento de preocupación cuando buscas tu teléfono y no está? Es una sensación familiar para muchos y casi siempre se encuentra escondido en su lugar habitual o la persona no lo llevabas consigo. Es un pequeño recordatorio de nuestra dependencia de estos prácticos dispositivos. ESET, compañía líder en detección proactiva de amenazas, comparte algunas formas de evitar estos desalentadores momentos de ansiedad repentina.

• Rastreadores físicos: Los rastreadores físicos son pequeños objetos de forma circular o cuadrada que utilizan sencillas pilas para permanecer cargados durante mucho tiempo. Productos como Apple AirTag, Tile o Samsung SmartTag son lo bastante pequeños para caber en el bolsillo, en un compartimento secreto del coche o en el equipaje. De hecho, para los viajeros que van con equipaje en trenes y aviones, ha habido ocasiones en que han resultado muy útiles para localizar maletas perdidas. O, si vas mucho en bici, incluso puedes esconder uno en un timbre para sentirte seguro de que tu bici está donde la dejaste (o seguirla si desaparece). La tecnología Bluetooth y de banda ultraancha (UWB) permite que estos pequeños rastreadores funcionen a través de una frecuencia segura habilitada por el fabricante, que luego utiliza la red de propietarios de etiquetas/teléfonos para localizarlo, con la ubicación del rastreador mostrada en una aplicación, como Find My de Apple o SmartThings Find de Samsung.

• Rastreadores de software: Otro conjunto de herramientas útiles para localizar dispositivos perdidos son las soluciones basadas en software. Estas pueden estar preinstaladas por el fabricante del dispositivo y vinculadas a su cuenta, o pueden ser aplicaciones de terceros, a menudo proporcionadas por empresas de seguridad. Entre las más populares están las que ya vienen instaladas en tu smartphone, como Samsung SmartThings Find o Apple’s Find My. Estas aplicaciones no solo sirven para encontrar tu teléfono; también pueden ayudarte a localizar otros dispositivos, como tu smartwatch, portátil o tableta.

“Como las tecnologías implican tanto oportunidades como riesgos, es prudente ser consciente de los riesgos potenciales asociados a los dispositivos de seguimiento Bluetooth. Hay que considerar que hay otra cara de los dispositivos de tamaño reducido, ya que las mismas capacidades que hacen que los rastreadores físicos sean tan valiosos para localizar objetos extraviados los hacen también vulnerables al uso indebido. ¿Qué pasa  si alguien introduce un dispositivo de seguimiento en un bolso o coche sin su consentimiento? Existen numerosos casos de personas que afirman haber sido rastreadas por acosadores que utilizan dispositivos como AirTags. Esta preocupación ha llevado a pedir que se mejore la seguridad de los rastreadores con Bluetooth, sobre todo para impedir su uso indebido con fines de acoso.”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La configuración de estas aplicaciones de búsqueda de dispositivos suele comenzar con la creación de una cuenta que se vincula a tu dispositivo y confirma que eres el propietario. La característica más destacada de estas aplicaciones es su capacidad para mostrar la ubicación del dispositivo en un mapa. Curiosamente, este mapa suele ser accesible a través de navegadores de Internet, una función que también ofrecen algunos rastreadores físicos. Incluso si el dispositivo está desconectado, estas aplicaciones pueden localizarlo, gracias a una tecnología similar a la utilizada en los rastreadores de Apple/Samsung.

Utilizan una combinación de fuentes de datos de localización, como GPS, puntos de acceso Wi-Fi de origen colectivo y torres de telefonía móvil, para proporcionar un posicionamiento preciso. Los propietarios también pueden optar por utilizar aplicaciones y rastreadores de terceros. ESET, por ejemplo, con su solución antimalware ofrece el rastreo de dispositivos como parte de su oferta premium al usuario, como el uso de funciones antirrobo para localizar su dispositivo a través de un portal en línea o dentro de una aplicación.

Entonces, ¿cuál es la mejor opción en caso de que se pierda el teléfono?

En primer lugar, desde ESET aconsejan instalar un software de rastreo en tu teléfono en cuanto empieces a usarlo, así, si el teléfono se pierde, podrás localizarlo con un alto grado de precisión. También es una medida inteligente proteger el teléfono con un bloqueo de pantalla por reconocimiento facial, escaneado de huella dactilar o código de acceso. Esta capa adicional de seguridad puede ayudarte a evitar el acceso no autorizado a tus aplicaciones y cuentas personales. En segundo lugar, en cuanto tu dispositivo desaparezca, llámate a ti mismo si hay alguna posibilidad de que oigas sonar tu teléfono o si tal vez alguien responda a tu llamada. Del mismo modo, intenta bloquearlo a distancia utilizando la aplicación de rastreo como medida de seguridad adicional.

