Cinco claves para la protección de menores en línea en el regreso a clases.

En el regreso a clases es importante velar por la seguridad digital de los menores de edad, tanto en las escuelas como en el hogar, ya que los ciberdelincuentes aprovechan sus horas en línea para cometer delitos de diversa índole contra ellos.

Por esta razón, los investigadores de ESET, compañía líder en detección proactiva de amenazas, comparten cinco consejos para una mejor educación digital en el regreso a clases:

1.Uso del smartphone: es una herramienta que no solo brinda la posibilidad de obtener información inmediata, sino que también permite estar en contacto con los menores en todo momento; sin embargo, los padres o encargados deben establecer un límite de uso, favoreciendo que los menores no caigan en el uso abusivo. Esto último puede ser el canal para que establezcan relaciones con adultos que se hacen pasar por niños, lo que se conoce como el Grooming, y cuya finalidad suele tener intenciones sexuales o de abuso para los menores.

2.Herramientas de control parental:  es el uso de herramientas de control parental es una buena práctica que ayuda a supervisar cuánto tiempo los niños y niñas pasan en línea y que establece horarios, filtros de acceso a información y bloqueo a contenido específico; esta opción se aplica principalmente en los hogares y bajo supervisión; sin embargo, es vital que en las escuelas y colegios se desarrollen estos buenos hábitos. Esta tarea conlleva una explicación a los menores sobre cuándo se puede, cuándo no y cuáles son los motivos, haciendo la comprensión más sencilla.

3.Uso de redes sociales, fotos y geolocalización: compartir fotografías, videos, estados de ánimo, mensajes, entre otros, son actividades cotidianas y con el regreso a clases se incrementan. Por eso, la educación respecto a mantener los datos en privado es fundamental para no perder el control sobre lo que se comparte público en Internet. Los datos son una minería para los ciberatacantes ya que se pueden vender en el mercado negro.

Otro aspecto para tener en cuenta es la geolocalización con los teléfonos modernos. Se recomienda no dar acceso a la ubicación a aquellas redes sociales u otras aplicaciones que puedan igualmente funcionar sin ella. Hay que revisar los permisos que se otorgan a las aplicaciones y revocar aquellos que no sean necesarios.

4.Concientización sobre los riesgos más comunes: el phishing es actualmente uno de los riesgos latentes en cuanto a seguridad informática. Los estudiantes, maestros y personal en general de las instituciones están expuestos a hacer clic en enlaces maliciosos que pueden proporcionar a los ciberdelincuentes acceso a la red de la escuela y a información de valor. La mejor manera de contrarrestar ese tipo de riesgos es a través de la concientización y capacitación de los usuarios.

5.Fomentar actividades extracurriculares: alentar a los menores a que realicen actividades extracurriculares es crucial, no solo para su desarrollo físico e intelectual, sino para que tengan un descanso de la tecnología. Hacer una actividad que los aleje al menos por una o dos horas de Internet será ideal para abandonar por un rato el mundo digital y centrarse en el físico, con otras actividades y potenciales hobbies.

“Educar y sensibilizar a los usuarios ayuda a crear una cultura de conciencia en cuanto a ciberseguridad, de igual forma hace que esas personas sean menos propensas a convertirse en víctimas de los cibercriminales. Los directivos de las escuelas, los padres y encargados deben asegurarse de construir un clima de confianza con los menores, propiciando conversaciones recurrentes y transparentes sobre los riesgos que existen en Internet, logrando que los chicos acudan a ellos en caso de riesgos o dudas”, recomienda Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

ESET impulsa una iniciativa llamada Digipadres, un portal que tiene como objetivo acompañar tanto a padres como docentes en el cuidado de los niños en internet. A través de los materiales que se comparten se busca generar conciencia sobre los riesgos y amenazas del mundo digital, asumiendo un compromiso con la educación sobre Seguridad de la Información. 

Consejos para proteger los dispositivos nuevos y evitar el robo de información.

Si has recibido un nuevo dispositivo o gadget tecnológico para estas fiestas o aprovechaste las promociones de fin de año para actualizar tus equipos, ESET, compañía líder en detección proactiva de amenazas, comparte consejos para proteger tu nuevo dispositivo. 

1. Olvidarse de los valores predeterminados y, en su lugar, proteger cada gadget con una contraseña segura, robusta y única al configurarlo.

2. Siempre que sea posible, activar la función 2FA para mayor seguridad en el inicio de sesión.

3. Al descargar aplicaciones en el dispositivo, visitar solo tiendas de aplicaciones legítimas.

4. No hacer jailbreak a los dispositivos, ya que esto puede exponerlos a riesgos de seguridad.

5. Asegurarse de que todos los programas y sistemas operativos estén actualizados y tengan la última versión. Y activar las actualizaciones automáticas siempre que sea posible.

6. Cambiar la configuración del dispositivo para evitar el emparejamiento no autorizado con otros dispositivos.

7. Desactivar la gestión remota y el Plug and Play Universal (UPnP) cuando estén disponibles y asegurarse de que el dispositivo este registrado y recibe actualizaciones.

8. Hacer una copia de seguridad de los datos de los dispositivos en caso de ransomware u otras amenazas.

9. Mantener los dispositivos domésticos inteligentes en una red Wi-Fi independiente para que los atacantes no puedan acceder a la información más sensible.

10. Siempre que sea posible, instalar en el dispositivo un software de seguridad de un proveedor de confianza.

Además, antes de poner en funcionamiento un nuevo dispositivo, es importante tener en cuenta que conlleva un riesgo de seguridad, asimismo se debe actuar antes de descartar los antiguos ya que puede contener información acumulada durante su uso y se debe asegurar que la información esté protegida, tanto si se va a tirar como si se piensa regalarlo o venderlo. 

• Hacer una copia de seguridad de la información más importante: Considerar qué se quiere conservar del viejo dispositivo. Lo más probable es que no haya mucho en algo como una pulsera de fitness o un televisor inteligente. Pero es probable que haya documentos, fotos o vídeos importantes en un ordenador portátil o smartphone/tableta. Decidir si se quiere transferir al nuevo dispositivo o guardarlos en una plataforma de almacenamiento en la nube como iCloud o Google Drive. Como alternativa, se puede guardar en un disco duro/dispositivo de almacenamiento externo. 

• Cerrar la sesión de todas las cuentas: Asegurarse de haber cerrado la sesión las cuentas a la que se haya accedido en el dispositivo/máquina que se vaya a desechar. Esto significa que si se reciclan y de alguna manera siguen siendo accesibles, otro usuario no podrá utilizar la cuenta de streaming o de transporte gratuito.

• Transferir o desactivar software: Averiguar qué software, si lo hay, por el que se haya pagado se quiere transferir a un nuevo dispositivo. Debería haber información dentro de la aplicación o en Internet para ayudar con el proceso de desactivación y transferencia.

• Extraer la tarjeta SIM/SD: Si el dispositivo tiene una tarjeta SIM o SD, retirarla. Si se va a conservar el mismo número de teléfono, llamar al operador y transferirle la tarjeta SIM al nuevo teléfono. Si no, destruirla. Si el teléfono tiene una tarjeta de memoria SD para almacenamiento, retirarla.

• Borrar el disco duro: Una vez que se haya hecho una copia de seguridad de todo lo importante, es hora de eliminar todo de la máquina/dispositivo que se vaya a deshacer. Se tendrá que realizar un restablecimiento de fábrica para aseguraste de que se eliminan todos los datos. Los pasos necesarios para conseguirlo dependerán del sistema operativo. 

• Utilizar herramientas de borrado de datos/formateo de disco: Si el restablecimiento de fábrica no es suficiente, considerar el uso de herramientas de borrado de disco de terceros como Disk Wipe o Active KillDisk. Asegurarse de investigar y encontrar un proveedor de confianza con un buen historial.

• Destruir físicamente el disco duro: Otra opción para quienes no están seguros de que sus datos se hayan borrado mediante software es extraer físicamente el disco duro y destruirlo. Aquí se comparte una guía práctica.

“El problema es que en muchas partes del mundo no existe ninguna obligación legal de que los fabricantes, distribuidores e importadores vendan productos seguros conectados a Internet. Aprovechando el mal diseño de los proveedores y la escasa atención prestada a las mejores prácticas de seguridad, los piratas informáticos malintencionados pueden llevar a cabo una serie de ataques para secuestrar sus dispositivos y acceder a los datos almacenados en ellos. Esto podría incluir el inicio de sesión en algunas de sus cuentas más sensibles, como la banca en línea.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Una investigación de hace unos años reveló que dos tercios de las memorias USB vendidas en eBay aún contenían información personal. Esto muestra que los dispositivos son una puerta de entrada a nuestra vida digital y que almacenan parte de la información más preciada en sus discos duros o cuentas en línea. Pero lo que mucha gente no sabe es que, aunque los “borremos” del disco duro, un profesional podría recuperar parte de ellos, o incluso todos, utilizando herramientas de recuperación de archivos. En algunos casos, incluso han podido recuperar datos de discos duros físicamente destrozados. Puede tratarse de fotos de amigos y familiares, correos electrónicos, extractos bancarios, documentos confidenciales, información médica, datos de seguros, etc.

