Negocios & Entretenimiento: Simo Nicaragua

Mostrando entradas con la etiqueta Simo Nicaragua. Mostrar todas las entradas

miércoles, 22 de octubre de 2025

Así pueden robar tu información en Google Chrome.

El Laboratorio de investigación de ESET Latinoamérica, compañía líder en detección proactiva de amenazas, identificó un código malicioso que afecta a los sistemas operativos Windows y se hace pasar por una extensión de seguridad para Google Chrome. Es detectado por las soluciones de ESET como JS/Spy.Banker.CV y se trata de un infostealer con capacidades de robar información sensible.

Este malware se propaga en la región, principalmente por México, mediante archivos adjuntos comprimidos en correos electrónicos que aparentar ser de instituciones financieras reconocidas. En su código se observan palabras nombres de variables y reemplazos en portugués, lo que evidencia que este tipo de amenazas trascienden fronteras.

Esta amenaza tiene la capacidad de modificar visualmente de detectar cuando el usuario se encuentra en una página financiera -hallando patrones comunes en este tipo de sitios- y cuando lo hace, puede modificar el DOM (Document Object Model) cambiando cómo se ve y funciona la página, sin que el usuario lo note. De esta forma, presenta formularios apócrifos con la apariencia real. Toda información ingresada en esos formularios es desviada a un servidor controlado por los cibercriminales.

Además, este malware tiene la capacidad de sustituir datos de billeteras de criptomonedas y bancarios del usuario por los de los cibercriminales, lo que habilitaría el desvío de fondos hacia los atacantes.

“Estamos ante un infostealer que posee capacidades para robar información sensible de una víctima cuando completa un formulario en una página de internet. Con capacidad de modificar la wallet y otros datos de pagos de la víctima, es una clara demostración de los cibercriminales buscan un rédito financiero. Esta amenaza trasciende fronteras y aprovecha la reputación de instituciones financieras en toda la región”, comenta Mario Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

Durante la etapa de análisis, el equipo de ESET observó que esta muestra se propaga sobre México mediante archivos adjuntos comprimidos enviados por correo electrónico. También halló dentro de la extensión maliciosa dos archivos JavaScript con capacidades para robar datos sensibles, manipular visualmente sitios web y exfiltrar información a servidores de Comando y Control (C2).

Al analizar el archivo se identifica una manipulación visual de sitios bancarios. ESET encontró patrones comunes en páginas relacionadas con bancos o pagos, como "CPF", "CNPJ", "valor", que modifican el DOM para engañar al usuario. Esto incluye el reemplazo de datos reales por datos controlados por los atacantes. Por ejemplo, se ejecuta sobre el contenido del <body> de la página buscando patrones de texto relacionados con depósitos bancarios “epósito”, “CPF”, “Valor”). Si detecta que la página contiene términos como “depósito”, “CPF/CNPJ” y “alor” (probablemente parte de “Valor”), procede a inyectar lógica maliciosa.

“Durante el análisis notamos que la extensión maliciosa de Internet Google Chrome, persiste en la maquina víctima. Las muestras que contienen la extensión operan de manera sincronizada. Mientras una recolecta datos sensibles, la otra manipula el entorno visual del usuario para inducir a errores o desviar transferencias. Todas las interacciones son canalizadas a dominios maliciosos comunes. Es importante mencionar que esta persistencia actúa sobre el navegador afectado, puntualmente el malware se va a ejecutar cada vez que el mismo este en uso por la víctima”, explica Micucci de ESET Latinoamérica.

El uso de capacidades avanzadas de manipulación visual, dirigidas principalmente a usuarios en entornos financieros, así como su arquitectura modular y las técnicas de evasión obligan a implementar medidas específicas para lograr su detección. Desde ESET recuerdan que es muy importante verificar las extensiones instaladas en los sistemas y también que las fuentes sean confiables antes de instalar cualquier aplicación.

Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/investigaciones/malware-extension-chrome-robo-datos-bancarios/

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

miércoles, 15 de octubre de 2025

5 mitos sobre ciberseguridad que pueden ponerte en riesgo.

Durante octubre se celebra el mes de la Concienciación sobre la Ciberseguridad, una iniciativa global para reforzar los hábitos seguros en el entorno digital. En la región latinoamericana los riesgos en ciberseguridad son concretos, según el último ESET Security Report 2025, 1 de cada 4 empresas ya ha sufrido un ciberataque en el último año. No solo las empresas son vulnerables ya que las campañas masivas de phishing buscan atraer al público general y simulan mensajes de empresas de correos con supuestos problemas de entregas, o de organismos gubernamentales que comunican multas inexistentes, citaciones judiciales, entre tantos otros intentos de engañar y generar urgencia para que se actúe bajo presión.

En este contexto, ESET, compañía líder en detección proactiva de amenazas, advierte que cualquier persona usuaria de servicios en línea es blanco de ataque y comenta que es necesario abordar algunos mitos que aún persisten sobre la seguridad digital y que pueden poner en riesgo tanto a usuarios como a sistemas corporativos:

1. No soy un objetivo, porque no tengo nada de valor: Es común que las personas crean que los ciberataques solo apuntan a grandes empresas o figuras públicas. La realidad es que cualquier dato personal tiene valor para los ciberdelincuentes, desde información bancaria hasta credenciales de correo electrónico o redes sociales. Las estafas digitales llegan a millones de usuarios comunes, independientemente de su perfil o relevancia en línea.

“Subestimar el riesgo crea una falsa sensación de seguridad y conduce a comportamientos riesgosos, como no habilitar la autenticación multifactor, usar contraseñas débiles o hacer clic en enlaces sospechosos. Estas debilidades son una oportunidad única para ataques que resultan en robo de datos, clonación de tarjetas, apropiación de cuentas o incluso extorsión digital, a usuarios que creen no ser blanco de ataques”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

2. Mi antivirus me protege contra todo: El antivirus es una pieza importante de la defensa, pero no cubre todos los vectores de ataque. La ingeniería social, las fallas en los procesos, la mala administración de privilegios, los ataques a la cadena de suministro y brechas de visibilidad operativa, son acciones que un antivirus por sí solo no puede resolver.

Un ejemplo de esto se dio en Brasil, el caso de C&M Software expuso cómo las lagunas en los procedimientos, la falta de controles y las fallas en la gestión de terceros permitieron el desvío de recursos y comprometieron la seguridad operativa de la organización. Esto demostró que la seguridad no es solo tecnología, también es proceso y gobernanza. Otro punto crítico es que muchos ataques explotan credenciales filtradas, debilidades humanas o flujos de autorización inseguros, escenarios en los que una solución antivirus no evita la intrusión inicial o la escalada de acceso. Por lo tanto, la estrategia de defensa actual debe estar en capas.

3. Mi contraseña es segura, puedes usarla en todo: Aunque una contraseña sea segura, reutilizarlas en múltiples servicios presenta un riesgo. En la práctica, los delincuentes que se especializan en ataques automatizados, como el relleno de credenciales (credential stuffing) donde utilizan combinaciones de correo electrónico y contraseña filtradas para intentar acceder a otras cuentas automáticamente. Si la contraseña es la misma, el acceso es inmediato y silencioso.

Por otro lado, la reutilización de contraseñas hace que estafas como el phishing y la apropiación de cuentas sean más efectivas, porque los ciberdelincuentes pueden combinar información de diferentes servicios para engañar al usuario de manera más convincente. Incluso si una plataforma tiene una protección sólida, si se usa la misma contraseña en un sitio web con seguridad débil, el riesgo se replica.

“Confiar exclusivamente en contraseñas seguras y únicas crea una falsa sensación de seguridad y deja a los usuarios vulnerables a intrusiones, robo de identidad y fraude financiero. La protección eficaz requiere no solo contraseñas seguras, sino también una combinación de autenticación multifactor, monitoreo de actividades sospechosas y buenas prácticas de administración de credenciales”, agrega Gutiérrez Amaya de ESET.

4. Mi celular está seguro, solo tengo que preocuparme por la computadora: Muchas personas creen que sus teléfonos inteligentes o tabletas están protegidos porque son dispositivos más pequeños o modernos, y que los ataques cibernéticos no les afectan. Los dispositivos móviles son objetivos frecuentes de estafas sofisticadas, y los riesgos aumentan a medida que se concentra información personal, financiera y profesional en ellos. La defensa móvil efectiva implica contraseñas seguras, autenticación multifactor, tener cuidado con las aplicaciones y enlaces sospechosos, actualizaciones periódicas y prestar atención a llamadas telefónicas inesperadas.

Además de los casos de phishing y vishing y otros de ingeniería social, también los dispositivos, tanto Android como Apple, y otros, son blanco de distribución de malware, con aplicaciones falsas y explotación de vulnerabilidades del sistema, que pueden comprometer el dispositivo incluso sin interacción directa del usuario. De hecho, se ha identificado en el pasado como apps maliciosas han permanecido en las tiendas oficiales de Google por un tiempo considerable sin ser detectadas. O cómo, hacia fines de 2023, se había advertido un aumento de las aplicaciones de préstamos en Android que no eran más que vías de entrada para programas espías.

5. La ciberseguridad es responsabilidad exclusiva del sector IT: Todo usuario tiene un papel esencial en la protección de datos y sistemas. La persona que adopta buenas prácticas contribuye a fortalecer la seguridad de toda la organización o comunidad en línea. Hábitos simples como verificar enlaces antes de hacer clic, mantener contraseñas seguras y únicas, habilitar la autenticación multifactor y reportar actividades sospechosas crean barreras efectivas que complementan las tecnologías y políticas de IT.

“Cuando todos nos involucramos, la conciencia colectiva se convierte en una poderosa defensa, capaz de prevenir estafas, fraudes e invasiones, proteger la información personal y corporativa y la comunidad digital en su conjunto. Cuanto más actúe cada persona de forma consciente, más resistente será el ecosistema digital. Es importante recordar que la ciberseguridad es responsabilidad de todos, y los pequeños hábitos marcan una gran diferencia”, concluye el investigador de ESET Latinoamérica.

Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/seguridad-digital/5-mitos-ciberseguridad-riesgos/

martes, 30 de septiembre de 2025

Cómo saber si una app de préstamo es confiable o segura.

En 2023, el equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó el crecimiento de las aplicaciones de préstamos maliciosas en muchos países de Latinoamérica, como México, Colombia y Chile, cuyo objetivo era recopilar y exfiltrar datos confidenciales de sus víctimas, o chantajearlas para obtener dinero. Con esta tendencia en ascenso, ESET comparte cómo saber si una aplicación de préstamo es segura o no, de qué manera pueden afectar a los usuarios, qué pasos seguir si ya se descargó una en un dispositivo y cómo se puede realizar un reclamo si se fue víctima de este tipo de engaño.

Las aplicaciones fraudulentas, circulan a través de anuncios por mensajes SMS y en redes sociales como WhatsApp, TikTok, Facebook, YouTube e Instagram, y buscan que las víctimas descarguen la aplicación. Para ganar la confianza de las personas, muchas simulan ser un banco, o un proveedor de préstamos y servicios financieros de buena reputación.

Solo entre 2021 y 2024 se registraron más de 1.000 apps de préstamo fraudulentas, según informó el Consejo Ciudadano para la Seguridad y Justicia de la Ciudad de México. Por otro lado, según una encuesta de Kardmatch, 3 de cada 10 personas que solicitaron un préstamo vía app en México, fueron víctima de fraude, ya sea con acreditación de préstamos no solicitados o pagos anticipados sin recibir depósito de supuesto empréstito. Esta situación llevó a la Secretaría de Seguridad y Protección Ciudadana a alertar a los habitantes mexicanos sobre los riesgos de las apps de préstamos “montadeudas” y a la Policía de Investigaciones de Chile a difundir un video de prevención en su cuenta oficial de TikTok.

En un contexto en el cual conviven aplicaciones oficiales y seguras con otras fraudulentas y maliciosas, desde ESET comentan que es importante saber identificarlas, para no ser una víctima más de este tipo de engaño. Para eso, comparten este checklist práctico de señales y alarmas concretas a prestarle atención:

Se descarga de repositorios no oficiales: Si la aplicación se descarga desde un link de WhatsApp, redes sociales o una página de dudosa reputación, debe llamar la atención. Lo correcto es realizar descargas desde repositorios oficiales, como Google Play, App Store o la tienda del banco.

Es demasiado bueno para ser verdad: Este tipo de estafas ofrecen dinero sin ningún tipo de requisito, con tasas muy bajas y aprobación inmediata. Estos son claros señuelos que utilizan los cibercriminales para aprovechar la urgencia de las víctimas.

Solicita dinero de antemano: Si pide transferir dinero a título de “garantía” o “comisión”, es un fraude. En un préstamo legítimo nunca se solicita un pago antes de desembolsar el crédito.

Cuenta con reseñas muy buenas o malas: Las reseñas y opiniones son otro factor para tener en cuenta ya que si son repetitivas y exageradamente positivas; o si existen quejas y reclamos por robo de datos o estafa, claramente es una señal de fraude.

Términos y condiciones poco claros o nulos: Es importante que la app explique detalladamente sus tasas de interés, plazos, comisiones y tenga términos, condiciones y políticas de privacidad claras. Si eso no existe, es mejor desconfiar.

Sin presencia en redes ni registro legal: Una aplicación que no cuenta con página web oficial, atención al cliente, redes sociales activas y registro ante un ente regulador local, debe levantar sospecha.

Pide permisos innecesarios: Si solicita acceder a los contactos, fotos, micrófono o hasta ubicación, entonces, lo que busca esa app es robar datos para luego extorsionar al usuario.

“Otro punto para tener en cuenta es que la supuesta página oficial desde donde se descarga la aplicación puede ser falsa. El cibercrimen crea webs que lucen como las reales, utilizando el mismo diseño, logos e imágenes. El consejo es verificar que la empresa esté avalada por el organismo regulador de tu país. Por último, que no existan denuncias a través de los medios de comunicación y las redes sociales, tampoco garantiza nada. De hecho, puede tratarse de un fraude incipiente, que todavía no fue descubierto ni denunciado”, advierte Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

El instalar una aplicación de préstamo fraudulenta puede tener diversas consecuencias. Por ejemplo:

Suplantación de identidad: Este tipo de apps fraudulentas suelen ir en busca de los datos personales de sus víctimas (nombre, apellido, documento de identidad, domicilio, información bancaria, entre tantos otros). Una vez obtenida esa información, pueden emplearla para suplantar la identidad y, por ejemplo, sacar un préstamo real a su nombre, abrir cuentas en un banco u otro tipo de actividades maliciosas.

Pérdida de dinero: Como señuelo, muchas veces estas apps incitan a la víctima a pagar un monto inicial, como parte de un supuesto estudio de crédito, comisiones, fianza o garantía. Luego, no sólo que el préstamo nunca sucede, sino que también se quedan con ese pago inicial.

Infección con malware: En el caso analizado por el equipo de ESET, se confirma que las aplicaciones SpyLoan suponen una importante amenaza, ya que gracias a su código malicioso pueden extraer sigilosamente una amplia gama de información personal de usuarios desprevenidos: lista de cuentas, registros de llamadas, eventos del calendario, información del dispositivo, listas de aplicaciones instaladas, información de la red Wi-Fi local, entre otras.

Extorsión: También es común que estas apps fraudulentas soliciten el acceso a contactos, fotos y mensajes. Lo que sucede luego es que los cibercriminales usan toda esa información íntima y personal para extorsionar a la víctima, amenazando que harán públicos los datos o avisarán a familiares y amigos de esta morosidad, pidiendo a cambio altas suma de dinero.

En caso de que ya haber instalado una app de préstamos fraudulenta en el dispositivo, desde ESET comentan que se pueden realizar diversas acciones concretas para no correr riesgos innecesarios. En primer lugar, no interactuar más con la app, no ingresar más a la aplicación, ni responder ningún tipo de mensaje o aviso relacionado a ella. El segundo paso es desinstalar la aplicación del dispositivo. Lo ideal, luego, es reiniciar el teléfono y volver a revisar apps y permisos para confirmar la acción. Además, realizar un análisis del dispositivo con una solución de seguridad ya que estas apps pueden contener componentes maliciosos ocultos, que, incluso desinstalándola, pueden dejar restos. Finalmente, actualizar las claves de las cuentas desde dispositivo seguro: homebanking, correo electrónico, redes sociales y otros servicios vinculados. En casos en los que el dispositivo haya sido comprometido profundamente, la opción es restauración de fábrica. Se recomienda antes realiza un backup consciente de los archivos e información imprescindible.

Para iniciar un reclamo en caso de que se haya sido víctima de una estafa relacionada a préstamos fraudulentos, ESET acerca los siguientes pasos:

Reunir toda la información posible: Para iniciar un reclamo, es ideal contar con toda la información disponible, para que las entidades pertinentes puedan iniciar la investigación: Nombre y detalles de la aplicación (desarrollador y versión), capturas de pantalla, permisos, mensajes, comprobantes de pagos, datos bancarios, correos, fechas, montos.

Denunciar el delito informático ante la autoridad judicial o policial: Esto es clave, ya que cada denuncia suma a un patrón de casos, que le permite a las autoridades pertinentes a bloquear estas apps en las tiendas o emitir alertas. A su vez, si los datos fueron usados para abrir cuentas o pedir créditos, tener una denuncia es una prueba de que se es víctima y no cómplice.

Lo ideal es recurrir a las Fuerzas de Seguridad de cada país: Por ejemplo, en México se debe contactar a la Guardia Nacional, Chile cuenta con la Policía de Investigación, mientras que en Colombia se realiza a través de la Policía Nacional.

Reclamar ante el organismo regulador del sistema financiero: La figura del Banco Central (o su equivalente según cada país) es la que puede instar a una entidad financiera a responder un reclamo. Por ejemplo, si se realizó una transferencia a una cuenta de una app fraudulenta, el banco receptor podría bloquear esa cuenta, pero solo si existe la instrucción del ente regulador.

Reportar en las plataformas oficiales (si aplica): En caso de que la app haya sido descargada de repositorios oficiales como Google Play o App Store, es importante reportarlo. Esto ayudará a que otras personas no sean estafadas por esa misma aplicación.

Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/consejos-seguridad/como-saber-si-app-prestamo-es-confiable-o-segura/

miércoles, 24 de septiembre de 2025

El fin de Windows 10: qué hacer para proteger tu equipo.

El 14 de octubre de 2025 es el día que Microsoft decretó para el final de vida (End of Life) de ese sistema operativo. De esta manera, dejará de brindar soporte oficial y no habrá más actualizaciones de seguridad ni correcciones. Esto toma real trascendencia si se tiene en cuenta que según estimaciones de julio, cerca del 47 % de usuarios globales utilizaban Windows 10. Ante este escenario, ESET, compañía líder en detección proactiva de amenazas, analiza qué se puede hacer, y a qué riesgos se podría estar expuesto a partir del 14 de octubre si se decide mantener ese sistema operativo y no llevar a cabo ninguna acción preventiva.

“Seguir utilizando Windows 10 después del 14 de octubre trae aparejadas consecuencias reales que pueden traer impacto tanto para usuarios como para las empresas. Los sistemas sin soporte se transforman en un entorno de alto riesgo y en un objetivo más que apetecible para los ciberatacantes. Se brinda la posibilidad de quedar expuesto a problemas de seguridad, así como la información personal y la operatoria de muchas empresas”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Algunos puntos destacados para tener en cuenta con relación al fin del soporte son la exposición al cibercrimen, ya que los cibercriminales saben que millones de usuarios seguirán en Windows 10 debido a que no tiene el hábito de actualizar el software, transformándolos en un blanco tan recurrente como vulnerable. Sin parches de seguridad ni actualizaciones, las vulnerabilidades no serán corregidas y así quedarán las puertas abiertas al malware y diversos tipos de exploits. Por otro lado, es importante tener en cuenta que la compatibilidad con ciertas aplicaciones será cada vez menor, por lo cual podrían no instalarse o bloquearse por políticas de soporte. A su vez, se perderá el soporte en navegadores, que puede exponer a los usuarios a fallos críticos vía web y ciertos drivers y hardware podrían no funcionar correctamente. También se podrían evidenciar bloqueos en entornos corporativos: servicios como Microsoft 365, Teams o Zoom podrían impedir su uso por compliance, y podrían existir restricciones en servicios en la nube, ya que OneDrive, Google Drive y Dropbox (por citar algunos) pueden limitar sus funciones. Por último, están las obligaciones legales, ya que el riesgo legal y de cumplimiento existe para algunos sectores, donde usar un sistema operativo sin soporte puede implicar sanciones o pérdida de certificaciones.

Ante este escenario, desde ESET repasan de qué manera es importante prepararse para no quedar expuestos a los riesgos innecesarios:

Migrar a Windows 11: La primera opción sería migrar a Windows 11, que es gratuita si el equipo cumple con los requisitos mínimos requeridos. Esto se comprueba a través de: Menú Inicio > Configuración > Actualización y seguridad > Windows Update > Buscar actualizaciones. Siguiendo esos pasos se podrá identificar si un equipo es compatible o no.

Migrar a Windows 11 asegura el seguir recibiendo soporte, actualizaciones y correcciones, además cuenta con dos upgrades importantes a nivel seguridad. Por un lado, Win 11 que ofrece un Control de aplicaciones inteligentes (Smart App Control) que proporciona una capa de seguridad extra al permitir que solamente se instalen aplicaciones con buena reputación, funciona como una barrera para filtrar apps falsas o que esconden alguna intención maliciosa detrás, con base en su reputación en la nube. Por otro lado, integra las Passkeys, con Windows Hello, lo que significa que los usuarios de Windows 11 podrán sustituir las contraseñas por Passkeys para sus sitios web y aplicaciones. Estas claves digitales son almacenadas y protegidas con cifrado en el dispositivo, por lo cual no pueden ser interceptadas por actores maliciosos.

Programa de actualizaciones de seguridad extendidas: el ESU (Extended Security Updates), puede ser útil para aquellas personas o empresas que necesitan más tiempo antes de migrar ya que este programa puede proteger cualquier dispositivo con Windows 10 hasta un año después del 14 de octubre de 2025. La inscripción tiene un costo variable dependiente del tipo de usuario, y solo proporciona el acceso a actualizaciones de seguridad críticas e importantes, pero no a otro tipo de correcciones, mejoras de funciones ni mejoras del producto, ni tampoco incluye soporte técnico.

Long-term servicing channel: Las versiones LTSC son pensadas puntualmente para organizaciones y ofrecen un ciclo de soporte mucho más largo que el de las versiones convencionales. En ese contexto, para los usuarios que ya cuenten con este tipo de licencia, no habrá costos adicionales asociados al soporte extendido, ya que forma parte del paquete original. Y podría extenderse hasta 2032, según la versión que se tenga instalada obviamente.

Migrar a Linux: Existe una última opción y es migrar a Linux. Obviamente que esta decisión puede requerir el tener que invertir algo de tiempo en la curva de aprendizaje, pero existen diversas distribuciones para explorar, como Fedora, Linux Mint y o Ubuntu, entre tantas otras. Y un dato no menor: es gratuito.

Hay ejemplos icónicos en la historia reciente de la ciberseguridad sobre parches no aplicados a tiempo. En 2017 el ransomware WannaCry provocó un hackeo mundial al infectar a miles de computadoras en más de 150 países del mundo. Los actores maliciosos aprovecharon una vulnerabilidad que Microsoft ya había corregido, pero muchos sistemas no habían instalado el parche.

Otro ejemplo fue Zerologon, una falla crítica en el protocolo Netlogon que permitía a un atacante autenticarse como administrador de dominio sin credenciales a través de una vulnerabilidad. En ese caso, la CISA emitió una directiva de emergencia para que todas las agencias federales lo parchearan. Y, aunque el parche estuvo disponible desde septiembre del 2020, meses después muchas organizaciones fueron comprometidas por no haber aplicado el parche.

Lo mismo ocurrió con ProxyLogon, que fue explotado masivamente incluso después de que Microsoft lanzara el parche. En este caso, una vulnerabilidad en Microsoft Exchange permitió a atacantes instalar web shells y robar datos de más de 60.000 organizaciones. Si bien el parche fue lanzado rápidamente, miles de servidores siguieron expuestos por la falta de actualización.

“El End of Life de Windows 10 invita a reflexionar sobre la importancia de estar al día con los parches y las actualizaciones de software. Muchas personas dilatan el actualizar sus equipos, y ese mal hábito es muy aprovechado por los cibercriminales. Los parches de seguridad son esenciales. No basta con que el fabricante los publique, sino que hay que aplicarlos. Así que, si estás usando un sistema operativo sin soporte o tienes actualizaciones pendientes, es un buen momento para reforzar tu seguridad digital”, agrega el investigador de ESET Latinoamérica.

miércoles, 17 de septiembre de 2025

El fin de Windows 10: qué hacer para proteger tu equipo.

Ante este escenario, desde ESET repasan de qué manera es importante prepararse para no quedar expuestos a los riesgos innecesarios:

Para saber más sobre seguridad informática visite el portal corporativo de ESET: https://www.welivesecurity.com/es/seguridad-digital/como-prepararse-fin-de-soporte-de-windows-10/

martes, 9 de septiembre de 2025

"Trucos gratis" en juegos virtuales, se convierten en amenazas reales.

Actualmente, Roblox es una plataforma de juegos en línea que cuenta con una enorme popularidad, especialmente entre niños, niñas y adolescentes. Según Statista, en el segundo trimestre de 2025 se contabilizaron más de 111 millones de usuarios activos diarios en todo el mundo. ESET, compañía líder en detección proactiva de amenazas, advierte que este interés masivo, también tiene como resultado diversas herramientas no oficiales que prometen ventajas dentro del juego como el llamado executor de Roblox (a veces denominado ejecutor en español). ESET analiza qué son estos programas, por qué despiertan interés y qué riesgos reales conllevan tanto para jugadores jóvenes como para sus padres.

“En el universo de Roblox, que alberga miles de juegos creados por usuarios, los jugadores más competitivos o curiosos pueden sentirse tentados a usar un executor para ganar habilidades especiales, obtener moneda virtual gratis o desbloquear contenido. Un executor de Roblox es una herramienta de trampa o hack que permite a un jugador ejecutar código personalizado para obtener alguna ventaja. Si bien para algunos jóvenes esto puede resultar muy llamativo por las posibilidades que ofrecen, o bien porque varios executors se ofrecen gratis en la red, también es muy importante conocer los riesgos que puede conllevar su uso”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

A nivel técnico, un executor en Roblox es un programa externo que fue diseñado para inyectar y ejecutar código externo o código de terceros dentro de los juegos de Roblox. Es una forma de exploit o herramienta de trampas que permite ejecutar código que el juego originalmente no permitiría. Debido a su utilización, un jugador podría activar hacks como ver a través de paredes, obtener ventajas injustas o modificar el juego a su favor.

Los riesgos y peligros de usar executors en Roblox, tanto a nivel de la experiencia en el juego como en lo que respecta a la ciberseguridad, son:

Violación de las reglas y consecuencias en Roblox: El uso de exploits o trampas está prohibido por Roblox. De hecho, la empresa marca claramente que hacer trampa arruina la experiencia y supone una violación de los términos de uso, lo cual puede derivar en el baneo (eliminación) de la cuenta. Entonces, si un jugador es descubierto usando un executor, puede perder su cuenta y todo su progreso en el juego. Roblox cuenta con sistemas antitrampas y con los reportes de la propia comunidad para detectar el uso de software no autorizado.

Malware y virus ocultos: A nivel ciberseguridad, este representa uno de los riesgos más graves. Sobre todo, porque son muchos los executors disponibles en internet que contienen malware encubierto.

El mismo soporte oficial de Roblox alerta que muchos exploits “son estafas para que descargue malware, como keyloggers u otros programas de phishing, que pueden usarse para robar información personal que tiene en su computadora, incluida su contraseña de Roblox”.

En la práctica, es común que las soluciones de seguridad detecten los executors como amenazas. Muchas veces son virus o troyanos disfrazados de hacks, en especial si se trata de descargas gratuitas de fuentes dudosas: nadie ofrece trucos gratis, sin obtener algo a cambio. Ese “algo" suele ser infectar un dispositivo.

Robo de datos y cuentas: El malware que se esconde en estos ejecutores tiene como objetivo robar credenciales, datos sensibles y hasta monederos de criptomonedas de la víctima. Esto implica que no solo peligra la integridad de la cuenta de Roblox del jugador, sino también cualquier otras cuentas o información valiosa almacenada en el dispositivo infectado.

Daños al sistema y pérdida de información: Algunos troyanos asociados con executors pueden dañar el sistema operativo, ya sea corrompiendo programas, eliminando datos o bien enviando información privada y sensible a los ciberdelincuentes. Esto toma especial relevancia si se tiene en cuenta que muchos niños juegan Roblox en la computadora familiar (que puede ser la misma que usan sus padres para trabajo).

ESET recopiló distintos casos en los cuales ejecutores o hacks de Roblox venían acompañados de malware para evidenciar el riesgo real de utilizar este tipo de programas:

Synapse X, por ejemplo, fue un executor de Roblox muy conocido que en 2022 los cibercriminales lograron comprometer para incluir un archivo troyano. La consecuencia de la infección fue desde obtener datos sensibles del disco duro a afectar a ciertas aplicaciones y archivos. Este caso demuestra cómo hasta las herramientas de trampas populares pueden ser aprovechadas para distribuir malware. Por otro lado, si bien Wave Executor fue promocionado como un nuevo executor con integración de Inteligencia Artificial, resultó ser un troyano disfrazado de cheat. Al ejecutarlo, podía robar información personal de la víctima e incluso conectar el equipo a una botnet para un uso malicioso.

Durante este año, también se generaron diversas alertas sobre supuestos hacks para Roblox y otros juegos a través de videos de YouTube y repositorios de GitHub. Allí, los actores maliciosos subían tutoriales falsos con enlaces de descarga que parecían legítimos, con descripciones detalladas y profesionales e instrucciones muy específicas. Uno de los pasos sugeridos a la víctima era desactivar su solución de seguridad, con el fin de que el malware se instalara en el equipo, y robara contraseñas y datos sensibles sin oposición.

“Estos casos reales y recientes muestran como un simple intento de obtener una ventaja en Roblox puede derivar en un incidente de ciberseguridad grave, y refuerza la necesidad de estar educados al respecto”, agrega Gutiérrez Amaya.

Tanto a padres, madres o tutores de niños que juega a Roblox, o también a jugadores, ESET les recomienda algunas indicaciones para disfrutar del juego de forma segura y evitar caer en trampas:

Apostar a la educación: Un buen primer paso es explicarle tu hijo/hija que, por más tentador que suene, ningún hack o truco milagroso es realmente gratuito. Y que, si encuentran algo que promete poderes ilimitados a cambio de descargar un programa extraño, seguramente se trate de una estafa.

No desactivar la solución de seguridad: Ningún programa legítimo debería solicitar desactivar nada. En caso de que esto suceda, es una enorme señal de alarma. Es clave mantener siempre actualizados y activas las soluciones de seguridad en todas las computadoras, ya que son fundamentales para detectar y bloquear el malware. Existen soluciones ideales para gamers, que son livianas y potentes, y ofrecen seguridad sin generar LAG y con mínimo impacto en el equipo. Así, permite disfrutar de cada partida sin interrupciones y libre de amenazas.

Acompañar y supervisar: Para madres y padres, es importante saber qué instala el menor en el equipo. Y allí es muy útil establecer ciertas reglas, como no descargar software de páginas dudosas, y que consulten siempre antes de instalar algo. También se pueden configurar controles parentales o cuentas limitadas en la PC para evitar instalaciones no autorizadas.

Conversar sobre riesgos y consecuencias: Otro punto fundamental es que los jóvenes entiendan los riesgos que conlleva la utilización de executors, que pueden ir desde la infección con malware y la pérdida de datos, al robo de cuentas o el baneo en Roblox.

Utilizar los recursos que brinda Roblox: Otro puntal clave es el propio Roblox, que ofrece controles parentales (para restringir el chat, contenido e interacciones) y guías de seguridad. También es muy útil estar al tanto de las noticias sobre nuevas estafas como valerse de la sección de soporte de Roblox para evacuar cualquier duda.

“Más allá de estas herramientas y buenas prácticas, es prioritario que los jugadores jóvenes tengan presente que hacer trampa es algo que va contra las reglas del juego, y que también puede exponer su cuenta, datos personales (y de toda la familia), entre tantas otras consecuencias indeseadas”, concluye el investigador de ESET.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/seguridad-digital/que-es-executor-roblox-riesgos/

miércoles, 3 de septiembre de 2025

Aumentan las estafas a inversores en redes sociales con la ayuda de la inteligencia artificial.

Ante la incertidumbre económica, no es de extrañar que se busquen alternativas para que el dinero rinda un poco más. Esto lleva a que usuarios con poca experiencia en inversiones se interesen y den sus primeros pasos. ESET, compañía líder en detección proactiva de amenazas, advierte que los estafadores se aprovechan de esta necesidad con engaños cada vez más sofisticados en redes sociales y alerta que las estafas potenciadas con inteligencia artificial producen anuncios falsos, deepfakes y promesas de ganancias irrisorias que buscan engañar incluso a los usuarios más cautelosos.

“¿Sabrías distinguir entre un anuncio de inversión real y uno falso? Cada vez es más difícil hacerlo. Los actores de amenazas cuentan hoy con diversas tácticas para hacer sus engaños más verosímiles, incluidos los videos deepfake generados con inteligencia artificial. Si bien son muchas las tácticas, técnicas y procedimientos (TTP) asociados a este tipo de fraude, la mayoría empiezan con anuncios maliciosos o engañosos que circulan por las redes sociales. Suelen utilizarse como señuelo para engañar a la víctima, ya sea para que facilite información personal o para dirigirla directamente a una estafa de inversión”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según el FBI, las estafas relacionadas con inversiones han sido la principal fuente de ingresos para los ciberdelincuentes durante varios años. En el último recuento, ganaron casi 6.600 millones de dólares, y eso solo por los delitos denunciados a los federales. Esta cifra eclipsa los 2.800 millones de dólares obtenidos por el segundo puesto, el correo electrónico comercial comprometido (BEC).

Un ejemplo de este tipo de campañas se identificó en junio de 2025, cuando los anuncios de Instagram se hacían pasar por bancos legítimos. Algunos utilizaban ofertas tentadoras, como cuentas con tipos de interés elevados, en un intento de persuadir a la víctima para que hiciera clic e introdujera sus datos bancarios. En otros casos, utilizaban historias de Instagram deepfake protagonizadas por estrategas de inversiones bancarias para recopilar información personal y/o atraerlos a grupos de WhatsApp con temas de estafas de inversión. Una campaña de 2024 que difundía un video falso de Lionel Messi para promover supuestas inversiones mediante una aplicación que prometía ganancias irrisoriamente altas.

También en 2024, ESET observó la campaña del troyano Nomani. El contenido de los anuncios y los sitios web de phishing a los que enlazan estaban diseñados para hacerse pasar por medios de noticias locales y otras organizaciones. O bien podría ser un visual genérico de temática financiera con nombres que cambian con frecuencia como "Quantum Bumex, Immediate Mator o Bitcoin Trader". Algunas de las características de la campaña de Nomani (y de otras campañas similares), son:

• Contenido muy localizado para atraer a víctimas regionales específicas.

• Distribución a través de anuncios falsos en Facebook, Instagram, X, YouTube, así como Messenger y Threads

• Testimonios en vídeo deepfake utilizando potencialmente a celebridades, a menudo mostrados en vídeos de baja calidad y con repetición no natural de palabras clave

• Uso de cuentas falsas y pirateadas para ejecutar los anuncios (incluido, en un caso, un actor con 300.000 seguidores)

• Plantillas y callbacks compartidos que apuntan a la misma infraestructura de alojamiento

En esta campaña, según ESET, el objetivo es persuadir a la víctima para que entregue su información personal, que es utilizada por los estafadores para contactarlo directamente. Utilizan este método para engañarles y conseguir que se apunten a una estafa de inversión, pidan un préstamo o incluso instalen un software de acceso remoto en su dispositivo. ESET observó un aumento del 335% en las amenazas Nomani entre H1 y H2 de 2024, y bloqueó más de 8.500 dominios relacionados.

Si bien estas técnicas parecen indicadores claros de fraude, puede ser mucho más difícil detectarlos, especialmente si se buscan oportunidades para aliviar presiones financieras. Desde ESET aseguran que la continua efectividad de este tipo de estafas, como los anuncios financieros fraudulentos, se debe a que:

• Los tiempos son difíciles, y la posibilidad de obtener ganancias financieras rápidas y sencillas es atractiva

• La capacidad de atención está disminuyendo, especialmente en los dispositivos móviles, por lo que las señales de advertencia pueden no ser detectadas a tiempo

• Muchas personas no están familiarizadas con las últimas TTP de amenazas, como el uso de vídeos deepfake, lo que los hace más vulnerables

• Muchas de estas amenazas están localizadas, utilizan cuentas legítimas (secuestradas) y pueden aparecer en las primeras posiciones de las búsquedas

• Los mecanismos antifraude tradicionales de los bancos no suelen funcionar si la manipulación se realiza también socialmente por teléfono para invertir en un plan fraudulento

Las estafas de inversión son muy frecuentes y desde ESET, señalan que es necesario prestar atención a estas señales de advertencia:

• Anuncios llamativos (que pueden aprovechar marcas legítimas) que ofrecen rentabilidades demasiado buenas para ser ciertas o tipos de interés inusualmente altos

• Avales de famosos, suelen ser el anzuelo para darle una cierta legitimidad. Comprobar siempre si el aval es legítimo.

• Vídeos que no se ven del todo bien, por ejemplo, con fallos visuales, mala sincronización de audio y vídeo, baja resolución o voces robóticas o demasiado pulidas,

• Presión para actuar con rapidez y asegurar la inversión

• Retorno de la inversión garantizado

Además, aconsejan mantenerse en alerta frente a las señales de advertencia, resistir tentación de hacer clic en anuncios sobre finanzas o inversiones, aunque parezcan promovidos por marcas y personas legítimas, buscar reseñas en Internet sobre un plan o grupo de inversión concreto para comprobar su veracidad, no invertir en producto financiero sin haberlo estudiado y saber bien cómo funciona, ignorar cualquier propuesta no solicitada de terceros, nunca compartas información personal y/o financiera después de hacer clic en un anuncio en línea así como chequear siempre la información que se vea circular con la entidad por los canales oficiales. Por último, utilizar software de seguridad en todos los dispositivos de un proveedor de confianza como ESET, que ayudará a bloquear las estafas

“En tiempos de incertidumbre económica, es comprensible que busquemos alternativas para mejorar nuestra situación financiera. Pero justamente esa necesidad es la que los estafadores aprovechan con tácticas cada vez más sofisticadas. Por eso, desconfiar de lo fácil, reconocer las señales de alerta y proteger tus datos personales es fundamental para evitar caer en este tipo de engaños”, concluye el investigador de ESET.

martes, 19 de agosto de 2025

PDFs maliciosos: cómo reconocerlos y protegerte de ataques

Los PDF son archivos simples, ampliamente utilizados y que, en principio, no levantan sospechas. Funcionan en casi cualquier sistema operativo y existe una gran cantidad de software y sitios web gratuitos donde leerlos y modificarlos. ESET, compañía líder en detección proactiva de amenazas, advierte que esta popularidad es una de las razones por las que los cibercriminales los utilizan como una gran herramienta para el engaño, y por eso es fundamental estar atentos, verificar el origen de los archivos y adoptar buenas prácticas de seguridad.

Un PDF malicioso puede instalar o descargar malware, robar información privada o sensible, o incluso explotar vulnerabilidades del sistema o de los lectores para PDF. Según ESET, generalmente, se distribuyen como adjuntos en correos de phishing que apelan a la urgencia, la emoción o la preocupación para inducir a su apertura. De acuerdo con el último Threat Report de ESET, los archivos PDF se encuentran en el sexto lugar del TOP 10 de detecciones de amenazas, y son una de las tendencias en ataques mediante correos electrónicos maliciosos.

“Los atacantes se esfuerzan por evitar que sean detectados por los usuarios y simulen ser PDF legítimos. Es fácil que contengan elementos maliciosos que a simple vista son imperceptibles, especialmente para usuarios ajenos a la ciberseguridad o informática”, comenta Fabiana Ramirez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica.

Entre los ejemplos más comunes de las distintas formas en que buscan disfrazar los PDF maliciosos, son:

• Facturas de compra o de deudas, con nombres como “Factura.pdf”

• Currículums laborales, principalmente en ataques dirigidos a empresas

• Resultados de estudios médicos

• Documentos vinculados a entidades financieras, bancarias o gubernamentales

Uno de los métodos más comunes que utilizan los atacantes es incrustar scripts -fragmentos de código- que pueden estar diseñados para descargar malware, abrir conexiones remotas o ejecutar comandos y procesos en segundo plano, entre otras acciones maliciosas. También pueden contener enlaces ocultos que se abren al interactuar con ciertas funcionalidades del archivo. Además, pueden aprovechar alguna vulnerabilidad o falla de lectores populares, como Adobe Reader, Foxit, entre otros.

Una campaña de phishing documentada por ESET utilizó archivos PDF para distribuir el troyano bancario Grandoreiro. El ataque comenzaba con un enlace malicioso que derivaba en la descarga del PDF infectado.

En un primer momento, la apariencia del documento no genera desconfianza y se presenta simulando ser un archivo PDF real.

Existen ciertas señales que podrían indicar que se ha recibido un PDF malicioso. Para identificarlo, desde ESET recomiendan tener en cuenta algunas de las siguientes características:

• Vienen comprimido en un ZIP o RAR: Para evitar que los sistemas o antivirus los detecten, suelen ser comprimidos para evadir filtros de correos electrónicos e incluso ocultar otras extensiones sospechosas.

• Tienen nombres engañosos o genéricos, como documento.pdf.exe o Factura.pdf: Al estar las campañas usualmente dirigidas a muchos usuarios, se tiende a colocar nombres genéricos o aprovechar la extensión .pdf para confundir y enviar un .exe, que incluso puede estar oculta.

• El remitente no coincide con lo que dice el archivo: Por ejemplo, si un mail dice ser de una entidad o persona conocida, pero el remitente no es identificable. Un dominio extraño es una clara señal de alerta.

• No tiene sentido recibirlo: Pregúntate si esperabas ese archivo, si conoces al remitente o si tiene lógica que te lo envíe.

Ante la sospecha de haber recibido un PDF malicioso, ESET comparte algunas recomendaciones para analizar el archivo y determinar su naturaleza:

• Analizarlo en VirusTotal: En este sitio se puede cargar el documento sospechoso y analizarlo con múltiples antivirus.

• Activar la vista de extensiones en el explorador de archivos del sistema operativo, para ver la extensión real de los archivos y detectar intentos de engaño.

• Chequear el tamaño y nombre del archivo antes de abrirlo

• Evitar abrir archivos comprimidos sospechosos

• Usar siempre visores de PDF actualizados a las últimas versiones, para evitar explotación de vulnerabilidades conocidas.

• Usar siempre soluciones de seguridad, como antivirus y antimalware, para poder detectar amenazas.

¿Qué se debe hacer si ya se abrió el PDF?

Para el caso de haber abierto un PDF malicioso, existen varias medidas que se pueden tomar:

• Desconectarse de internet: Esto podría evitar que se complete la cadena de infección y que ingrese un malware, o evitar que el dispositivo infectado se conecte con el servidor de los criminales (C2). También evita que se exfiltre información o se descarguen herramientas adicionales, así como que la infección se propague a otros dispositivos conectados a la misma red.

• Escanear el equipo con antimalware: Si el PDF contenía o descargó malware, el escaneo podría detectarlo.

• Revisar los procesos activos del sistema: Esto permitirá identificar la presencia de procesos sospechosos o que no deberían estar abiertos. También permite ver si hay un consumo anormal de CPU, red o memoria.

• Cambiar las contraseñas: Dada la posibilidad de infección, es recomendable cambiar las contraseñas de mail, redes, cuentas financieras, etc., para evitar que los criminales puedan utilizar aquellas que logren filtrar.

• Contactar con profesionales: Ante la duda, y si no se tiene suficiente conocimiento, siempre es recomendable acudir a especialistas que puedan identificar intrusiones.

“Los archivos PDF son parte de nuestra vida cotidiana, pero también pueden ser utilizados como herramientas de engaño por los cibercriminales. Mantener buenas prácticas de seguridad, verificar el origen de los archivos y estar atentos a señales de alerta es clave para protegerse”, concluye Ramirez Cuenca, de ESET Latinoamérica.

martes, 5 de agosto de 2025

“Programados para ganar”: una conferencia que despierta el poder interior y promueve la inclusión.

El próximo 14 de agosto, el Hotel Intercontinental será sede de la segunda edición de la conferencia motivacional “Programados para ganar”, una experiencia transformadora liderada por el joven atleta paralímpico y conferencista nicaragüense Gabriel Cuadra Hollman.

Tras el éxito del año pasado, donde más de 600 personas fueron impactadas por su mensaje de superación, Gabriel regresa con una versión renovada de su charla, en la que comparte su inspiradora historia de vida: cómo logró cambiar un diagnóstico adverso para convertirse en atleta de alto rendimiento, romper récords continentales y ser incluido en el Salón de la Fama del deporte nicaragüense.

“Esta conferencia rompe barreras mentales, despierta el poder interior y promueve la inclusión en Nicaragua”, afirma Gabriel Cuadra, quien busca inspirar a jóvenes, profesionales y a cualquier persona que se encuentre en un momento de duda o búsqueda personal.

“Programados para ganar” no solo es un testimonio de transformación, sino también una guía práctica basada en hábitos, herramientas y reflexiones que han llevado a Gabriel a alcanzar metas extraordinarias. El evento concluye con un llamado claro a la inclusión de personas con discapacidad, uno de los pilares fundamentales de su mensaje.

La conferencia nació a partir de las constantes preguntas que Gabriel recibía sobre su proceso de resiliencia y logros. Hoy, esa experiencia íntima se convierte en una plataforma abierta al público general, con la firme intención de seguir tocando corazones y mentes dentro y fuera del país.

Entre sus planes a futuro, Gabriel proyecta llevar esta experiencia a otros escenarios y países, con la visión de motivar a más personas a creer en sí mismas, romper sus límites y construir una versión más fuerte y resiliente de quienes son.

Las entradas ya están disponibles, y el cupo es limitado, la conferencia se llevará a cabo el 14 de agosto del 2025 en el Hotel Intercontinental Managua a las 6:00 p.m.

¿Listo para vivir una experiencia que puede cambiar tu forma de ver la vida?

Adquirí tus entradas escribiéndonos al WhatsApp: +505 8632 1866. ¡Te esperamos!

miércoles, 23 de julio de 2025

Microsoft corrige fallas graves en SharePoint Server

Microsoft lanzó una actualización de último momento para corregir dos vulnerabilidades zero day en SharePoint Server que han sido utilizadas activamente en ataques a servidores locales en distintos países. Se estima que más de 50 organizaciones ya fueron víctimas de ataques que explotan estas vulnerabilidades. ESET, compañía líder en detección proactiva de amenazas, advierte que estas vulnerabilidades permitieron ataques desde inicios de julio.

Se trata de las vulnerabilidades CVE-2025-53770 y CVE-2025-53771 y afectan a las versiones de SharePoint Server Subscription Edition, SharePoint 2019 y SharePoint 2016. Estas vulnerabilidades no afectan a SharePoint 365, sino a SharePoint Server que es la versión que se instala localmente.

Estas dos vulnerabilidades zero-day lo que hacen es evadir las correcciones de seguridad que se habían lanzado en la última actualización de julio que lanzó Microsoft cuando repararon otras vulnerabilidades. “Se denomina Zero-Day a una vulnerabilidad que ha sido recientemente descubierta, y para la cual aún no existe un parche de seguridad que subsane el problema por lo que puede ser aprovechada por atacantes para propagar amenazas informáticas. Puntualmente, lo que hacen estas dos nuevas vulnerabilidades es permitir a un atacante la ejecución de código de forma remota sin necesidad de autenticación y tomar control del servidor de la víctima”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Microsoft describe en un comunicado la debilidad como “deserialización de datos no confiables”. Según explicaron investigadores a WashingtonPost, “estos ataques permiten a los atacantes extraer claves criptográficas de servidores de clientes que corren SharePoint y con estas claves pueden instalar cualquier cosa; incluso backdoors que permitirían a actores maliciosos mantener una puerta abierta para volver”.

Desde la explotación de estas vulnerabilidades los ataques denominados “ToolShell” ya han afectado a compañías privadas y entidades gubernamentales, afirma Cyberscoop. Si bien algunas compañías de ciberseguridad afirman que ya el 7 de julio se hay registros de explotación, el 18 y 19 de julio se intensificó la actividad en intentos de ataques que apuntaban a empresas de telecomunicaciones, agencias de gobierno y compañías de software.

Microsoft además recomienda a las organizaciones que verifiquen qué versión de SharePoint utilizan y si tiene soporte oficial para podes instalar los parches. Además, recomienda a los clientes que roten las “machine keys” de ASP.NET del servidor de SharePoint y reinicien IIS en todos los servidores de SharePoint.

“Como siempre, desde ESET recomendamos a los usuarios a mantener todos los sistemas debidamente actualizados, establecer contraseñas robustas o activar el doble factor de autenticación en los servicios que lo permitan, contar con una solución de seguridad instalada en todos los dispositivos y mantenerse informados sobre las últimas amenazas, de manera de tomar las medidas de prevención necesarias para el cuidado de nuestra información”, concluye Gutiérrez Amaya de ESET.

Para conocer más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/

martes, 15 de julio de 2025

Mensajes falsos de entregas: la estafa en el comercio digital.

El phishing es una técnica de cibercrimen en la que los delincuentes se hacen pasar por entidades conocidas para engañar a los usuarios y obtener información sensible. Estos ataques pueden llegar a través de correos electrónicos, mensajes de WhatsApp y otros medios digitales. Generalmente, apelan a un sentido de urgencia como "Tu cuenta será suspendida", "Última oportunidad para confirmar tu información" o "Acción requerida inmediatamente" para que quien recibe el mensaje actúe de forma irreflexiva. ESET, compañía líder en detección proactiva de amenazas, alerta sobre este ataque que busca robar información personal y acerca consejos para evitar caer en este engaño.

A continuación, ESET analiza algunos ejemplos actuales de casos de phishing por correo electrónico, en los que los cibercriminales simulan una notificación de empresas conocidas de mensajería, en los que la excusa del contacto es la supuesta necesidad de resolver algún problema con un envío de un paquete al domicilio.

“Como en la mayoría de los correos de phishing se valen de la ingeniería social y apelan a los sentimientos de las personas, como la ansiedad, la urgencia o el miedo. En general buscan interpelar a las personas con asuntos de correo bastante persuasivos, del tipo: “Tu paquete está retenido”, “Falta información para la entrega” y “Entrega del paquete suspendida”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las empresas de mensajería suplantadas que identificaron desde ESET son muy reconocidas, como FedEx, DHL, UPS y Correo Argentino, solo por citar algunos ejemplos. El cuerpo del mensaje presenta la estética de la marca real, con un alto grado de similitud.

Ejemplos reales de correos falsos

ExpressService: En este caso, los actores maliciosos utilizan el nombre de una supuesta empresa de mensajería llamada “Express Service”, y apelan al sentido de la urgencia, con una supuesta entrega de paquete que se encuentra suspendida. Al hacer clic en el botón para supuestamente resolver el problema, el usuario es llevado a un formulario apócrifo donde los datos que ingresen serán solo para los cibercriminales.

FedEx: Otro ejemplo es el que suplanta la identidad de FedEx, pidiéndole a la posible víctima que confirme sus datos para que el supuesto paquete sea enviado.

Empresas de shipping: Otro señuelo muy utilizado es el de una supuesta actualización del envío. Allí, insta a las personas a ver los detalles, para conocer el estado de la entrega.

“En estos dos últimos casos vemos cómo un cargo en la aduana es lo que estaría demorando la entrega del supuesto paquete. De forma que además del robo de información, en formularios falsos, también lleva a realizar un pago que solo irá a la cuenta de los cibercriminales”, acota Gutiérrez Amaya de ESET Latinoamérica.

Este contexto no pasó desapercibido para las empresas de correo y mensajería. FedEx, por ejemplo, en su página web comparte las señales de advertencia más comunes sobre el fraude en línea, a la vez que entrega diversos tips de seguridad. Allí, aclara: “FedEx no solicita por medio de correo electrónico o correo convencional no solicitado, pagos o información personal a cambio de bienes en tránsito o en custodia de FedEx. Si recibes cualquiera de estas comunicaciones o alguna similar, no respondas ni cooperes con el remitente”. En esa misma línea, UPS agrega: “Tenga en cuenta que UPS no pide pagos, información personal, información financiera, números de cuenta, documento de identidad o ID, contraseñas ni copias de modo no solicitado por correo electrónico, correo postal, teléfono o fax o específicamente a cambio del transporte de bienes o servicios”

ESET acerca recomendaciones para saber identificar un correo malicioso de uno verdadero y no caer en engaños:

• Detenerse a pensar si realmente se está esperando un envío. Si la respuesta es “no” posiblemente se trate de un fraude.

• Revisar si el remitente legítimo. Generalmente, este tipo de estafas presentan un remitente que difiere de manera clara del legítimo, así que siempre es un buen primer paso poner el ojo allí.

• Alertarse si hay un pedido de información sensible sea personal o bancaria. Esto debe encender las alarmas.

• Chequear a dónde dirige el link que se incluye en el correo: siempre es importante verificar si lleva al sitio oficial.

• Observar si presenta errores ortográficos o de redacción, aunque la Inteligencia Artificial ha mejorado sensiblemente este tipo de correos.

A su vez, desde ESET destacan que hay varios puntos para tener en cuenta y que son clave para reducir sensiblemente el riesgo de caer en este tipo de estafas. Entre ellos:

• Prestar especial atención y desconfiar de aquellas comunicaciones que llegan de manera inesperada y con un sentido de urgencia muy marcado. No hacer clic o descargar archivos adjuntos.

• Comunicarse a través de los canales oficiales del servicio de mensajería y paquetería, sobre la veracidad del correo recibido y el supuesto paquete en cuestión.

• Verificar siempre a la página que se ingresa para brindar datos personales: debe ser segura y la URL corresponder a la real.

miércoles, 9 de julio de 2025

Dispositivos conectados: cómo el cibercrimen entra a tu casa

El mundo de la Internet de las Cosas (IoT, sus siglas en inglés) creció en la última década y cada vez más dispositivos de uso cotidiano están interconectados entre sí, formando este universo. ESET, compañía líder en detección proactiva de amenazas, repasa los casos más emblemáticos de ataques a dispositivos hogareños y comparte claves para evitar ser víctima.

“Todo lo que se conecta a internet se puede hackear, esta máxima no perderá vigencia ni validez y, en los últimos años, hubo casos que le dan crédito. Se identificaron ataques que apuntaron a dispositivos que están muy presentes en los hogares y quizás la mayoría no sabe que se pueden hackear”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

Los dispositivos hogareños han abierto nuevas puertas para el cibercrimen. Uno de los factores que los facilita es el uso bastante extendido de contraseñas débiles o predeterminadas que se pueden adivinar fácilmente.

ESET repasa 5 historias en las que el cibercrimen encontró en los dispositivos del hogar una nueva manera de perpetrar ataques, con consecuencias importantes:

El espía entrañable: En el año 2017, un inofensivo oso de peluche se convirtió en el factor clave de filtraciones de conversaciones privadas, y hasta datos sensibles de menores de edad.

La empresa Fisher-Price de los Estados Unidos lanzó al mercado un peluche revolucionario que se conectaba a internet para enviar y recibir mensajes de voz. Con el objetivo de potenciar la comunicación entre padres e hijos, y hacer crecer su vínculo aún a la distancia. El problema fue que todos esos mensajes (familiares y privados) se almacenaban en los servidores de la compañía que nunca previó un ataque informático, y por eso fue muy fácil para los ciberatacantes obtener más de dos millones de grabaciones de voz, y también datos sensibles sobre los menores que se encontraban registrados en la plataforma.

Saltó la banca: Este ataque refiere al hackeo de un casino de Las Vegas, a través de un termostato de una pecera que se ubicaba en uno de sus salones.

Esta pecera contaba con sensores conectados a una computadora con el fin de regular temperatura, cantidad de comida y hasta la limpieza del tanque. Los actores maliciosos lograron infiltrarse a la red gracias a una vulnerabilidad en el termómetro inteligente de este acuario ubicado en el lobby, y así, acceder a la base de datos del casino. En 2017 hicieron saltar la banca, obteniendo información sensible, como nombres de grandes apostadores del casino.

Cámara indiscreta: En diciembre de 2019, las cámaras de seguridad Ring tuvieron un auge de ventas, sin saber que esto pondría en riesgo la privacidad de sus usuarios. Según reportaron sitios de noticias, una familia sufrió el hackeo de este dispositivo que tenía configurado una contraseña débil. Gracias a un software especial, explica el sitio Vice, los atacantes pudieron procesar usuario, direcciones de correo y contraseñas para así iniciar sesión en las cuentas de las víctimas.

Los actores maliciosos pudieron acceder al control de la cámara, y así lo que debía ser una herramienta para monitorear desde una app móvil la habitación de su pequeña hija, terminó siendo una ventana hacia terceros malintencionados. Si bien hay varios casos, se repasa el de una mujer en Texas, que fue contactada por una voz que salía de la cámara, que decía ser del equipo de soporte de Ring, para reportar un problema con su cámara. Para solucionarlo, debía pagar 50 Bitcoins. El tema escaló y la mujer luego recibió amenazas, donde el atacante aseguraba estar muy cerca de su casa. La solución por parte de la víctima fue apagar la cámara y hasta quitarle la batería.

Un peligroso ejército casero: Mirai fue una botnet que se descubrió en 2016, y que al poco tiempo se hizo conocida por realizar un ataque DDoS casi sin precedentes. Ese día, el proveedor de servicios del Sistema de Nombres de Dominio Dyn fue víctima de un ataque DDoS sostenido, que tuvo consecuencias muy importantes, como cortes en sitios y servicios como Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix y Paypal, entre tantos otros.

Una botnet, combinación de las palabras "robot" y "network", refiere a un grupo de equipos infectados por códigos maliciosos que se comunican entre sí y son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. El distintivo de la botnet Mirai fue que su “ejército” de más de 600.000 dispositivos estaba compuesto por routers domésticos, grabadoras de video, cámaras de vigilancia y cualquier otro tipo de dispositivos inteligentes, que no contaban con la protección adecuada, estaban mal configurados o tenían contraseñas débiles.

No todo marcha sobre ruedas: Si bien en este caso se destaca que no hubo intenciones maliciosas, sino que detrás estaban dos hackers éticos que buscaban demostrar cómo una vulnerabilidad podía ser la llave de entrada para tomar el control de un auto de manera remota.

En 2015 cuando Charlie Miller y Chris Valasek pusieron en práctica una técnica de hackeo, que podía entregarles el control inalámbrico del vehículo. Como resultado las rejillas de ventilación comenzaron a enviar aire frío al máximo, se evidenciaron cambios en el dial de la radio, y hasta se activaron los limpiaparabrisas, empañando el cristal. Debido a esta prueba, desde la automotriz llamaron a revisión a unos 1,4 millones de vehículos vendidos en Estados Unidos.

Desde ESET, comentan que una de las claves para reducir el riesgo de este tipo de hackeo es mantener los dispositivos al día con sus respectivas actualizaciones, ya que la mayoría de las vulnerabilidades suelen ser corregidas en muy poco tiempo. También, recomiendan gestionar el cambio de aquellas contraseñas que vienen de fábrica por una más robusta. Es decir, que incluya mayúsculas, números y caracteres especiales; y obviamente que no esté siendo utilizada en otra cuenta o dispositivo.

“Además, es clave configurar los dispositivos de manera correcta y segura. Esto incluye deshabilitar aquellos puertos y servicios que no estén siendo utilizados, y evitar las configuraciones por defecto. Como siempre mencionamos, es fundamental tener habilitado el segundo factor de autenticación en todos los dispositivos que se pueda”, agrega Ramírez Cuenca de ESET Latinoamérica.

miércoles, 2 de julio de 2025

El cibercrimen evoluciona: lo que revela el nuevo informe de ESET

ESET publicó su último Informe de Amenazas, que resume las tendencias del panorama de amenazas observadas desde su telemetría y analizada por el equipo de especialistas en detección e investigación de amenazas de ESET, desde diciembre de 2024 hasta mayo de 2025.

“Uno de los desarrollos más sorprendentes de este período fue la aparición de ClickFix, un nuevo vector de ataque engañoso que se disparó más de un 500% en comparación con el segundo semestre de 2024 en la telemetría de ESET. Esto lo convierte en una de las amenazas de más rápido crecimiento, representando casi el 8% de todos los ataques bloqueados en el primer semestre de 2025 y es ahora el segundo vector de ataque más común después del phishing”, destaca Jiří Kropáč, Director de Laboratorios de Prevención de Amenazas de ESET.

Los ataques ClickFix muestran un error falso que manipula a la víctima para que copie, pegue y ejecute comandos maliciosos en sus dispositivos. El vector de ataque afecta a los principales sistemas operativos, incluidos Windows, Linux y macOS. “La lista de amenazas a las que conducen los ataques ClickFix crece día a día, incluyendo infostealers, ransomware, troyanos de acceso remoto, cryptominers, herramientas de post-explotación e incluso malware personalizado de actores de amenazas alineados con estados-nación”, afirma Kropáč de ESET.

El panorama del robo de información también experimentó cambios significativos. Mientras Agent Tesla se quedaba obsoleto, SnakeStealer (también conocido como Snake Keylogger) tomó la delantera, convirtiéndose en el infostealer más detectado en la telemetría de ESET. Las capacidades de SnakeStealer incluyen el registro de pulsaciones de teclas, el robo de credenciales guardadas, la captura de pantallas y la recopilación de datos del portapapeles. Mientras tanto, ESET contribuyó a importantes operaciones de interrupción dirigidas a Lumma Stealer y Danabot, dos prolíficas amenazas de malware como servicio.

Antes de la interrupción, la actividad de Lumma Stealer en el primer semestre de 2025 fue superior a la del segundo semestre de 2024 (+21%) y la de Danabot aumentó aún más, un 52% más. Esto demuestra que ambas eran amenazas prolíficas, lo que hace que su interrupción sea mucho más importante.

El panorama del ransomware continua inestable, con luchas entre bandas rivales que afectaron a varios actores, incluido el principal ransomware como servicio, RansomHub. Los datos anuales de 2024 muestran que, mientras que los ataques de ransomware y el número de bandas activas han crecido, los pagos de rescates experimentaron un descenso significativo. Esta discrepancia puede ser el resultado de los retiros y las estafas de salida que remodelaron el panorama del ransomware en 2024, pero según ESET también puede deberse en parte a una menor confianza en la capacidad de las bandas para cumplir su parte del trato.

En cuanto a Android, las detecciones de adware se dispararon un 160%, impulsadas en gran medida por una nueva y sofisticada amenaza apodada Kaleidoscope. Este malware utiliza una estrategia engañosa de «gemelo malvado» para distribuir aplicaciones maliciosas que bombardean a los usuarios con anuncios intrusivos, degradando el rendimiento del dispositivo. Al mismo tiempo, el fraude basado en NFC se disparó más de treinta y cinco veces, impulsado por campañas de phishing e ingeniosas técnicas de retransmisión. Aunque las cifras globales siguen siendo modestas, este salto pone de manifiesto la rápida evolución de los métodos de los ciberdelincuentes y su continuo interés por explotar la tecnología NFC.

La investigación de ESET sobre GhostTap muestra cómo roba los datos de las tarjetas para que los atacantes puedan cargar las tarjetas de las víctimas en sus propias carteras digitales e intervenir teléfonos para realizar pagos fraudulentos sin contacto en todo el mundo. Las granjas de fraude organizadas utilizan varios teléfonos para llevar a cabo estas estafas. SuperCard X empaqueta el robo NFC como una herramienta sencilla y minimalista de malware como servicio. Se presenta como una aplicación inofensiva relacionada con NFC y, una vez instalada en el dispositivo de la víctima, captura y transmite silenciosamente los datos de la tarjeta en tiempo real para obtener pagos rápidos.

Principales datos del informe:

• Las detecciones de adware para Android se dispararon un 160% debido al malware Kaleidoscope, mientras que el fraude basado en NFC se multiplicó por más de treinta y cinco, con herramientas como GhostTap y SuperCard X que permitieron más robos de monederos digitales.

• El vector de ataque ClickFix, un falso error engañoso, aumentó en más de un 500%, convirtiéndose en el segundo método de ataque más común después del phishing, y responsable de casi el 8% de todos los ataques bloqueados.

• SnakeStealer superó a Agent Tesla como el infostealer más detectado, mientras que ESET ayudó a desbaratar dos importantes operaciones de malware como servicio: Lumma Stealer y Danabot.

• Las rivalidades entre bandas de ransomware, incluida RansomHub, provocaron el caos interno. A pesar del aumento de los ataques, el pago de rescates descendió debido a las retiradas y a los problemas de confianza.

«Desde novedosas técnicas de ingeniería social hasta sofisticadas amenazas móviles e importantes interrupciones de infosteadores, el panorama de amenazas en la primera mitad de 2025 fue de todo menos aburrido», resume Kropáč sobre el contenido del último Informe de Amenazas de ESET.

miércoles, 11 de junio de 2025

Cómo reducir el FOMO: estrategias efectivas para padres

ESET, compañía líder en detección proactiva de amenazas, mediante su iniciativa Digipadres, que busca acompañar a madres, padres y docentes en el cuidado de los niños en Internet con el fin de generar conciencia acerca de riesgos y amenazas en el mundo digital, acerca estrategias sencillas y prácticas para combatir la ansiedad en línea de los más pequeños y ayudar a desarrollar su confianza, recuperar la alegría y desarrollar una relación más sana con el mundo digital.

“¿Alguna vez has notado que tu hijo se queda callado después de revisar su teléfono, o quizás está molesto por actividades o eventos que sus amigos compartieron en línea y de los que no participó? Incluso si tu hijo no ha expresado estos sentimientos directamente, podría estar experimentando lo que se conoce como FOMO (miedo a perderse algo). Es una ansiedad sutil pero poderosa que muchos niños enfrentan en esta era digital”, explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

El FOMO (miedo a perderse algo) describe la sensación de ansiedad que experimentan niños y niñas, e incluso los adultos, cuando creen que otros disfrutan de experiencias emocionantes sin ellos. Este miedo suele verse intensificado por las redes sociales, donde todos parecen vivir vidas emocionantes, plenas y perfectas. Los niños pueden tener dificultades para gestionar las emociones que les genera ver contenido en línea seleccionado, lo que les despierta sentimientos de incompetencia, exclusión o ansiedad.

El FOMO no es exclusivo de las redes sociales ni de los niños mayores. Incluso los bebés y los niños pequeños pueden experimentarlo. Conocido como FOMO infantil, describe la ansiedad y la angustia que perciben los niños pequeños cuando sienten que se están perdiendo algo interesante o agradable que sucede a su alrededor. Esto suele provocar arrebatos emocionales o crisis nerviosas en torno a actividades rutinarias como la hora de dormir o la siesta. Por supuesto, estrategias como rituales relajantes para la hora de dormir o una canción de cuna reconfortante que ayudan con el FOMO infantil podrían no ser efectivas una vez que las redes sociales entran en escena. ESET acerca otras estrategias prácticas diseñadas específicamente para ayudar a los niños y niñas mayores a gestionar su ansiedad digital.

6 consejos prácticos para ayudar a tu hijo o hija a superar el FOMO

1. Hacer de las redes sociales un espacio positivo: Muchos padres asumen erróneamente que la solución al FOMO es eliminar por completo las redes sociales de la vida de sus hijos. Sin embargo, esto rara vez es realista. En lugar de eso, es importante ayudar a los menores a convertir sus redes sociales en un espacio positivo. Hablar con frecuencia sobre los perfiles y el contenido que se sigue en línea. Si ciertas cuentas evocan sentimientos negativos como envidia, incompetencia o aislamiento, animarlos a dejar de seguirlas o silenciarlas, y asegurarse de que sepa cómo hacerlo.

Ejercicio: Programar una sesión mensual de limpieza de redes sociales. Juntos, revisar las cuentas que sigue y conversar sobre cómo afectan su estado de ánimo. Durante estas sesiones, intentar reemplazar cualquier influencia negativa con perfiles que inspiren creatividad, positividad e intereses genuinos.

2. Desafiar la ilusión de perfección en línea: Las redes sociales suelen mostrar una realidad distorsionada: momentos destacados en lugar de la imagen completa. Los más pequeños, e incluso los adultos, pueden olvidar fácilmente que estos momentos no representan fielmente la vida cotidiana. Recordarles con regularidad que todos experimentamos altibajos, aunque no siempre compartan estos últimos.

Ejercicio: Realizar un reto de "Fotos de la vida real". Durante una semana, documenten con su hijo/a momentos cotidianos con fotos espontáneas. Al final de la semana, comparen estos momentos auténticos y cotidianos con las fotos pulidas que suelen publicarse en línea. Hablen abiertamente sobre las diferencias, enfatizando que tanto los momentos cotidianos como los imperfectos tienen valor y significado.

3. Fomentar la gratitud y la conciencia emocional: El FOMO suele proliferar cuando los niños/as pasan por alto los aspectos positivos de sus propias vidas. Fomentar la gratitud les ayuda a volver a centrarse en la realidad, apreciando lo que ya tienen en lugar de añorar lo que otros parecen tener en línea.

Ejercicio: Establecer un ritual diario de gratitud donde cada miembro de la familia comparta algo por lo que se sintió agradecido ese día. Además, considerar una actividad de diario donde anoten no solo los momentos felices, sino también los sentimientos difíciles. También, animarlos a hablar abiertamente sobre estas emociones para ayudarlos a manejarlas de forma constructiva.

4. Fomentar la confianza de los niños a través de experiencias significativas: Los pequeños con falta de confianza en sí mismos pueden ser particularmente susceptibles al FOMO, sobre todo cuando ven constantemente a sus amistades participando en actividades aparentemente emocionantes en línea. Fortalecer su autoestima puede ayudarlos a gestionar estas emociones con mayor eficacia. Animar a los menores a explorar y perseguir pasatiempos o intereses que realmente le atraigan, ya sean deportes, arte, voluntariado o unirse a clubes comunitarios. Cuando las infancias participan en actividades que realmente disfrutan, su autoestima aumenta y su dependencia de la validación externa de las redes sociales disminuye.

Ejercicio: Después de cada actividad, pedirles que nombren tres cosas que disfrutaron de la experiencia, enfocándose en los sentimientos y las experiencias en lugar de los resultados o logros. Reforzar que la participación y el disfrute son más importantes que la perfección o la comparación con los demás.

5. Fomentar la participación digital activa: En lugar de navegar pasivamente por el contenido, animar a los pequeños a convertirse en usuarios activos y creativos de sus dispositivos. Ya sea a través de la fotografía, la creación de arte digital, los blogs o la edición de vídeo, la interacción digital activa ayuda a hacerlos sentirse en control de sus interacciones en línea, reduciendo las emociones negativas asociadas con el desplazamiento pasivo.

Ejercicio: Presentarles un reto semanal de creatividad digital. Elegir temas como la naturaleza, la amistad o la gratitud, y animar a los niños y niñas a crear contenido relacionado con este tema, que luego podrán compartir en privado con familiares o amigos de confianza. Este enfoque activo fomenta un sentido de logro y orgullo, y les enseña que los dispositivos pueden usarse como puertas a la creatividad, no solo para el consumo pasivo.

6. Equilibrar la interacción digital activa con el tiempo libre del teléfono: Si bien animar a los más pequeños a usar sus dispositivos de forma activa y creativa es beneficioso, es igualmente importante enseñarle el valor de los descansos intencionales. Alejarse de las pantallas con regularidad los ayuda a reconectar con su entorno inmediato, su familia y sus amigos. Estos periodos intencionales sin teléfono no solo fomentan la atención plena y una conexión personal más profunda, sino que también reducen la ansiedad relacionada con el FOMO al proporcionar equilibrio y perspectiva.

Ejercicio: Planificar "Noches sin tecnología" semanales donde toda la familia participe en actividades como cocinar, juegos de mesa, paseos por la naturaleza o manualidades. Para fomentar la presencia, utilicen ejercicios de atención plena como las comprobaciones sensoriales: pedirles que describan lo que ven, oyen, huelen, saborear o sientan durante la actividad.

“Lo fundamental es la comunicación en cada uno de los hogares. En el caso de los más jóvenes, los padres pueden preguntarles cómo se sienten después de haber pasado horas conectado a Instagram o TikTok. También se pueden programar actividades que no consideren pantallas, para reforzar la confianza e interacción con los demás de forma natural. En los más adultos, una buena manera es tener autocontrol con las redes sociales y realizar otras actividades que refuercen la autoestima y el bienestar, como juntarse con amigos o hacer deporte”, agrega Gutiérrez Amaya de ESET.

“Un consejo que nos gusta dar a las familias es que redacten un Acuerdo de convivencia Familiar Digital, un conjunto de normas que garanticen que todos comprendan y respeten los límites relacionados con el tiempo frente a la pantalla, el comportamiento en línea y las responsabilidades en sus usos. Procurar que sea positivo; por ejemplo, incluir mensajes sobre el apoyo y la protección mutua de los miembros de la familia en línea. Al implementar estas estrategias prácticas, no solo se ayuda a los niños a controlar el FOMO, sino que le proporcionan herramientas para toda la vida. Superar el FOMO no se trata de evitar la tecnología por completo, sino de guiar a los más pequeños a que desarrolle resiliencia, confianza y una relación más sana y equilibrada con su mundo digital”, complementa Luis Lubeck, Mentor educativo de Argentina Cibersegura.

Digipadres, es una iniciativa impulsada por SaferKidsOnline de ESET, que busca acompañar a madres, padres y docentes en el cuidado de los niños en Internet con el fin de generar conciencia acerca de riesgos y amenazas en el mundo digital. Brindan materiales para el proceso de aprendizaje, diálogo y supervisión con el objetivo de facilitar los conocimientos necesarios para ayudar a lo más pequeños en el uso de las nuevas tecnologías. Para obtener más información sobre los peligros que enfrentan los niños en línea, visite: https://digipadres.com/

Por otro lado, la ONG Argentina Cibersegura, Asociación Civil cuyo objetivo es concientizar a la comunidad sobre el uso seguro y responsable de Internet, acerca charlas de concientización y capacitación exclusivas para adultos mayores en la que buscan ayudar a entender conceptos, herramientas, problemáticas y los espacios de Internet para ser parte de una navegación segura y responsable. Para solicitar información, charlas o saber más sobre Argentina Cibersegura ingrese a: www.argentinacibersegura.org