Si te preocupa que tu teléfono u gadgets se pierdan para siempre, desde ESET aconsejan que tomes algunas medidas inmediatas:

• Ponerte en contacto con tu proveedor de servicios para que bloquee tu tarjeta SIM. Esto impedirá que nadie utilice tu plan de llamadas y datos. A

• Utiliza la aplicación de rastreo que hayas configurado en tu teléfono para borrar de forma remota todos tus datos. De esta forma, podrás proteger tu información personal de accesos no autorizados.

• En cuanto a otros dispositivos o equipos, utiliza rastreadores físicos. Lo mejor es utilizarlos para maletas, bolsos, coches. Para los excursionistas, los rastreadores GPS también tienen más sentido que confiar en la ubicación de su teléfono.

“El mundo de los rastreadores es muy variado. Procure siempre mantener sus pertenencias a salvo, pero recuerde que si usted o sus dispositivos se pierden alguna vez, ahora dispone de los conocimientos necesarios para localizarlos con mayor precisión”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Consejos para proteger los dispositivos nuevos y evitar el robo de información.

Si has recibido un nuevo dispositivo o gadget tecnológico para estas fiestas o aprovechaste las promociones de fin de año para actualizar tus equipos, ESET, compañía líder en detección proactiva de amenazas, comparte consejos para proteger tu nuevo dispositivo. 

1. Olvidarse de los valores predeterminados y, en su lugar, proteger cada gadget con una contraseña segura, robusta y única al configurarlo.

2. Siempre que sea posible, activar la función 2FA para mayor seguridad en el inicio de sesión.

3. Al descargar aplicaciones en el dispositivo, visitar solo tiendas de aplicaciones legítimas.

4. No hacer jailbreak a los dispositivos, ya que esto puede exponerlos a riesgos de seguridad.

5. Asegurarse de que todos los programas y sistemas operativos estén actualizados y tengan la última versión. Y activar las actualizaciones automáticas siempre que sea posible.

6. Cambiar la configuración del dispositivo para evitar el emparejamiento no autorizado con otros dispositivos.

7. Desactivar la gestión remota y el Plug and Play Universal (UPnP) cuando estén disponibles y asegurarse de que el dispositivo este registrado y recibe actualizaciones.

8. Hacer una copia de seguridad de los datos de los dispositivos en caso de ransomware u otras amenazas.

9. Mantener los dispositivos domésticos inteligentes en una red Wi-Fi independiente para que los atacantes no puedan acceder a la información más sensible.

10. Siempre que sea posible, instalar en el dispositivo un software de seguridad de un proveedor de confianza.

Además, antes de poner en funcionamiento un nuevo dispositivo, es importante tener en cuenta que conlleva un riesgo de seguridad, asimismo se debe actuar antes de descartar los antiguos ya que puede contener información acumulada durante su uso y se debe asegurar que la información esté protegida, tanto si se va a tirar como si se piensa regalarlo o venderlo. 

• Hacer una copia de seguridad de la información más importante: Considerar qué se quiere conservar del viejo dispositivo. Lo más probable es que no haya mucho en algo como una pulsera de fitness o un televisor inteligente. Pero es probable que haya documentos, fotos o vídeos importantes en un ordenador portátil o smartphone/tableta. Decidir si se quiere transferir al nuevo dispositivo o guardarlos en una plataforma de almacenamiento en la nube como iCloud o Google Drive. Como alternativa, se puede guardar en un disco duro/dispositivo de almacenamiento externo. 

• Cerrar la sesión de todas las cuentas: Asegurarse de haber cerrado la sesión las cuentas a la que se haya accedido en el dispositivo/máquina que se vaya a desechar. Esto significa que si se reciclan y de alguna manera siguen siendo accesibles, otro usuario no podrá utilizar la cuenta de streaming o de transporte gratuito.

• Transferir o desactivar software: Averiguar qué software, si lo hay, por el que se haya pagado se quiere transferir a un nuevo dispositivo. Debería haber información dentro de la aplicación o en Internet para ayudar con el proceso de desactivación y transferencia.