El nivel de riesgo al que se está expuesto dependerá del tipo de dispositivo del que se hable, pero hay algunos problemas comunes que pueden poner en peligro las cuentas online y los datos personales y financieros:

• La contraseña predeterminada de fábrica del producto es fácil de adivinar o descifrar y el producto no exige al usuario que la actualice inmediatamente. Esto podría permitir a un atacante secuestrar el producto de forma remota con relativamente poco esfuerzo.

• No hay bloqueo de dispositivo habilitado, lo que pone en riesgo el dispositivo en caso de pérdida o robo.

• La configuración de privacidad no es lo suficientemente segura de fábrica, lo que lleva a compartir datos personales con anunciantes o posibles entidades maliciosas. Esto es especialmente preocupante si se trata de un juguete para niños.

• Algunos ajustes, como las grabaciones de vídeo y audio, están activados por defecto, lo que pone en riesgo la privacidad de los más pequeños.

• El emparejamiento del dispositivo (es decir, con otro juguete inteligente o aplicación) se realiza mediante Bluetooth sin necesidad de autenticación. Esto podría permitir a cualquier persona dentro del alcance conectarse con el juguete o dispositivo para transmitir contenidos ofensivos o molestos o enviar mensajes manipuladores a quien lo utilice.

• El dispositivo comparte la geolocalización automáticamente, lo que puede poner al usuario/a en peligro físico o en riesgo de robo.

• No hay software de seguridad en el dispositivo, lo que significa que está más expuesto a amenazas nacidas en Internet que podrían robar datos o bloquear el dispositivo.

Tendencias de Seguridad Informática que dominarán en América Latina en 2024.

Desde el laboratorio de investigación de ESET, compañía líder en detección proactiva de amenazas, se analizaron las tendencias en ciberseguridad que tendrán impacto en el escenario de la región en 2024. El impacto de las inteligencias artificiales (IA), el cibercrimen en aplicaciones de mensajería, campañas de espionaje y troyanos bancarios, entre lo más destacado.

“En el vertiginoso paisaje digital de América Latina, el próximo será un año desafiante para la seguridad informática. Mientras la tecnología avanza, también lo hacen las amenazas cibernéticas, lo que exigirá respuestas estratégicas para proteger la integridad de datos y sistemas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las tendencias de ciberseguridad para la región en 2024, según ESET Latinoamérica, son:

Impacto de las IA en la ciberseguridad: Con el avance de ChatGPT y otras aplicaciones que incorporan tecnologías de inteligencia artificial generativa, se abre una ventana de oportunidad para fortalecer la ciberseguridad.

Un aspecto positivo es que la implementación de modelos de lenguaje avanzados podría potenciar significativamente la capacidad de la ciberseguridad: la inteligencia artificial permitiría mejorar la detección de amenazas, mediante sistemas que aprendan patrones de comportamiento y logren identificar anomalías de forma más precisa.

Sin embargo, la misma tecnología podría ser aprovechada por actores malintencionados para orquestar ataques basados en la ingeniería social aún más sofisticados. Con los algoritmos de inteligencia artificial generativa se ha demostrado lo sencillo que puede ser generar correos electrónicos, mensajes o llamadas automatizadas que imiten de manera convincente a usuarios legítimos, por lo que se podría esperar para 2024 un incremento en este tipo de ataques.

Cibercrimen en aplicaciones de mensajería, de la oscuridad a la superficie: Se espera que la monitorización de actividades sospechosas se intensifique en aplicaciones de mensajería como Telegram y plataformas similares, ya que el cibercrimen ha ampliado su alcance desde la dark web hasta aplicaciones de mensajería de uso generalizado. Esta expansión subraya la necesidad de ajustar las estrategias de seguridad para abordar el dinámico panorama del cibercrimen.

“El principal reto radicará en encontrar un enfoque que logre armonizar la seguridad digital con la preservación de la libertad individual. La búsqueda de este equilibrio se convierte en un elemento central para las estrategias de ciberseguridad, donde se busca garantizar la protección contra amenazas cibernéticas emergentes sin comprometer la privacidad y libertad de los usuarios”, destaca Gutiérrez Amaya de ESET.

Commodity malware y su uso en campañas de espionaje en la región: En los últimos meses, se ha observado un aumento significativo de campañas maliciosas que emplean commodity malware en la región, principalmente el uso de amenazas tipo RAT, con el objetivo de obtener información valiosa y generar beneficios económicos.

En este contexto, las estrategias de seguridad se ven desafiadas a ir más allá de simplemente contar con tecnologías para identificar amenazas conocidas. Se requiere una capacidad extendida para ampliar la visibilidad sobre comportamientos sospechosos que puedan indicar posibles intrusiones en un sistema. La adaptabilidad y la capacidad de aprendizaje de los equipos de seguridad emergen como elementos cruciales para mantenerse a la par de la continua evolución de los cibercriminales.

Crecimiento de los ataques a la cadena de suministro en América Latina: Con el aumento de casos en los últimos años, este tipo de ataques representan una amenaza en crecimiento también para Latinoamérica. Esta evolución en la estrategia de los atacantes podría permitirles dirigirse de manera más específica a eslabones críticos de la cadena, interrumpiendo operaciones vitales en países de la región si no se implementan medidas de protección adecuadas.

La necesidad de implementar medidas preventivas se vuelve imperativa a lo largo de toda la cadena de suministro en la región, desde las grandes corporaciones hasta los proveedores más pequeños. “La adopción de prácticas y tecnologías de seguridad sólidas en cada etapa se vuelve esencial para fortalecer la resiliencia frente a posibles ataques. Las empresas deberán verificar la seguridad de los proveedores de servicios tecnológicos, especialmente en aquellas asociadas con infraestructuras críticas en Latinoamérica. Concentrarse en consolidar la confianza en toda la cadena de suministro, reconocer la interdependencia entre cada eslabón y proteger la integridad del sistema en su conjunto”, agrega el investigador de ESET.

Este enfoque se convierte en un elemento clave para salvaguardar la continuidad y seguridad de las operaciones en la región frente a las complejidades y riesgos asociados con los ataques a la cadena de suministro.

Troyanos bancarios de América Latina: Los cambios identificados durante este año en la forma de propagarse y el diseño de los troyanos bancarios indican que este tipo de amenazas seguirán vigentes y evolucionarán. Desde ESET esperan una mayor sofisticación en técnicas de evasión, como el uso de técnicas de camuflaje y la exploración de vulnerabilidades específicas de la región.

En este panorama, la ciberseguridad enfrenta la tarea crucial de no solo reaccionar, sino también prevenir. Desde ESET destacan que la educación continua de los usuarios se vuelve esencial para fortalecer la primera línea de defensa contra los troyanos bancarios, así como fomentar la conciencia sobre prácticas seguras en línea y la identificación de posibles riesgos como elementos fundamentales para empoderar a los usuarios y usuarias y reducir la efectividad de los ataques.

“Estas proyecciones destacan la necesidad de una ciberseguridad dinámica y adaptable. La colaboración entre diversos actores, la implementación de tecnologías de seguridad y la concienciación continua serán esenciales para hacer frente a los desafíos emergentes en el panorama de la seguridad informática en 2024.”, concluye Camilo Gutiérrez Amaya de ESET Latinoamérica. 

Seguridad Digital: Mitos y verdades.

El próximo 30 de noviembre se celebra el Día Internacional de la Seguridad Informática. En 1988, la Asociación de Maquinaria Computacional creó esta efeméride, con el objetivo de generar conciencia sobre los ciberataques y ciberdelitos alrededor del mundo. En este contexto, ESET, compañía líder en detección proactiva de amenazas, revela mitos y verdades de la seguridad digital para tener en cuenta al analizar los riesgos a los que podemos estar expuestos.

“La pandemia dejó como resultado una sociedad digitalizada e hiperconectada. Aumentó el uso de redes sociales así como aplicaciones de uso diario, sea bancarias, de ecommerce, viajes, entrenamiento, etc., y el tiempo destinado en pantallas por personas de todas la edades. Esto sin dudas simplificó muchas tareas y ayuda al esparcimiento pero también provocó el aumento de las superficies de ataque. Si bien estamos acostumbrados a utilizar nuevos sistemas, todavía como usuarios no contemplamos la seguridad tanto como deberíamos para proteger nuestra información personal. Tener en cuenta a qué riesgos estamos expuestos ayuda a tomar las medidas necesarias para disfrutar la tecnología de manera segura”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

ESET acerca algunos del los mitos más comunes a la hora de hablar de ciberseguridad y explica si son ciertos o no:

Mito 1: Los correos y mensajes de phishing son fáciles de detectar, solo caen las personas mayores. 

Hoy se identifican a diario correos electrónicos muy convincentes que se hacen pasar por todo tipo de empresas o servicios y también de perfiles y cuentas falsas que están al acecho de los comentarios que realizan las personas en redes sociales. Si bien está la creencia de que las personas menos familiarizadas caen en las estafas y mensajes falsos, pero la realidad indica que muchas personas con conocimientos en cuanto al uso de la tecnología caen en estos engaños que con la gran cantidad de datos públicos que existen en Internet. “Los cibercriminales y estafadores se han convertido en expertos en el arte de manipular y persuadir a las personas y cuentan con más herramientas que les permiten mejorar sus estrategias. Aparte de los links a sitios de dudosa reputación o falsos que simular ser oficiales, los ataques ya no solo llegan como hace 10 años por correo electrónico, sino que ahora llegan a través de mensajes via whatsapp, redes sociales, telefónicas, en chats de videojuegos, etc.”, comenta Camilo Gutiérrez.

Mito 2: No me van a atacar, no tengo dinero o información relevante, por eso no soy una víctima atractiva para un ciberdelincuente.  

El aumento de las denuncias por robo de identidad y el crecimiento del comercio de datos son ejemplos del valor que tienen los datos personales y el riesgo de que caigan en manos equivocadas. Estos datos permiten a los delincuentes realizar estafas personalizadas (ataques de ingeniería social) cada vez más difíciles de detectar si no se está atento o informado. Desde ESET, Gutiérrez, aclara: “Si bien es cierto que las empresas son más atractivas desde el punto de vista del rédito económico, las personas muchas veces terminan siendo víctima porque cuando una empresa u organización sufre un ciberataque, lo que sucede muchas veces es que acceden a información de clientes o usuarios que luego venden o utilizan para realizar engaños personalizados y más efectivos, lo que termina siendo una tarea más sencilla para la persona que estafa”.

Mito 3: No me puedo infectar descargando una aplicación de Google Play. 

Si bien siempre se recomienda descargar aplicaciones de Google Play o de la App Store porque el riesgo de descargar una app maliciosa por afuera de estas plataformas es mucho más grande, esto no quiere decir que las tiendas oficiales sean 100% confiables. “Hemos visto varios ejemplos hasta el día de hoy de aplicaciones para leer códigos QR, lectores de PDF, juegos y otras apps prometiendo algún tipo de herramienta que pasan las barreras de seguridad de Google y logran estar disponibles en Google Play hasta que son denunciadas. Lo mismo pasa con las extensiones para el navegador.”, agrega el investigador de ESET.

Para saber más, ESET invita a participar de “Develando los mitos y verdades de la seguridad digital de nuestro día a día” con Leandro Gonzalez, especialista en tecnología de la seguridad en @ESETLatinoamerica y @tecno.logicas espacio en el que  compartirán algunos consejos para protegerte en línea, el miércoles 29 de noviembre por la plataforma Instagram.

Para mantenerse protegidos, desde ESET aconsejan como medidas básicas contar con contraseñas robustas y distintas para cada servicio que se utilice. En los caso que se pueda, activar el doble factor de autenticación que agrega una cada extra de protección a las cuentas. Mantener todos los sistemas actualizados y contar con una solución de seguridad instalada en todos los dispositivos. Además, mantenerse informados sobre las últimas amenazas o engaños de manera de estar prevenidos frente a posibles nuevos riesgos.

Consejos de seguridad para trabajadores remotos que utilizan sus propios equipos.

El trabajo remoto dejó de ser una moda pasajera, que creció por la pandemia ocasionada por el COVID-19, para convertirse en una realidad inexorable. De hecho, hoy hasta resulta extraño cuando alguien afirma que no goza del beneficio de esta modalidad (excepto cuando la presencialidad es intrínseca al puesto que desempeña).

En este contexto, existe un gran número de personas que realizan sus tareas de manera remota, pero utilizando sus propios equipos. ESET, compañía líder en detección proactiva de amenazas, advierte que en caso de no aplicar ciertas buenas prácticas y tomar los recaudos necesarios, corren un mayor riesgo de ser víctima de algunas de las amenazas informáticas que circulan actualmente. Por ello, comparte los principales consejos de seguridad que es necesario tener en cuenta en estos casos:

• Actualizar software y navegador: El trabajar de manera remota con un equipo propio significará en primera instancia no tener el respaldo del departamento de TI, encargado de instalar cada una de las actualizaciones en el equipo, como de monitorear el funcionamiento de los programas de seguridad. Ante este escenario, lo más recomendable considerar como una tarea semanal más actualizar el software del sistema como el navegador. Sobre todo, teniendo en cuenta que los navegadores web se han transformado en aplicaciones y programas en sí mismos.

• Reducir la superficie de ataque: Es difícil dimensionar la cantidad de software que hay instalado en un teléfono móvil, computadora y Tablet. Pero, una muy buena práctica es tomarse el tiempo para eliminar aquellas aplicaciones que ya no se utilizan. De esta manera se estará reduciendo la superficie de ataque y dando menos margen a los cibercriminales, que dedican gran cantidad de recursos y dinero para encontrar nuevos vectores de ataque.

• Resguardar la información confidencial: Es un hecho que muchas personas han almacenado alguna vez información confidencial en sus equipos, incluso antes de la irrupción del trabajo remoto. Esto puede representar un gran riesgo, ya que esa información podría caer en manos equivocadas muy fácilmente.

Una muy buena alternativa es contar con un servicio de almacenamiento en la nube, en el cual poder migrar aquellos archivos de alta relevancia, a los cuales solo se pueda acceder mediante una conexión cifrada. La correcta configuración de la nube es otro factor clave. A la hora de eliminar un archivo confidencial del disco duro local, es muy importante sobrescribirlo: si solo se elimina, se estará liberando espacio, pero los datos permanecerán. Para quienes utilicen Mac, la tarea es aún más sencilla, activando la opción de “Vaciar papelera de forma segura", que sobrescribirá todo lo que se haya descartado allí.

• Establecer una conexión segura: Los ataques dirigidos al protocolo de escritorio remoto (RDP) pueden llegar a tener consecuencias graves e indeseadas. Si los cibercriminales logran su cometido, podrán enviar correos electrónicos corporativos a departamentos de contabilidad, desviar la propiedad intelectual de la empresa, y hasta cifrar todos los archivos para retenerlos para luego obtener dinero a cambio de un rescate. Hay muchas formas de protegerse contra los ataques de RDP, comenzando por apagarlo. Si realmente no se necesita el acceso remoto, desactivarlo es lo más simple. Y en caso de que se necesite permitir dicho acceso, hay una variedad de formas de restringirlo correctamente.

• Recaudos en el hogar y fuera de el: El trabajar desde casa puede conllevar riesgos invisibles, como las vulnerabilidades referidas a la Internet de las cosas (IoT). Para evitar cualquier contratiempo desde ESET recomiendan asegurarlos con contraseñas seguras, cambiando aquella que viene desde fábrica, y actualizar el firmware y el software. En caso de que la jornada laboral se desarrolle en lugares públicos, es fundamental cerrar la sesión para así evitar dar la oportunidad a que alguien acceda a la máquina en caso que en algún momento se pierda de vista (algo que no debería suceder nunca). Y al dejarla en un automóvil, siempre mejor guardarla en el baúl.

• Videollamadas, un llamado a la seguridad: Es clave tener en cuenta ciertas consideraciones referidas a la seguridad, para que no haya ningún tipo de sorpresas. Por un lado, verificar las opciones de configuración y encontrar la que sea correcta al entorno. También es conveniente poner un ojo en la política de privacidad: en caso de ser gratuita, es muy probable que estén recopilando, vendiendo o compartiendo datos para financiar el servicio.

• La limpieza, un punto clave: Es importante borrar el historial de navegación regularmente, por dos motivos: rendimiento del equipo y seguridad. El caché acumulado puede llegar a generar algún que otro dolor de cabeza. A su vez, es muy útil limpiar la carpeta de descargas, que suele acumular gran cantidad de archivos e información, muchos de los cuales pueden ser confidenciales y hasta peligrosos (como es el caso de los ejecutables).

• Prestar mucha atención a las descargas: Involuntariamente, claro está, las descargas pueden representar un riesgo para el equipo que está siendo utilizado para cuestiones laborales. Por ello, es necesario evaluar conscientemente qué tipos de descargas se están realizando.

En el caso de los torrents, por ejemplo, el riesgo de que alguien pueda saber lo que estamos descargando siempre está latente, sobre todo si se accede a una red remota para trabajar. La solución más práctica para mitigar los riesgos es utilizar una VPN.

“Si bien esta enumeración de consejos para poner en práctica pueden suponer una gran carga de trabajo, lo cierto es que a la larga terminarán convirtiéndose en una saludable rutina que ahorrará varios dolores de cabeza y, sobre todo, tiempo y dinero”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

OpenAI sufrió ataque de DDOS que afectó a ChatGPT y otros servicios.

ESET, compañía líder en detección proactiva de amenazas, analiza el ataque de denegación de servicio distribuido (DDOS) que afectó a ChatGPT y otros servicios. 

OpenAI, la empresa de inteligencia artificial detrás del desarrollo de ChatGPT, confirmó que sus servicios se vieron afectados por un ataque DDoS. Desde el martes 7 de noviembre de 2023 venía experimentando cortes intermitentes en su API (interfaz de programación de aplicaciones) y el chatbot, que luego se confirmaron como producto de un ataque DDoS.

Este tipo de ataques se basan en el envío de solicitudes desde varias fuentes y en gran cantidad a un servidor o servicio web, para sobrecargar la capacidad de procesamiento de estos y provocar la caída del servicio atacado.

Al ser un ataque distribuido, desde ESET destacan que utilizan varios flancos de ataque y que la detección del origen de las solicitudes para sobrecargar el servidor se hace más difícil, por lo que un DDoS tiene más probabilidades de evadir los bloqueos que si se trata de una sola fuente son más efectivos.

“Estamos experimentando cortes periódicos por un patrón de tráfico anormal que refleja un ataque de DDoS. Estamos trabajando para mitigarlo”, había alertado la empresa en su registro de incidentes. Desde el jueves 9 de noviembre, asegura la plataforma, los servicios volvieron a la normalidad y se pudo resolver el incidente de seguridad.

Todo había comenzado el martes previo con problemas que experimentaron los usuarios del chatbot de OpenAI, ChatGPT, que se atribuían a una "alta demanda excepcional del servicio“, algo que ocurre naturalmente por el uso intensivo que existe en la plataforma. Pero al día siguiente los problemas se intensificaron, y en la investigación de OpenAI finalmente se pudo determinar que estaban bajo un ataque DDoS que los había dejado fuera de juego durante varias horas.

Motivaciones más frecuentes detrás de un ataque DDoS

Según publica el sitio BleepingComputer, el grupo que se atribuyó el ataque sería Anonymous Sudan -que en el pasado ha tenido la responsabilidad sobre este tipo de ataque sobre OneDrive, Outlook y Azure Portal-, pero no hay una confirmación oficial de que haya sido este grupo; sí existen difusiones en Telegram sobre esta atribución.

“Este tipo de ataques son muy utilizados por los llamados hacktivistas, que presionan a organizaciones motivados por una disidencia ideológica o política. En los últimos años, el cibercrimen también ha virado hacia obtener un rédito económico, mediante extorsiones y pedidos de rescate a cambio de no ejecutar este tipo de ataques, algo que se conoce como Ransom DDoS, a la vez que la práctica, o amenaza de un DDoS, se convirtió en parte del conjunto de coerciones que los grupos Ransom ejercen sobre sus víctimas”, comentó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Cuidado al iniciar sesión con Google o Facebook en otros sitios web.

Muchos sitios permiten iniciar sesión con la cuenta de Facebook, Google, Microsoft, LinkedIn, Apple u otra cuenta de una gran empresa tecnológica. “Continuar con Google”, por ejemplo, es una forma muy sencilla de registrarse e iniciar sesión en un sitio web o una aplicación donde todo lo que se tiene que hacer es pulsar o hacer clic en un botón y permitir que algunos de los datos personales de la cuenta se compartan con el servicio online de terceros. 

Cuando se vincula un acceso a Google con otro servicio, se está autorizando a Google a compartir la información personal a cambio de facilidad de acceso y comodidad. Para ayudar a encontrar un equilibrio entre seguridad y comodidad, ESET, compañía líder en detección proactiva de amenazas, analiza los pros y los contras de utilizar este método de autenticación denominado inicio de sesión único (SSO), también conocido como inicio de sesión social, para las cuentas personales online.

El SSO es un esquema de autenticación que permite a una organización obtener acceso consentido a la información personal de un usuario al tiempo que permite el registro e inicio de sesión en los servicios, en lugar de exigir un registro a través de un formulario independiente. Algunas de sus ventajas, son:

• Facilidad de registro y acceso: En lugar de tener que rellenar otro formulario con nombre, apellidos, número de teléfono o dirección de correo electrónico, solo es necesario hacer clic en la opción SSO preferida y compartir esos datos (y posiblemente también otros) con la nueva aplicación o sitio web. Desde ESET destacan que la contraseña nunca se comparte con el sitio web, sino que la identidad se verifica mediante un token de autenticación.

• Atracción y captación de usuarios: Los servicios en línea entienden que cuanto más fácil resulte registrarse e iniciar sesión, más probable es que sea avance y se vuelva a ingresar.

• Se acabó el cansancio de las contraseñas: Los sitios web tienen diferentes requisitos de contraseña; además, se debe utilizar una combinación única de nombre de usuario y contraseña cada vez. La implementación de SSO, establece una contraseña segura y con una sola de las grandes plataformas de Internet se puede dar acceso a cientos de otros sitios web, reduciendo el número de contraseñas que se necesitan crear y memorizar.

• Mejor prevención de los compromisos de cuentas autoinfligidos (en algunos casos): Tener que recordar únicamente la contraseña de una cuenta de Google, por ejemplo, y proteger la cuenta adecuadamente puede reducir la necesidad de generar, y luego depender, de una extensa lista de contraseñas mal protegida.

Si bien el SSO ofrece algunas ventajas importantes al usuario, ESET también destaca los riesgos que podría representar su uso:

• Todos los huevos están en la misma cesta: Si las credenciales de Facebook o Google caen en las manos equivocadas, los ciberdelincuentes no solo tendrían acceso a esa cuenta, sino también a todos los sitios web a los que se la hayas vinculado. 

• Proteger la cuenta principal “como si tu vida dependiera de ello”: Una contraseña segura -quizá en forma de frase que mezcle mayúsculas, minúsculas y números- puede ser clave para proteger las cuentas y datos personales. Si por alguna razón no se utiliza un gestor de contraseñas que ayude con la elaboración, es útil elegir una frase de contraseña en un formato que permita añadirle el nombre del sitio web, pero sin que toda la cadena sea demasiado predecible.

• Cuestiones de privacidad. Cuando se vinculan cuentas, se está permitiendo que la información personal se transmita al sitio web y, debido a lo fácil que es configurarlo, se podría estar consintiendo la transferencia de más información de la que se espera. Si bien Facebook, Google, Microsoft o Apple permiten comprobar todas las conexiones con terceros, revocar el acceso no significa que también se esté revocando el consentimiento de un sitio web para utilizar los datos. Además, si después de “eliminar conexiones” se vuelve a entrar en el mismo sitio web y se utiliza el login social, se permite el ingreso igual que antes, como si nunca se hubiera revocado el acceso

• Atracción y captación de usuarios (y las implicaciones para la huella digital): Al registrarse en aplicaciones o sitios web que no se utilizan de manera frecuente es fácil olvidar su existencia o ingreso. Para evitarlo, desde ESET, aconsejan llevar un registro de todos los sitios web en los que se ingresa y de la información personal que se guarda allí; por ejemplo, la información de la tarjeta de crédito puede estar almacenada en un sitio web que se hayas utilizado una vez. Aunque esto puede ocurrir independientemente de cómo se inicie sesión, la naturaleza sin fricciones del método “exprés” hace más fácil el olvidarse de todas esas aplicaciones o sitios web en los que alguna vez se inició sesión con la cuenta de Google o Facebook.

“Cuando se combinan con otras medidas de seguridad y privacidad, los inicios de sesión sociales pueden ahorrar mucho tiempo. Pero en el caso de los sitios web que guardan tu información personal, como tu nombre completo, dirección, datos bancarios o números de tarjeta de crédito, es más seguro optar por una cuenta independiente protegida por una frase de contraseña compleja y única, junto con la autenticación de dos factores (2FA).”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

En resumen, para ESET, se recomienda el uso de SSO solo si:

• Se habilita la autenticación de doble factor (2FA) en la cuenta principal, ya que así será más difícil que alguien se haga pasar por ti en Internet,

• confiar en la plataforma que se utiliza para acceder al otro sitio web; no obstante, la confianza es algo voluble y se deben tomar otras precauciones,

• utilizar servicios de pago como PayPal o una tarjeta de crédito virtual como opciones de pago para cualquier sitio web al que se haya accedido utilizando SSO; esto ayudará a evitar que se filtren los datos bancarios,

• utilizar la configuración de la cuenta principal para realizar un seguimiento de todos los sitios web a los que se la ha vinculado.

Existen otras formas de acceder a las cuentas online y mantenerlas seguras, además de los inicios de sesión sociales. Una opción, según ESET, es crear una cuenta independiente para cada servicio y utilizar un gestor de contraseñas que evita crear, gestionar y rellenar automáticamente las credenciales de inicio de sesión. Otra opción, es usar una dirección de correo electrónico desechable, sobre todo para sitios web que no son de gran interés  o que no se piensa volver a utilizar. Además, algunos gobiernos han creado una identificación única de ciudadano que da a la gente acceso en línea a servicios ofrecidos por algunas organizaciones públicas y privadas.

“Sea cual sea el método que elijas, podrás disfrutar de tu presencia en Internet sin demasiados problemas (o prisas) siempre que sigas las prácticas generales de ciberhigiene, como evitar revelar tus credenciales, activar el 2FA y ser consciente de toda tu huella digital.”, concluye Gutiérrez Amaya de ESET Latinoamérica. 

Cibercriminales utilizan apps de citas para fraudes y engaños.

La popularidad de las apps para buscar pareja hizo que los cibercriminales encuentren diferentes maneras de sacar su propio rédito a través de fraudes y engaños. ESET, compañía líder en detección proactiva de amenazas, alerta cuáles son, cómo reconocerlos y qué se puede hacer para evitarlos.

En las estafas románticas, también reconocidas como engaños de catfishing, el ciberatacante emplea perfiles falsos para recopilar información personal de sus víctimas, ganarse su confianza y sacar algún rédito, generalmente económico.

A continuación, ESET describe los diferentes tipos de fraudes o ingeniería social para poder reconocerlos de inmediato y evitar ser víctima:

La estafa del militar: Una de las estafas más comunes involucra al ámbito militar, en el cual el estafador se vale del nombre de un soldado real o bien de la creación de un perfil falso. La historia del supuesto militar siempre es triste y trágica (es viudo, con hijos adultos, está por lograr el retiro) lo que genera una empatía automática con la víctima. Una vez creado el vínculo, evade el encuentro personal debido a una movilización a otra base, lo que da el pie perfecto para solicitar dinero para pagar un pasaje de avión, comprar medicamentos o costear con una buena conexión a Internet. Hasta cuentan con cómplices que intentan dar veracidad a la historia.

La estafa del médico en Siria o Yemen: El ámbito militar en este caso también es utilizado, pero vinculado al entorno médico, ya que el estafador afirma a sus posibles víctimas que en realidad es un médico del ejército estadounidense brindado servicio en zonas de guerra como Siria o Yemen, entre otras. Una vez conseguida la confianza, declara su amor y propone a la víctima un encuentro en un país maravilloso, para lo que solicitará dinero para el supuesto vuelo. Finalmente, lo único que viajará es el dinero a la cuenta del cibercriminal.

La estafa del viudo y la hija enferma: Otro de los escenarios más reportados por personas engañadas es el del supuesto dueño de una galería de arte, que asegura haber quedado viudo y tener una hija (Anita), la cual está transitando un complejo problema de salud contraído en África que requiere una ayuda económica por parte de la víctima. Claramente que no existe ni la galería de arte, ni la hija, ni ningún otro condimento brindando por el estafador, y se trata de una nueva artimaña para obtener dinero.

La estafa del enamorado inglés: Un ingeniero de Manchester, un químico de Londres o un exitoso profesional de Liverpool. Todas son las mismas caretas utilizadas por el cibercrimen para llevar adelante otro de los engaños más reportados de los últimos años. Correos electrónicos elegantes y llenos de elogios hacia la víctima, un amor que surge casi de inmediato y que promete avanzar muy rápidamente, hasta que llega la propuesta de una inversión en un negocio que teóricamente brinda ganancias sustanciales, que después requiere de dinero para trámites de la Aduana y otras documentaciones.

La estafa de las criptomonedas: El boom de las criptomonedas también llegó a las apps de citas, ya que los estafadores se valen de ellas para llevar a cabo sus engaños. Todo comienza con una idílica historia de amor, hasta que el cibercriminal asegura ser un inversor financiero muy destacado en el rubro de las criptomonedas e invita a su víctima en este negocio que parecería ser infalible. Por supuesto, lo único infalible es la estafa, que asegura una ganancia, pero no para la víctima, claro está.

La estafa de la herencia: Aquí, el estafador indica a la víctima que debe contraer matrimonio a la brevedad para acceder a una herencia que asciende a un precio exorbitante. Un supuesto problema con los impuestos de la aduana es la excusa perfecta para que el ciberatacante pida dinero a la víctima para poder hacerse del oro. Obviamente, todo es falso, menos la plata que transfirió la víctima, que nunca volverá a sus manos.

La estafa de la extorsión: En este caso, tras haber logrado tener confianza con la víctima después de diversas conversaciones, el estafador propone realizar una llamada con cámara. Misteriosamente, su imagen falla de manera inesperada y mediante insistencia y elogios, sí logra que la víctima se desnude frente a cámara y/o realice algún acto íntimo. Allí es cuando se revela la verdadera faceta del estafador, que asegura tener un video, y amenaza con publicarlo en caso de que la víctima no le transfiera dinero.

Sitios de citas falsos: Por supuesto que también existen diversos sitios de citas falsos, cuyo único objetivo es obtener los datos de las personas que se registran. Por ello, es común que incluyan preguntas personales, de la infancia y hasta financieras, que pueden ser útiles para obtener claves de acceso. También son comunes las oferta de promociones exclusivas para contar con una membresía premium y así acceder a la información bancaria.

Falsa verificación de Tinder: Puntualmente en Tinder, es muy usual la estafa que involucra un mensaje de texto o correo electrónico que asegura que es necesario verificar la cuenta, mediante un enlace. Allí, solicitarán datos personales, y hasta detalles de la cuenta bancaria y de la tarjeta de crédito.

Sitios falsos con malware: También es habitual que tras haber entablado una conversación prolongada con un estafador, este invite a la víctima a conocer su sitio personal o algún perfil en redes sociales. Claramente, no son páginas legítimas, sino que contienen spam o malware mediante los cuales se obtiene información valiosa para perpetrar un fraude financiero o el robo de identidad.

¿Qué señales deben encender las alarmas de un posible fraude?

Existen diversas maneras de identificar que lo que podría ser una futura pareja ideal, en realidad es algún ciberatacante que está intentando llevar adelante un fraude o una estafa. Entre sus modus operandi ESET destaca las siguientes acciones:

•        Pedir demasiada información personal a la potencial víctima.

•        Evitar dar datos concretos sobre su persona, o evadir las preguntas de la víctima.

•        Proponer que la conversación siga por un chat privado, por fuera de la aplicación de citas.

•        Eludir cualquier posibilidad de encontrarse personalmente con la víctima.

•        Indicar que trabaja o reside en un país distinto que el de su víctima.

•        Fomentar que la relación avance de manera acelerada y en poco tiempo, incluyendo hasta una propuesta de casamiento.

•        Tener un perfil y nombres que no se corresponden con ninguna otra red social.

•        Compartir experiencias o historias de vida complejas o trágicas que requieren una ayuda monetaria: desde pasajes, médicos, documentos de viaje y deudas de juego, entre otras.

•        Pedir dinero o solicitar la apertura de cuentas bancarias para usar.

“En caso de que la víctima se niegue a acceder a alguno de estos pedidos, el cibercriminal buscará excusas cada vez más urgentes para justificar el envío del dinero. En ciertos casos hasta podrá usar el chantaje, si es que cuenta con información sensible o contenido íntimo de la víctima, amenazando con hacer públicas fotografías y/o videos.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

¿Qué hacer para evitar caer en estos engaños?

Desde ESET recomiendan incorporar los siguientes buenos hábitos para minimizar el riesgo de ser víctimas de un engaño:

•        Investigar sobre las personas que se conocen a través de internet (y no solo en las apps de citas). Si bien puede sonar un poco frío, realmente puede evitar una pérdida de dinero (y de tiempo).

•        Buscar la foto de perfil y verificar si coincide con el nombre y la información del perfil, o simplemente se trata de una foto falsa.

•        Realizar una búsqueda del nombre y otros detalles vinculados a su historia de vida, y corroborar con lo que figura con la información disponible en Internet.

•        Prestar especial atención al comportamiento de la persona: si hace demasiadas preguntas o si evita responder las que se le hacen.

•        Evitar compartir datos personales en redes sociales de forma pública, como no brindar información sensible o íntima a los contactos de las aplicaciones de citas, ni enviar videos o fotos comprometedoras.

•        No transferir ni enviar dinero a alguien que no se haya conocido en persona, como tampoco abrir nuevas cuentas bancarias para un tercero.

•        No seguir en contacto en caso de sospechar de que se trata de un potencial estafador o estafadora, y denunciar el incidente a las autoridades. Esto último evitará que otras personas también se conviertan en víctimas.

“Siguiendo estos consejos es posible mantener tu información personal y tus cuentas bancarias a salvo de cibercriminales que pretenden ser usuarios de aplicaciones de citas.”, concluye Gutierrez Amaya, de ESET Latinoamérica.

Cibercriminales utilizan Reddit para estafar a usuarios.

No es de extrañar que Reddit, siendo el 18vo sitio web más visitado del mundo y la séptima red social más frecuentada, también sea un gran atractivo para los ciberdelincuentes. ESET, compañía líder en detección proactiva de amenazas, alerta que además de un sinfín de subreddits legítimos, simpáticas fotos de extraterrestres y eventos anuales del Día de los Inocentes, los usuarios de Reddit también pueden encontrarse con varios tipos de engaños en el sitio, incluidas estafas que buscan sus datos y su dinero.

Algunos tipos comunes de fraude que se deben tener en cuenta cuando se utiliza esta plataforma, según ESET, son:

• Phishing: adopta la forma de un correo electrónico o mensaje de texto que se hace pasar por una solicitud legítima de las credenciales de acceso, información de tarjeta de crédito u otros datos personales. En Reddit, este tipo de estafa se propaga sobre todo a través de mensajes privados que los moderadores del foro no pueden leer, lo que facilita a los delincuentes engañar a las víctimas para que hagan clic en enlaces dudosos y faciliten sus credenciales de inicio de sesión o descarguen malware en sus dispositivos.

Para reconocer el phishing, desde ESET aconsejan leer detenidamente todo el mensaje, buscar errores gramaticales, comprobar el remitente y prestar atención a los enlaces y archivos adjuntos inesperados. Si el dominio parece legítimo pero hay algo que no encaja, es probable que se trate de una campaña de phishing.

• Spearphishing: es una versión específica y más sofisticada del phishing que se basa en mensajes especialmente diseñados para una persona o un grupo de personas, como los empleados de una empresa. Los usuarios activos de Reddit que revelan demasiada información sobre sus vidas en subreddits o incluso en otros sitios pueden ser especialmente susceptibles a este ataque.

• Subreddits falsos: la principal característica de Reddit es su capacidad para permitir a la gente crear sus propios espacios de discusión conocidos como "subreddits", que luego son supervisados por moderadores que se aseguran de que los usuarios siguen las reglas. 

En última instancia, esto crea un entorno en el que estos foros de debate se ganan la confianza de los usuarios. Sin embargo, los estafadores siempre buscan formas de explotar esta confianza, utilizando bots que generan nuevos subreddits en los que básicamente todo es falso: moderadores, subredditors y publicaciones tomadas de fuentes legítimas. Los subreddits falsos a menudo simulan ser foros de comercio de criptomonedas, y sus moderadores se hacen pasar por comerciantes legítimos.

• Estafas benéficas: algunos foros de Reddit están dedicados a causas benéficas. Por desgracia, también pueden convertirse en caldo de cultivo para estafas, ya que los subreddits atraen a estafadores que se hacen pasar por servicios benéficos legítimos y se aprovechan de la empatía de las personas de buen corazón.

• Estafar a personas necesitadas: algunas estafas también implican a estafadores que intentan robar dinero incluso a personas que no tienen mucho y están pidiendo ayuda.

• Criptoestafas: Reddit también es popular entre la comunidad de criptomonedas, ya que atiende a personas que siguen las últimas tendencias en el ámbito de las criptomonedas y buscan asesoramiento sobre su comercio. Sin embargo, estos Redditors a menudo expresan sus frustraciones acerca de los mensajes que prometen duplicar sus inversiones o promover nuevas monedas que garantizan ganancias irrealmente altas. Esos mensajes suelen proceder de grupos organizados que han obtenido una enorme cantidad de "shitcoins", es decir, criptomonedas de escaso valor, e intentan venderlas a precios inflados mediante campañas de marketing online. Estos "shills" suelen invadir cualquier subreddit popular de criptomonedas y molestar a los usuarios.

Para protegerse de estas estafas, desde ESET recomiendan seguir un principio sencillo: Cuestionar todo lo que parezca demasiado bueno para ser verdad. Si alguien ofrece beneficios extravagantes o reembolsos por tus pérdidas, denúncialo a los administradores del foro.

Además, ESET analizó dos tipos diferentes de estafa:

• Spam y redes de upvoting: El spam es un problema grave en Reddit, exacerbado por grupos bien organizados que abusan del sistema de votación del sitio, crean contenidos inventados y posiblemente dañinos y luego los promueven en Reddit con la ayuda de cuentas falsas. Promueven artículos "clickbait" con titulares que llaman la atención, pero lo que se encuentra en su lugar es contenido mal escrito y montones de anuncios. A pesar de carecer de sustancia, estos artículos acumulan un montón de upvotes y comentarios positivos, lo que los empuja a las primeras posiciones de la página principal del subreddit.

Existe un mercado floreciente de upvotes en Reddit, con precios que oscilan entre 20 y 50 dólares por cada 1.000 votos. En caso de identificar un artículo promocionado con un enlace asociado que parezca sospechoso, no hacer clic en él y denunciar el caso a los administradores del subreddit.

• Cultivo de karma: Reddit se basa en un sistema de karma para distinguir entre cuentas auténticas y fraudulentas, pero los estafadores han aprendido a eludirlo. Crean cuentas que copian y pegan contenido legítimo antiguo de Reddit, aumentando su propia puntuación de karma y haciéndose pasar por usuarios legítimos. En su Informe de Transparencia 2022, Reddit reveló que los administradores y moderadores eliminaron el 4% del contenido publicado en el sitio en 2022. Un abrumador 80% de estas eliminaciones se atribuyeron al spam, en particular al cultivo de karma.

“En la era digital actual, las estafas se colaron en varios rincones de Internet, incluidas plataformas populares como Reddit y otras redes sociales. Mantener la vigilancia mientras se utiliza el sitio, tener cuidado con los mensajes y enlaces no solicitados, cuestionar cualquier cosa que suene demasiado buena para ser cierta y nunca compartir en exceso la información personal. Informarte sobre las últimas estafas y mantenerte al día sobre las mejores prácticas de ciberseguridad. El conocimiento es la mejor defensa contra las estafas. Si te mantienes alerta y precavido, podrás disfrutar de lo que Reddit y otras plataformas de redes sociales tienen que ofrecerte al tiempo que te proteges de los fraudes.”, aconseja Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica. 

ChatGPT e Inteligencia Artificial impactan en la educación.

Durante las últimas décadas, fueron varias las veces en que la tecnología fue señalada como una gran amenaza para la educación. Sucedió con la llegada de las calculadoras, durante el apogeo de Google, así como con la aparición de Wikipedia. Hoy, la educación tiene por delante otro desafío: el saber adaptarse a las nuevas tecnologías como la Inteligencia Artificial, que tal como confirman algunas estadísticas, llegaron para quedarse. ESET, compañía líder en detección proactiva de amenazas, analiza esta nueva modalidad y cómo se podría transformar ese miedo inicial en una herramienta más para potenciar la enseñanza.

Desde el lanzamiento de ChatGPT, fueron más de 100 mil millones de personas las que ingresaron para obtener algún tipo de respuesta del chatbot. Las empresas, en la actualidad, lo utilizan para responder consultas de usuarios, redactar correos electrónicos, configurar reuniones, por solo citar algunos ejemplos. Como no podía ser de otra manera, el campo de la educación se ve impactado por este fenómeno global.

Algunos casos donde ChatGPT es utilizado de una forma disruptiva y formativa, son el caso de profesores que solicitan a sus estudiantes que generen un texto sobre un tema a elección con la ayuda del chatbot, para que luego ellos mismos puedan encontrar los errores. Pero sus beneficios podrían ir aún más allá, como usarse para abordar temáticas de manera más interactiva, generar debates y contrapuntos, organizar planes de estudios personalizados según la necesidad de cada persona, y hasta su aplicación para el ahorro de tiempo en tareas administrativas.

“Tal como sucede con los avances tecnológicos en general, todo depende de la intención u objetivo con que se usen. Que se convierta en su mejor aliado o en su peor enemigo, como siempre, está en nuestras manos”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

La Sociedad Internacional para la Tecnología en la Educación (ISTE, según sus siglas en inglés), es una organización sin fines de lucro, y que principalmente incentiva el uso de la tecnología en la enseñanza. Así lo confirman las palabras de su propio Director general, Richard Culatta: “¿Si ChatGPT mató a las evaluaciones? Probablemente, ya estaban muertas, y han estado en modo zombi durante mucho tiempo. Lo que hizo ChatGPT fue llamarnos la atención sobre eso. Nuestra pregunta ahora debe ser qué tenemos que hacer para que los jóvenes estén preparados para un futuro que no está tan lejos”.

Del otro lado de la vereda, hay quienes aún ven a la Inteligencia Artificial como un atajo directo a la trampa, que aleja a los estudiantes del aprendizaje. Un test realizado recientemente en los Estados Unidos avala esta corriente, ya que demostró que ChatGPT estaría en condiciones de aprobar exámenes universitarios en carreras de Derecho y Negocios. “Más allá del debate del impacto que puede generar la utilización de la Inteligencia Artificial como una herramienta más en la educación, hay un tema que es ineludible: el de la seguridad. De hecho, son varios los países en los que ChatGPT no se encuentra disponible en línea con las leyes regulatorias vinculadas a Internet”, comenta el experto.

A su vez, como toda herramienta de uso masivo, ChatGPT también resulta un blanco muy atractivo para los actores maliciosos, ya sea para utilizarla con fines criminales, como suplantar su identidad y engañar a personas desprevenidas. Probablemente, esta tendencia continuará y no llamará la atención que se sigan viendo casos donde se intente explotar vulnerabilidades o realizar fraudes en su nombre. 

ESET invita a conocer su iniciativa Digipadres, y su nota “ChatGPT: ¿una revolución para la educación?” para continuar analizando el impacto potencial de ChatGPT en la educación y como esta tecnología podría transformar la manera en que los alumnos aprenden y se relacionan con los materiales educativos.  

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/we-live-progress/el-impacto-de-chatgpt-y-la-inteligencia-artificial-en-la-educacion/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

ESET Centroamérica acorta brechas en seguridad informática.

Los ciberataques son una de las nuevas amenazas que constituyen un obstáculo para el desarrollo sostenible, a nivel social y económico. ESET, compañía líder en detección proactiva de amenazas, busca continuamente soluciones para mitigar que sus clientes hogareños y corporativos, se vean impactados por este tipo de riesgos cibernéticos, fomentando la creación de soluciones que generen un valor agregado para todo su círculo de influencia.

Centroamérica y El Caribe presentan características propias que la convierten en blanco de ciberdelincuentes; sin embargo, también se presenta como una región estratégica para que las empresas puedan implementar sus principios sostenibles. En la actualidad, existe una creciente conciencia sobre el papel crucial y la responsabilidad que tienen las empresas para fomentar el desarrollo de las comunidades en donde operan y ESET Centroamérica es parte de esta realidad. 

La empresa cuenta con un total de 94 colaboradores en los países en los que tiene presencia, en el que el 54% son mujeres y 46% hombres y está centrada en el elemento humano y comprometida con la seguridad informática de las personas, la compañía presenta su Reporte de Sostenibilidad 2022, evidenciando su compromiso social, económico y ambiental, alineados con el Global Reporting Iniciative (GRI) y con los Objetivos de Desarrollo Sostenible (ODS). Todas las acciones destacadas en este informe contribuyen a públicos de interés que tiene ESET Centroamérica y cuyos pilares de gestión son referenciados en el marco del Programa de Negocios Competitivos de GRI:

• Comunidad: ESET es un facilitador activo de contenido, que permite acortar brechas de información en cuanto a seguridad informática, capacitando en promedio anual de 1500 personas. La marca cuenta además con la iniciativa Digipadres, que tiene como objetivo concientizar y educar a padres, madres y personas adultas en general, sobre diferentes temas que impactan o afectan a niños, niñas y adolescentes.

• Desempeño económico: por medio de este eje la empresa brinda visibilidad a sus accionistas, para determinar los gastos, dónde invertir y de qué manera, se ofrece una mejor visión del estado económico para las acciones a seguir. El impacto está en la toma de decisiones y genera una fuente verídica para evaluar nuevos proyectos según los presupuestos establecidos.

• Colaboradores: la gestión de la diversidad es importante pues permite tener variedad de habilidades, culturas, experiencias y modos de pensar. Como empresa comprometida en obtener las mejores prácticas y conocimientos en el tema de diversidad e inclusión, alrededor del 29% de la fuerza laboral está por debajo de los 30 años; el 9.5% son mayores de 50 años; entre 30 y 50 años representan el 60.7%; y el 54% del total del personal son mujeres.  

• Dimensión ambiental: radica especialmente en las operaciones de las zonas urbanas, impactando en las ciudades de los diferentes países en donde se encuentran las oficinas de ESET. Adoptando diversos compromisos para disminuir el impacto ambiental, entre ellos se encuentra la reducción en la huella de carbono y del consumo de desechos de larga duración de descomposición, uso eficiente de los recursos y cambio de tendencia no solo en el proceso productivo, sino también como sociedad y como individuos, que contribuyen en la lucha contra el cambio climático. Los productos no generan residuos dañinos para el planeta puesto que son 90% digitales, el otro 10% se basa en unas tarjetas de cartoncillo que contienen el código de las licencias ESET Home.

• Cadena de valor: se promueve el reconocimiento y el desarrollo de los canales de venta acompañando de incentivando y creación de conocimiento por medio de constante capacitación sobre seguridad informática y tendencias, para lograr crecimiento de forma sustentable en los países de Centroamérica y República Dominicana. 

Adicionalmente, existe el Programa de becas estudiantiles, como apoyo a la educación de los colaboradores y las colaboradoras, en el cual se otorgan reintegros totales o parciales del costo de estudio dependiendo de las notas obtenidas.

Internamente, se desarrolla profesionalmente al equipo a través de diplomados y cursos, y en los que se han invertido un promedio de 500 horas en distintas capacitaciones que apoyan el crecimiento constante en su área de trabajo.

“Nos alegra materializar nuestros principios y valores de Sostenibilidad. Para la compañía, lo más importante son las personas, a quienes no consideramos como recursos o herramientas, sino, individuos con sentimientos, emociones y habilidades y capacidades. Continuamente nos relacionamos entre compañeros y compañeras de trabajo, partners, clientes y medio ambiente; por lo que estamos comprometidos y comprometidas en apoyarnos de manera integral; en medio de las recientes y diversas crisis globales”, indica Adriana Rosa, encargada de Sostenibilidad de ESET Centroamérica.

El reporte fue elaborado como un Reporte GRI (Global Reporting Iniciative) referenciado, bajo los indicadores de esta misma organización. Además, se incorporaron los 10 principios universales del Pacto Mundial de las Naciones Unidas relacionados con los derechos humanos, el trabajo, el medio ambiente y la lucha contra la corrupción en sus estrategias y operaciones. De esta forma los valores de ESET: lealtad, pasión y responsabilidad; se evidencian alineados con estos principios de ONU. 

Google Chrome es el navegador más apuntado por los cibercriminales.

Según un análisis realizado por WatchGuard, durante el segundo trimestre de 2022 hubo un aumento del 23% en los ataques de malware dirigidos a los navegadores Chrome, Firefox e Internet Explorer, en comparación con el trimestre anterior. El informe revela que aumentaron un 50% los ataques dirigidos a Chrome, ESET, compañía líder en detección proactiva de amenazas, analiza por qué los ciberdelincuentes apuntan tanto a este buscador.

Los navegadores son un blanco buscado por los cibercriminales dado su el papel crucial, pues son los guardianes del mundo digital, responsables de administrar datos confidenciales, como contraseñas, cookies e incluso detalles de tarjetas de crédito. Este tesoro de información hace que los navegadores sean un objetivo atractivo para el malware que tiene como objetivo robar datos.

Estos datos robados son de gran valor para los ciberdelincuentes, ya sea para uso directo en ataques o para la venta en la dark web. Las contraseñas corporativas se pueden usar para lanzar ataques cibernéticos a gran escala, incluidas campañas de ransomware, mientras que los detalles de tarjetas robadas pueden llevar al vaciado de las cuentas bancarias de usuarios desprevenidos.

“En un escenario en el que Chrome se enfrenta a un número alarmante de vulnerabilidades, es esencial que los usuarios y administradores de sistemas estén atentos y mantengan sus navegadores actualizados y también sigan una serie de mejores prácticas para proteger sus datos e información contra las crecientes amenazas cibernéticas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Una de las razones detrás de este aumento en los ataques de Chrome puede ser la persistencia de vulnerabilidades de zero-day. En 2022, el equipo de investigación de ESET observó varios casos de vulnerabilidades críticas en Chrome, y, en ese entonces, Google emitió una alerta de que estaban siendo explotados activamente en ataques cibernéticos. Instaron, a su vez, a los usuarios de Chrome en Windows, Mac y Linux a aplicar inmediatamente las actualizaciones de seguridad pertinentes.

Otra de las razones, según ESET, podría ser la negligencia de muchos usuarios y administradores de sistemas hacia las actualizaciones de seguridad, sin las cuales los navegadores siguen siendo muy vulnerables a los ataques. Garantizar que las actualizaciones de seguridad críticas se apliquen inmediatamente es una de las medidas más efectivas para protegerse contra los ataques cibernéticos dirigidos a navegadores y otros tipos de software.

Como dice el informe de WatchGuard: “Todo lo que se necesita es una sola vulnerabilidad sin parches para que un ataque encuentre una brecha en sus defensas. Mantener su software actualizado con las últimas correcciones de seguridad es una de las mejores acciones que puede tomar para fortalecer su defensa cibernética”.

ESET comparte algunos consejos para evitar ser víctima de ataques:

• Mantener el navegador actualizado: asegurarse de tener la última versión, ya que las actualizaciones a menudo incluyen correcciones de seguridad vitales que abordan vulnerabilidades conocidas.

• Activar las actualizaciones automáticas: configurar el navegador para aplicar automáticamente actualizaciones de seguridad. Esto ayuda a garantizar que siempre se esté protegido contra las amenazas más recientes.

• Emplear extensiones de seguridad confiables que puedan ayudar a bloquear contenido malicioso y proteger la privacidad mientras se navega por la web. Evitar instalar extensiones y complementos de fuentes desconocidas, ya que pueden utilizarse como vectores para ataques cibernéticos.

• Utilizar un antivirus actualizado: asegurarse de que el software de seguridad esté actualizado y ejecutándose en el sistema. Esto puede ayudar a detectar y bloquear el malware antes de que infecte el navegador.

• Habilitar la autenticación de dos factores (2FA) cuando sea posible, para las cuentas, incluidos los servicios de correo electrónico y redes sociales. Esto agrega una capa adicional de seguridad.

• Evitar hacer clic en enlaces o descargar archivos de fuentes poco confiables o sospechosas. Esto puede evitar ser víctima de phishing y descargas maliciosas.

• Asegurarse de que las contraseñas sean complejas y únicas para cada cuenta en línea. Un administrador de contraseñas puede ayudar a realizar un seguimiento de ellas de forma segura.

• Mantenerse actualizado sobre las últimas amenazas cibernéticas y de qué manera pueden afectar. La educación continua es una de las mejores maneras de protegerse.

• Efectuar copias de seguridad periódicas de los datos importantes para que, en caso de un ataque exitoso, se pueda restaurar la información sin pérdidas significativas.

Bot de Telegram ayuda a ciberdelincuentes a cometer estafas en plataformas online de compraventa.

Cada vez más personas optan por las compras en línea dado su comodidad, que las entregas son al domicilio y a veces es posible incluso ahorrar dinero. Desgraciadamente, los estafadores abusan de ello y se dirigen a estos servicios y a sus clientes en beneficio propio. De esta manera, pueden crear un anuncio de productos que no existe y, una vez que la víctima paga, desaparecen en el éter. Recientemente ESET, compañía líder en detección proactiva de amenazas, identificó el código fuente de un conjunto de herramientas que hace que los estafadores no necesiten ser expertos en informática. En este kit de herramientas se implementa como un bot de Telegram que, cuando se activa, proporciona varios menús fáciles de navegar en forma de botones. 

A este kit ESET lo nombró Telekopye como la combinación de Telegram y kopye (копье), que en ruso significa lanza, debido al uso de phishing altamente dirigido. Los estafadores llaman mamuts a las víctimas de esta operación y varias pistas apuntan a Rusia como país de origen de los autores y usuarios del kit de herramientas. Telekopye fue subido a VirusTotal en múltiples ocasiones.

“Hemos descubierto y analizado Telekopye, un conjunto de herramientas que ayuda a las personas menos técnicas a realizar estafas en línea con mayor facilidad. Estimamos que Telekopye estaba en uso desde al menos 2015. Nos centramos en una versión, analizando sus principales capacidades y descubriendo cómo funcionan internamente. Estas capacidades incluyen la creación de sitios web de phishing, el envío de SMS y correos electrónicos de phishing y la creación de capturas de pantalla falsas. También describimos la jerarquía de los grupos que utilizan Telekopye. Gracias a nuestra telemetría, también descubrimos que esta herramienta sigue en uso y en desarrollo activo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica. 

Aunque los principales objetivos de Neanderthals son los mercados online como OLX y YULA, desde ESET se observó que sus objetivos son también mercados online como BlaBlaCar o eBay, e incluso otros como JOFOGAS y Sbazar. Solo para ilustrar lo grandes que son algunos de estos mercados, la plataforma OLX tuvo, según Fortune, 11.000 millones de páginas vistas y 8,5 millones de transacciones al mes en 2014.

Las versiones que se recopilaron desde ESET de Telekopye sugieren un desarrollo continuo. Las mismas se utilizan para crear páginas web de phishing y enviar mensajes de phishing por correo electrónico y SMS. Además, algunas versiones de Telekopye pueden almacenar datos de las víctimas (normalmente detalles de tarjetas o direcciones de correo electrónico) en el disco donde se ejecuta el bot. “Telekopye es muy versátil, pero no contiene ninguna funcionalidad de IA de chatbot. Por lo tanto, en realidad no realiza las estafas; sólo facilita la generación de contenidos utilizados en dichas estafas. En julio de 2023, detectamos nuevos dominios que encajan con el modus operandi de los operadores de Telekopye, por lo que siguen activos. La última versión de Telekopye que hemos podido recopilar es del 11 de abril de 2022. Evaluamos que Telekopye ha estado en uso desde al menos 2015 y, basándonos en fragmentos de conversaciones entre neandertales, que diferentes grupos de estafadores lo están utilizando.”, agrega Gutiérrez Amaya de ESET.

En cuanto a la estafa Telekopye, en primer lugar, los Neandertales una vez que encuentran a sus víctimas (mamuts) intentan ganarse su confianza y persuadirles de que son confiables. Cuando los atacantes creen que un “mamut” confía lo suficiente en ellos, utilizan Telekopye para crear una página web de phishing a partir de una plantilla prefabricada y envían la URL a la posible víctima, incluso a través de mensajes SMS o correo electrónico. Después de que el mamut envía los datos de la tarjeta a través de esta página, los neandertales utilizan estos datos de la tarjeta para robar dinero de la tarjeta de crédito/débito del mamut, mientras ocultan el dinero utilizando varias técnicas diferentes, como blanquearlo a través de criptomonedas; desde ESET se identificaron algunos servicios de cryptocurrency mixing involucrados en estas operaciones. 

Telekopye dispone de varias funcionalidades diferentes que los Neandertales pueden aprovechar al máximo. Estas funcionalidades incluyen el envío de correos electrónicos de phishing, la generación de páginas web de phishing, el envío de mensajes SMS, la creación de códigos QR y la creación de capturas de pantalla de phishing.

La característica principal de Telekopye es que crea páginas web de phishing a partir de plantillas HTML predefinidas bajo demanda. Un Neanderthal debe especificar en esta plantilla detalles como la cantidad de dinero, el nombre del producto, ubicación a la que se enviaría el producto, la foto, el peso, y el nombre del comprador. A continuación, Telekopye toma toda esta información y crea una página web de phishing para materializar el engaño. Estas páginas están diseñadas para imitar diferentes sitios de inicio de sesión de pagos/bancos, pasarelas de pago de tarjetas de crédito/débito, o simplemente páginas de pago de diferentes sitios web. Para facilitar el proceso de creación de páginas web de phishing, estas plantillas de páginas web están organizadas por países a los que se dirigen. 

ESET comparte algunas recomendaciones para evitar ser estafado por este grupo:

• La forma más fácil de saber si se está en el radar de un Neanderthal es fijarse bien en el lenguaje utilizado en la conversación, sea en un correo electrónico o página web. Aunque, lamentablemente, esto no es infalible, ya que algunos de estos intentos de estafa corrigieron errores gramaticales y de vocabulario.

• Insistir en que el intercambio de dinero y bienes sea en persona, cuando sea posible, en el caso de artículos de segunda mano vendidos online. Ya que usualmente no están protegidos por instituciones o servicios conocidos y estas estafas son posibles porque los neandertales fingen que ya hicieron un pago online, o ya enviaron el producto que se pretendía comprar. Por supuesto que la entrega en persona no siempre es posible, y puede no ser segura por lo que hay que extremar las precauciones, cuando se utiliza un servicio de mercados online.

• Evitar enviar dinero a menos que se esté seguro; comprobar que la página web no tenga errores gramaticales o fallas de diseño gráfico. Si se tiene suerte, una plantilla puede tener algunas imprecisiones. Comprobar también el certificado de la página web y fijarse bien en la URL, que puede hacerse pasar por un enlace real.

• Tener cuidado con el ofrecimiento forzado de un medio de pago, si el engaño es de una compra falsa, con frases como "Te enviaré el dinero a través del servicio XYZ. ¿Sabes cómo funciona?". En su lugar, preguntar por otro tipo de plataforma de pago que sea familiar. Esto no es infalible porque los estafadores tienen múltiples plantillas que pueden imitar servicios de pagos online, pero es posible que se pueda reconocer una plantilla falsa más fácilmente si se utiliza un método de pago conocido.

• Extremar las precauciones si se reciben enlaces por mensajes SMS o correos electrónicos, aunque parezcan proceder de una fuente de confianza. Los neandertales no son ajenos a la suplantación de identidad por correo electrónico. Una buena regla general es visitar directamente la página web del supuesto servicio (no utilizar el enlace del correo electrónico/SMS), y por caso, consultar en atención al cliente.

Pueden nuestros electrodomésticos ser un riesgo a la ciberseguridad

Las botnets suponen un gran peligro porque sus operadores son capaces de usar una red de computadoras infectadas para ejecutar virtualmente cualquier tarea, y dañar a los usuarios de los equipos infectados y a terceros. Esto lo logran mediante el envío de spam, distribuyendo engaños y amenazas escondidas en archivos adjuntos o ejecutando ataques de denegación de servicio distribuido (DDoS). ESET, compañía líder en detección proactiva de amenazas, analiza el caso de Mirai y los dispositivos electrónicos hogareños.

“Hay una amenaza silenciosa frente a nuestros ojos y que, muchas veces, pasa desapercibida. Las víctimas, en general, ni siquiera saben que fueron infectadas, y los atacantes tienen una tasa de éxito muy cercana al 100%”, advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Un ataque DDoS (denegación de servicio distribuido, en español) intenta desbordar la capacidad computacional de procesamiento de los "objetivos" del ataque, a través de la sobrecarga de peticiones para saturarlos.

En agosto de 2016 se descubrió una botnet que solo par de meses después sorprendería al mundo entero con un ataque DDoS. Debido al ataque DDoS sostenido del que fue víctima el proveedor de servicios del Sistema de Nombres de Dominio Dyn se evidenciaron cortes en sitios y servicios de diversa índole: Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal, entre tantos otros. Ese no fue el único gran golpe de la botnet Mirai ese año: OVH, la empresa francesa de alojamiento web, evidenció interrupciones significativas en sus servicios y en el de sus clientes y el ataque alcanzó un récord de tráfico DDoS para la época, ya que superó los 1,1 terabits por segundo.

La particularidad de la botnet Mirai es que su gran red se componía de dispositivos digitales conectados a internet (IoT - internet de las cosas) que fueron infectados por no contar con protección, estaban mal configurados o contaban con contraseñas débiles.

Routers domésticos, grabadoras de video, cámaras de vigilancia y cualquier otro tipo de dispositivos inteligentes fueron aprovechados por Mirai para perpetrar sus ataques. Según se calcula esta botnet estaba compuesto por más de 600.000 dispositivos domésticos inteligentes conectados a internet

Eso no fue todo porque el código fuente de Mirai se publicó en foros de código abierto, lo que produjo que esta técnica sea utilizada en otros proyectos de malware. De hecho, durante 2023 año hubo varios ataques en donde se implementaron algunas de sus variantes.

“Cualquier persona que instale un router, una cámara, una TV o cualquier otro dispositivo IoT y no cambie la contraseña predeterminada, está favoreciendo a que los cibercriminales realicen este tipo de ataques.

¿Por qué? Sucede que los que efectúan los ataques DDoS tienen conocimiento de las contraseñas predeterminadas de muchos dispositivos IoT y, si el fatídico 21 de octubre de 2016 nos enseñó algo, es que cualquier cosa que se conecta a Internet supone un riesgo”, concluye Gutiérrez Amaya, de ESET Latinoamérica.

¿Qué se puede hacer al respecto? Desde ESET comparten las siguientes recomendaciones:

• Considerar a los dispositivos IoT del mismo modo que a una computadora personal, por lo que se deben tener iguales cuidados como cambiar de inmediato la contraseña predeterminada y comprobar regularmente los parches de seguridad.

• Utilizar la interfaz HTTPS siempre que sea posible y, cuando el dispositivo no se usa, apagarlo. Si contiene otros protocolos de conexión que no están en uso, lo mejor es deshabilitarlos.