• Extraer la tarjeta SIM/SD: Si el dispositivo tiene una tarjeta SIM o SD, retirarla. Si se va a conservar el mismo número de teléfono, llamar al operador y transferirle la tarjeta SIM al nuevo teléfono. Si no, destruirla. Si el teléfono tiene una tarjeta de memoria SD para almacenamiento, retirarla.

• Borrar el disco duro: Una vez que se haya hecho una copia de seguridad de todo lo importante, es hora de eliminar todo de la máquina/dispositivo que se vaya a deshacer. Se tendrá que realizar un restablecimiento de fábrica para aseguraste de que se eliminan todos los datos. Los pasos necesarios para conseguirlo dependerán del sistema operativo. 

• Utilizar herramientas de borrado de datos/formateo de disco: Si el restablecimiento de fábrica no es suficiente, considerar el uso de herramientas de borrado de disco de terceros como Disk Wipe o Active KillDisk. Asegurarse de investigar y encontrar un proveedor de confianza con un buen historial.

• Destruir físicamente el disco duro: Otra opción para quienes no están seguros de que sus datos se hayan borrado mediante software es extraer físicamente el disco duro y destruirlo. Aquí se comparte una guía práctica.

“El problema es que en muchas partes del mundo no existe ninguna obligación legal de que los fabricantes, distribuidores e importadores vendan productos seguros conectados a Internet. Aprovechando el mal diseño de los proveedores y la escasa atención prestada a las mejores prácticas de seguridad, los piratas informáticos malintencionados pueden llevar a cabo una serie de ataques para secuestrar sus dispositivos y acceder a los datos almacenados en ellos. Esto podría incluir el inicio de sesión en algunas de sus cuentas más sensibles, como la banca en línea.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Una investigación de hace unos años reveló que dos tercios de las memorias USB vendidas en eBay aún contenían información personal. Esto muestra que los dispositivos son una puerta de entrada a nuestra vida digital y que almacenan parte de la información más preciada en sus discos duros o cuentas en línea. Pero lo que mucha gente no sabe es que, aunque los “borremos” del disco duro, un profesional podría recuperar parte de ellos, o incluso todos, utilizando herramientas de recuperación de archivos. En algunos casos, incluso han podido recuperar datos de discos duros físicamente destrozados. Puede tratarse de fotos de amigos y familiares, correos electrónicos, extractos bancarios, documentos confidenciales, información médica, datos de seguros, etc.

El nivel de riesgo al que se está expuesto dependerá del tipo de dispositivo del que se hable, pero hay algunos problemas comunes que pueden poner en peligro las cuentas online y los datos personales y financieros:

• La contraseña predeterminada de fábrica del producto es fácil de adivinar o descifrar y el producto no exige al usuario que la actualice inmediatamente. Esto podría permitir a un atacante secuestrar el producto de forma remota con relativamente poco esfuerzo.

• No hay bloqueo de dispositivo habilitado, lo que pone en riesgo el dispositivo en caso de pérdida o robo.

• La configuración de privacidad no es lo suficientemente segura de fábrica, lo que lleva a compartir datos personales con anunciantes o posibles entidades maliciosas. Esto es especialmente preocupante si se trata de un juguete para niños.

• Algunos ajustes, como las grabaciones de vídeo y audio, están activados por defecto, lo que pone en riesgo la privacidad de los más pequeños.

• El emparejamiento del dispositivo (es decir, con otro juguete inteligente o aplicación) se realiza mediante Bluetooth sin necesidad de autenticación. Esto podría permitir a cualquier persona dentro del alcance conectarse con el juguete o dispositivo para transmitir contenidos ofensivos o molestos o enviar mensajes manipuladores a quien lo utilice.

• El dispositivo comparte la geolocalización automáticamente, lo que puede poner al usuario/a en peligro físico o en riesgo de robo.

• No hay software de seguridad en el dispositivo, lo que significa que está más expuesto a amenazas nacidas en Internet que podrían robar datos o bloquear el dispositivo.

Ocho engaños más comunes en Facebook Marketplace durante 2023.

ESET, compañía líder en detección proactiva de amenazas, analiza cuáles son las modalidades de estafa más comunes que se observaron en Facebook Marketplace durante este año y a qué señales deberían prestar atención los usuarios para poder identificarlas y no caer en los engaños de los cibercriminales.

“Marketplace se convirtió en una de las plataformas preferidas para las compras y ventas online. Y, como sucede en tantos otros casos, cuando hay algo que llama la atención y es usado masivamente también atrae a los ciberdelincuentes. Es por esta razón que cada vez son más las estafas y engaños que circulan en esta plataforma.”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET comparte las estafas más comunes:

• Artículos defectuosos: puede suceder que un vendedor publique un producto con fotos que lo presentan en perfectas condiciones, pero que una vez entregado en realidad esté roto. Esto es particularmente complicado cuando se compran artículos electrónicos, porque por lo general no se pueden evaluar todas sus funciones antes de la compra. Lamentablemente, existen posibilidades de que esto suceda, ya sea por parte a un vendedor sin escrúpulos como por un estafador profesional.

• Artículos falsos: hay casos en los que el producto puede que sea una falsificación. La ropa de diseñador, los perfumes, las joyas y los cosméticos son blancos comunes de falsificación. Todos están buscando una buena oferta, pero cuando parecen demasiado buenas para ser verdad, por lo general se trata de un engaño.

• Sobrepago: el estafador se hace pasar por un comprador y reclama a un vendedor que pagó demás por un artículo que compró. Enviará una captura de pantalla donde muestra la supuesta transacción por la compra y solicitará que reintegren la diferencia. Obviamente, en ningún momento se realizó un pago y si el vendedor cayó en la trampa habrá perdido el dinero sin posibilidad de reembolso.

• Compra que nunca llega: otro engaño consiste en vender un artículo, cobrar el dinero pero no entregarlo al comprador. Esto solo se aplica a los artículos enviados desde fuera del área local del comprador.

• Phishing y falsos sorteos: una forma de obtener información de las víctimas es enviar correos de phishing con supuestas ofertas y sorteos en la plataforma. La víctima, desprevenida, hará clic en el enlace y completará un formulario con información personal creyendo que así estará participando por artículos de lujo u otras ofertas especiales. Por supuesto, los estafadores solo quieren información personal para cometer fraude de suplantación o robo de identidad.

• Estafa de los seguros: quienes venden artículos muy costosos pueden ser contactados por estafadores que se hacen pasar por compradores dispuestos a pagar el costo por el envío del artículo, y hasta envían una factura falsa como prueba. Solo hay un problema: piden que el vendedor pague un pequeño cargo por un supuesto seguro, que generalmente es un monto pequeño en comparación con el precio del artículo, lo que persuade al vendedor de aceptarlo.

• Ofertas engañosas: los estafadores anuncian un producto de alta calidad a un precio tentador, pero en el momento que una persona cree haber sido beneficiada le avisan que el producto ya no está disponible, aunque nunca lo haya estado, y le ofrecerán al comprador un artículo similar por un precio mucho más elevado o una alternativa inferior.

Al igual que en otras modalidades de engaños en línea, la clave es mantenerse escépticos y en alerta. Para ello, ESET comparte 10 consejos útiles a la hora de navegar y/o comprar por Facebook Marketplace:

• Inspeccionar los artículos antes y comprar solo a vendedores locales.

• Establecer como punto de encuentro un lugar público, bien iluminado y en lo posible durante el día.

• Revisar los perfiles de compradores/vendedores para conocer las calificaciones y mantenerse alerta si los perfiles se han creado recientemente.

• Verificar el precio de mercado de los artículos y, si hay una diferencia significativa entre este y el precio de venta, estarse atento al hecho de que puede ser falsificado, robado, defectuoso, etc.

• Tener cuidado con las ofertas y obsequios, y nunca ingresar datos personales para acceder a ellos.

• Solo usar métodos de pago confiables a través de Facebook Messenger (PayPal, Facebook Checkout), ya que ofrecen una forma de disputar un pago. Los estafadores suelen solicitar tarjetas de regalo (gift cards) así como transferencias bancarias y pagos a través de diferentes servicios.

• Mantener la conversación en Facebook: a los estafadores les gusta mudar la charla a otra plataforma donde resulta más fácil estafar a las personas, porque allí no habrá nada que respalde a la víctima.

• En caso de ser vendedor, nunca enviar artículos antes de que se haya realizado el pago.

• Cuidado con los cambios en el precio de cotización.

• No enviar códigos de verificación (2FA) a posibles compradores.

• Si sucede lo peor y hay sospechas de que ser víctima de un fraude, se debe denunciar al vendedor y reportarlo de inmediato en Facebook Marketplace.

“Por todo lo mencionado anteriormente es necesario adoptar buenas prácticas de seguridad, prestar atención a los indicios de que una oferta puede tratarse de una estafa, e informarse sobre las metodologías que utilizan los cibercriminales para perpetrar sus ataques. Así, es posible que los usuarios eviten comprarse un problema”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/estafas-enganos/estafas-comunes-facebook-marketplace/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw