Continúan las campañas de smishing suplantando a entidades bancarias

Recursos afectados: 

Cualquier empresario, empleado o autónomo que haya recibido un SMS con las características descritas en este aviso.Descripción: 

Desde INCIBE se han detectado en las últimas horas varias campañas de envío de SMS fraudulentos de tipo smishing que tratan de suplantar a varias entidades bancarias.

Aunque en esta ocasión se han detectado SMS que afectan a las entidades bancarias BBVA y el Banco Santander, no se descarta que otras entidades financieras se vean afectadas.

[Actualización 09/05/2022]: Se han detectado dos nuevas campañas suplantando a las entidades Bankinter y BBVA a través de SMS fraudulentos. En la campaña contra Bankinter se han identificado dos SMS diferentes que pueden consultarse en la sección ‘Detalle’, aunque también podrían existir variaciones de textos similares con el propósito de acceder a un enlace proporcionado en el propio SMS. La campaña contra los usuarios del BBVA es similar a las anteriores, pudiendo también variar el texto del mensaje.

[Actualización 21/04/2022]: Se han detectado dos nuevas campañas suplantando al BBVA y Kutxabank a través de SMS fraudulentos. La campaña contra los usuarios del BBVA es similar a las anteriores pudiendo cambiar el texto del mensaje. La campaña contra Kutxabank indica al usuario que su cuenta ha sido inhabilitada por motivos de seguridad y que debe activarla a través de un enlace.

[Actualización 08/04/2022]: Se han detectado dos nuevas campañas suplantando a las entidades bancarias Laboral kutxa y Banco Sabadell a través de SMS fraudulentos. Ambos SMS indican al usuario que un equipo no autorizado se ha conectado a su cuenta online e instan a verificarlo a través de un enlace que proporcionan en el mismo SMS si no se reconoce el acceso.

[Actualización 05/04/2022]: Se ha detectado una nueva campaña suplantando a la entidad bancaria Abanca a través de un SMS fraudulentos, donde se avisa al usuario de que la tarjeta bancaria no está operativa y que debe activarla a través de un enlace proporcionado en el mismo mensaje.

[Actualización 31/03/2022]: Se ha detectado una nueva campaña suplantando a Caixabank a través de SMS fraudulentos, donde se avisa al usuario de una futura suspensión de su tarjeta y se le pide confirmar sus datos, accediendo a un enlace proporcionado en el mismo.Solución: 

Si recibes un SMS o cualquier notificación con estas características, omítelo o elimínalo, nunca sigas el enlace, ni descargues ninguna aplicación.

Si has accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberás modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Si has facilitado las credenciales de tu cuenta financiera, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Como pautas generales, para evitar ser víctima de fraudes de este tipo:

  • No abrir enlaces en mensajes SMS de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • No contestar en ningún caso a estos SMS.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, mensajes en aplicaciones de mensajería o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y las aplicaciones.
  • Revisa la URL de la página web. Si no contiene un certificado de seguridad o no corresponde con el sitio web, nunca facilites ningún tipo de información personal o bancaria.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Línea de ayuda en ciberseguridad.

Además, para prevenir y reforzar estos consejos, es importante que realices acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.Detalle: 

Los últimos SMS detectados contienen enlaces fraudulentos a dominios como ‘.ru’, ‘.info’, ‘.es’, ‘.com’, ‘.ly’, ‘.top’, entre otros. Además, para hacer más creíble la URL y que no parezca fraudulenta, es posible que aparezca el nombre del banco o palabras como ‘seguridad’, ‘seguro’, ‘cliente’, ‘particular’, ‘ciberseguridad’, ‘incidencia’, ‘reactivación’, ‘cuenta’, ‘verificar’, etc.

Estos SMS siempre instan al usuario a seguir una URL, por un bloqueo de su cuenta,  para una comprobación de seguridad.

SMS fraudulento

Los enlaces siempre redirigen a una página web fraudulenta que simula ser la de nuestro banco. En esta ocasión, las entidades bancarias afectadas son el BBVA y el Banco Santander.

Página fraudulenta BBVA
Página fraudulenta Santander

[Actualización 09/05/2022]: Se han detectado dos campañas de smishing que afectan a Bankinter y BBVA, aunque no se descarta que pueda haber otras entidades bancarias afectadas.Los SMS suplantando a Bankinter presentan el siguiente texto:

«Se ha detectado un acceso inusual a su cuenta online. Si no reconoce este nuevo dispositivo verifique sus datos: enlace-fraudulento»

«[BANKINTER] Por motivos de seguridad. Hemos bloqueado tu Tarjeta. Verifica tu cuenta para activar el acceso: enlace-fraudulento»

Tras acceder a los enlaces fraudulentos, el usuario es redirigido a la supuesta web de la entidad, en la cual, una vez introducidos los datos de acceso del usuario, podrían ser utilizados por el ciberdelincuente para operar desde la cuenta sustraída.

La página que suplanta a la del BBVA es la misma que la de campañas anteriores.

La web que suplanta a Bankinter puede verse en la siguiente imagen:

Web suplantando Bankinter

[Actualización 21/04/2022]: Se han detectado dos campañas de smishing que afectan al BBVA y Kutxabank, aunque no se descarta que pueda haber otras entidades bancarias afectadas.Los SMS suplantando al BBVA, además del texto de campañas anteriores, pueden tener este contenido:

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla. Actualice su informacion desde: enlace-fraudulento»

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla. Actualice su informacion desde: enlace-fraudulento»

«Su cuenta ha sido temporalmente bloqueada por seguridad, Para desbloquear ingrese aqui: enlace-fraudulento»

«UN DISPOSITIVO NO AUTORIZADO se ha conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: enlace-fraudulento»Los SMS suplantando a Kutxabank muestran el siguiente texto:

«Su cuenta ha sido inhabilitada por razones de seguridad, para activarla de nuevo siga los pasos: enlace-fraudulento»

Tras acceder a los enlaces fraudulentos, el usuario es redirigido a la supuesta web de la entidad, en la cual una vez introducidos los datos de acceso podrían ser utilizados por el ciberdelincuente para operar desde la cuenta robada.

La página que suplanta a la del BBVA es idéntica a la de anteriores campañas, la de Kutxabank es como la siguiente imagen:

Web suplantando Kutxabank

[Actualización 08/04/2022]: Se han detectado dos campañas de smishing que afectan a las entidades bancarias Laboral Kutxa y Banco Sabadell. Tras acceder a los enlaces fraudulentos del SMS, el usuario es redirigido a la respectiva supuesta web de la entidad, en la cual una vez introducidos los datos bancarios, estos podrían ser utilizados por el ciberdelincuente.

Página fraudulenta Kutxabank
Página fraudulenta Sabadell

[Actualización 05/04/2022]: Se ha detectado una campaña de smishing que afecta a la entidad bancaria Abanca. Tras acceder al enlace fraudulento del SMS, el usuario es redirigido a una supuesta web de Abanca, en la cual una vez introducidos sus datos bancarios, estos pasarán a manos de un ciberdelincuente.

Página fraudulenta Abanca

[Actualización 31/03/2022]: Desde INCIBE se ha detectado una campaña de smishing que afecta a la entidad bancaria CaixaBank, en la cual tras acceder al enlace del SMS, te redirige a una supuesta web de la entidad. Esta web fraudulenta tiene como objetivo hacer que el usuario introduzca sus datos personales y bancarios en la página, con el fin de hacer uso de ellos, para cometer un fraude financiero.

Página fraudulenta Caixabank

El único objetivo de los ciberdelincuentes es obtener las claves de acceso a tu banca online para cometer acciones fraudulentas con ellas.

Fuente INCIBE: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/continuan-las-campanas-smishing-suplantando-entidades-bancarias

¿Qué hacer a la hora de contratar un empleado? Mira el caso de éxito de esta farmacia

Cultura ciberseguridad video

La tecnología a día de hoy está muy presente en nuestras vidas, sobre todo a nivel laboral. Es muy habitual el uso de teléfonos, ordenadores, redes sociales o incluso software que permita la gestión de una empresa, por lo que hay que saber utilizarlos de forma segura.

Es importante que una empresa se forme y cuente con una buena cultura de ciberseguridad. Como podemos ver en el vídeo, esta farmacéutica es consciente de ello y lo aplica desde el principio; es decir, desde la contratación de un empleado.

Como podemos observar en el vídeo, en el momento de contratación el nuevo empleado recibe los siguientes documentos:

  • Contrato de trabajo.
  • Acuerdo de confidencialidad.
  • Deber de información de la LOPD.

Una vez recibidos esos documentos, el empleado pasa un reconocimiento médico, formación en materia de prevención de riesgos laborales (obligatoria por la Ley 31/1995) y formación en materia de seguridad.

Esta formación en materia de seguridad es muy importante para la empresa, no solo por los datos de carácter personal que podría gestionar, sino también por los datos del día a día (clientes, datos de facturación, tarifas…).

Cuando el empleado ha terminado este periodo de formación y ya está trabajando en la empresa, recibirá los siguientes documentos:

  • Política de seguridad.
  • Normas de uso.
  • Procedimientos de seguridad.

La información de estos documentos es revisada y actualizada periódicamente tras cambios legislativos, organizativos o tecnológicos por un comité de seguridad,  formado por cada miembro de las diferentes áreas de la empresa, incluida la dirección. Son los encargados, además, de que sea comprendida y aplicada por todos los empleados.

Es conveniente que la empresa cada cierto tiempo convoque una jornada de concienciación para refrescar los conocimientos de todos estos principios y la cultura de seguridad, ya que con el tiempo las personas tienden a relajarse.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Fuente INCIBE: https://www.incibe.es/protege-tu-empresa/blog/hacer-hora-contratar-empleado-mira-el-caso-exito-esta-farmacia

Estafas por WhatsApp: modalidades de engaño más comunes

Repasamos algunas de las formas más comunes en que delincuentes utilizan WhatsApp para cometer delitos como el robo de cuentas, suplantación de identidad o incluso distribuir malware.

La forma en que los ciberdelincuentes utilizan WhatsApp para cometer algún tipo de fraude es muy variada y existen distintas modalidades. La mayoría de los engaños que circulan a través de la app o en su nombre utilizan la ingeniería social; es decir, el arte de manipular al usuario al hacerle creer algo que no es y convencerlo de que realice una acción que le interesa al delincuente. Si bien muchas modalidades comparten características, las ordenamos de la siguiente manera.

Engaño del falso aniversario de una marca

Este engaño comienza con un mensaje que llega a la potencial víctima y que indica que una marca o servicio conocido está celebrando su aniversario y que por ello está ofreciendo algún tipo de regalo o beneficio. El mensaje incluye un enlace para que el usuario pueda acceder a su premio, pero antes de obtenerlo suele tener que completar una encuesta. Luego, para continuar debe compartir el mensaje con determinada cantidad de contactos o grupos de WhatsApp. Sin embargo, el regalo o premio nunca se concreta y el usuario es redirigido a sitios que despliegan publicidad invasiva. En algunos casos las campañas maliciosas solicitan a la víctima que descargue aplicaciones o complementos sospechosos que generalmente terminan en la instalación de algún tipo de adware que despliega publicidad invasiva y recolecta información del usuario.

Si bien la excusa más común suele ser la celebración del aniversario de una marca conocida, también este tipo de fraude se aprovecha de fechas especiales, como BlackFriday, pascuas o simplemente una promoción única.Algunos ejemplos:

Falsas ayudas económicas

Este tipo de campañas de ingeniería social a través de WhatsApp se observaron mucho durante la pandemia, con estafadores que buscaban aprovechar las necesidades económicas de los ciudadanos para engañarlos y robar sus datos personales. Vale la pena recordar que los datos personales, como nombre, fecha de nacimiento, número de documento, nacionalidad, entre otros, además de ser comercializados en foros, son utilizados por los delincuentes para realizar otros fraudes.

El engaño de las falsas ayudas económicas suele comenzar por un mensaje sobre un programa de ayuda solidaria para determinados sectores de la población e invitan a quienes cumplan con los requisitos inscribirse para recibir la ayuda. Como parte del proceso los usuarios deben completar un formulario, pero lamentablemente esta información es la que recolectan quienes están detrás de este tipo de engaño.

Muchas de estas campañas utilizan la imagen y/o el nombre de algún organismo gubernamental o de algún programa legítimo de alguna fundación o incluso una compañía. Si bien hemos observado que el objetivo suele ser recolectar información personal, también hemos visto campañas que buscan monetizar el engaño a través de la instalación de adware o de algún mecanismo para desplegar publicidad no deseada.Algunos ejemplos de este tipo de engaños:

Engaños al azar para obtener datos personales

Este engaño comienza con un mensaje de un número desconocido (números de países como Bolivia, por ejemplo) de alguien que juega a la incógnita e intenta hacer creer al usuario desprevenido que es alguien que conoce y que está en otro país. Generalmente comienza con:—Hola, ¿cómo estás? Un saludo a la distancia. Te mando un fuerte abrazo.

Luego, continúa con algo similar a:

—Imagino que te acuerdas quien está escribiéndote desde España, ¿no?

—¿No me digas que eres Mireya?

—Pues claro que sí, ¿cómo están por ahí?

Diálogo real entre estafador y potencial víctima que decidió seguir la conversación y engañar al delincuente

La intención es ver si la víctima se acuerda de alguien que realmente esté viviendo en aquel país y le de pie al estafador de continuar con el plan. El objetivo es pedirle una ayuda por un pequeño percance. Entonces el supuesto conocido le cuenta que está regresando al país y que tuvo un problema con su pasaporte y no pudo abordar el avión, pero que las maletas sí salieron. Engonces le pregunta si podría recibirlas y en caso de que acceda, le solicita fotos de su documento de ambos lados para hacer el trámite correspondiente y que pueda recibir las maletas.

Herramientas para espiar WhatsApp

Solo basta con ver las tendencias de búsqueda en Google para corroborar que “espiar whatsapp” es un término muy buscado, lo cual delata que existe un interés que se mantiene a lo largo del tiempo de usuarios que buscan la forma de espiar las conversaciones de la cuenta de un tercero. Y esto los estafadores lo saben. Por eso aparecen indexados en Google una gran cantidad de sitios de dudosa reputación que prometen una solución para espiar. El objetivo verdadero suele ser mostrar anuncios y recolectar información de quienes deciden probar estas aplicaciones, extensiones o servicios online.

En este artículo analizamos en profundidad varios de estos servicios online, apps y extensiones para espiar WhatsApp para conocer los riesgos asociados.

Secuestro de cuenta de WhatsApp

Cuando instalamos la app de WhatsApp en un equipo nuevo debemos ingresar el número de teléfono asociado a nuestra cuenta. Luego, un mensaje vía SMS llegará con un código de verificación de seis dígitos para validar la identidad del usuario. Este proceso es aprovechado por los atacantes que buscan tomar el control de las cuentas, tanto de usuarios como de empresas.

¿Cómo? La víctima recibe en su teléfono un mensaje de texto o vía WhatsApp solicitando si por favor puede reenviar el código de seis dígitos que por error se envió a su teléfono. El mensaje puede ser de un contacto que perdió el acceso a su cuenta o de un número desconocido. Si la víctima desprevenida accede y reenvía el código que llegó inesperadamente, es probable que pierda el control de su cuenta de WhatsApp si no tenía habilitada la autenticación en dos pasos. En este artículo explicamos en detalle cómo es el modus operandi.

Ejemplo de mensaje que solicita enviar el código de verificación de seis dígitis de WhatsApp

Hemos visto también que los ciberdelincuentes se hacen pasar por la cuenta oficial de WhatsApp de organismos públicos o del sector de la salud para distintos tipos de engaño, y uno de ellos es robar el código de verificación de WhatsApp. Por ejemplo, cuando en Argentina estafadores se hicieron por el Gobierno y se contactaron con usuarios para asignar turnos para la vacuna contra el COVID-19 con el verdadero objetivo de robar el código de verificación de WhatsApp para luego estafar a sus contactos y descargar su información.

Otra forma muy recurrente que utilizan los cibercriminales para robar cuentas de WhatsApp es a través del SIM Swapping, aunque esto va más allá de WhatsApp y permite el secuestro de otras cuentas, incluso las credenciales bancarias. SIM Swapping se produce cuando los delincuentes logran engañar a la compañía telefónica y obtienen un chip con tu línea telefónica haciéndose pasar por ti. De esta manera, toman el control de tu línea telefónica y el SMS con el código de verificación llegará al atacante que tiene el control de los SMS.

Probablemente los delincuentes también cuentan con algunos datos personales de la víctima, como el número de documento, fecha de nacimiento, etc. Por eso es tan importante ser más cautos a la hora de compartir nuestros datos personales, por más que parezcan poco relevantes.

Estafas de suplantación de identidad en WhatsApp

Ya sea robando el código de verificación o mediante SIM Swapping, una vez que obtienen acceso los delincuentes utilizan las cuentas de diferentes formas. Por ejemplo, suplantando la identidad de las víctimas. Para ello suelen descargar la lista de contactos, la imagen de perfil de la cuenta y otra información relevante en caso de que quieran crear un perfil falso con otro número, pero también se comunican directamente desde la cuenta robada con familiares y amigos para solicitar dinero por una supuesta emergencia o convencerlos para realizar alguna otra acción.

En algunas campañas más sofisticadas y que sirven para entender cómo se conectan los datos robados entre los servicios, a partir del compromiso de una cuenta de correo los criminales realizan estafas de suplantación de identidad a través de WhatsApp.

Hace unos meses conocimos un caso de un usuario que sufrió el compromiso de su cuenta Outlook y los atacantes descargaron una copia con la lista de contactos del correo, fotografías y su nombre completo. Luego, con esta y otra información recolectada, crearon cuentas de WhatsApp y se contactaron con su lista de contactos suplantando la identidad de la víctima y ofreciendo dólares para vender.

Pero también es importante recordar que hay fraudes de suplantación de identidad que no involucran el robo de la cuenta de WhatsApp, ya que como mencionamos antes, los criminales contactan a las potenciales víctimas desde números desconocidos haciéndoles creer que son un contacto que cambió de número.

Por último, otro modelo similar, pero con algunas características diferentes, tiene que ver con casos en los cuales los estafadores utilizan perfiles falsos de WhatsApp haciéndose pasar por organismos gubernamentales. Los delincuentes se comunican a través del chat o llamadas de voz desde cuentas de empresa que incluyen el logo del organismo. Entonces, un falso representantes intenta hacer creer a la víctima que es elegible para recibir una ayuda económica del estado o un bono. Sin embargo, para poder acreditar la ayuda económica en su cuenta los delincuentes solicitan un código y en realidad lo que entrega la víctima confundida son las claves para acceder a la cuenta bancaria.

Te invitamos a conocer el caso de una víctima de este tipo de fraude que terminó con los cibercriminales sacando un préstamo desde la cuenta bancaria robada.

Falsas actualizaciones con nuevas funcionalidades para WhatsApp

De tanto en tanto se reactivan estas campañas fraudulentas que hacen referencia al lanzamiento de una            versión de la aplicación con funciones nuevas.  Hemos visto ejemplos de estos engaños invitando a descargar WhatsApp rosa y de otros colores, como azul o nombres como WhatsApp Plus. La de WhatsApp Rosa, por ejemplo, lejos de ser una campaña inofensiva lo que hacía era descargar un troyano en el teléfono de la víctima.

Distribución de malware vía WhatsApp

No es tan común, pero se han detectado campañas para distribuir malware a través de WhatsApp. El año pasado, por ejemplo, analizamos un malware que se propagaba a través de la aplicación y que intentaba engañar a las víctimas para que descarguen una aplicación de un sitio web que simula ser Google Play.

Una vez instalada la app maliciosa cualquier mensaje que llegaba al dispositivo de la víctima era respondido automáticamente con un mensaje personalizado que incluía un enlace para descargar la falsa app.

Si bien la amenaza aparentemente buscaba desplegar publicidad invasiva en el teléfono de la víctima, según explicó el investigador Lukas Stefanko, “este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware”.

Por último, los atacantes también suelen recurrir a la distribución de malware a través de correos de phishing que se hacen pasar por comunicaciones oficiales de WhatsApp. En 2021, por ejemplo, una campaña de phishing que circulo principalmente en España simulando ser oficial e invitando a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación. Sin embargo, el archivo HTML adjunto que redirecciona para la descarga de un archivo comprimido ZIP, que a su vez contiene un archivo MSI que descarga el malware. En este caso era el troyano bancario Grandoreiro.

Recomendaciones

La principal recomendación es aprender a desconfiar. No hacer clic en cualquier enlace que recibimos ni completar con nuestra información personal cualquier formulario que nos llega. Lo segundo es habilitar la autenticación en dos pasos en WhatsApp, y en lo posible utilizando una app de autenticación y no el SMS. De esta manera evitamos el secuestro de cuentas.

Fuente: https://www.welivesecurity.com/la-es/2022/05/04/estafas-por-whatsapp-modalidades-engano-comunes/

¿PROBLEMAS CON TU CUENTA DE CORREO? NO CAIGAS EN LA TRAMPA DEL PHISHING QUE TRATA DE ROBAR TU CONTRASEÑA

Tal y como venimos observando desde hace meses, el robo de credenciales es una tendencia al alza, especialmente en España. Los delincuentes intentan hacerse con los usuarios y contraseñas de varios servicios para, posteriormente, venderlas o usarlas en ataques de acceso inicial a redes corporativas. Entre las credenciales más buscadas se encuentran las que permiten acceder a las cuentas de correo de empleados, algo que hemos vuelto a comprobar tras revisar tres campañas diferentes que se han estado propagando en las últimas horas.

Tres correos fraudulentos con la misma finalidad

A la hora de intentar robar credenciales, los delincuentes pueden optar por varias técnicas que van desde el envío de malware capaz de robar credenciales almacenadas en varias aplicaciones de uso frecuente en empresas hasta pedir directamente que el usuario introduzca sus contraseñas, como en los casos que vamos a revisar a continuación. Estos correos tratan de convencer al usuario de varias formas para que acceda a un enlace preparado por los delincuentes donde se solicitarán sus credenciales de correo. En uno de los casos vemos que se utiliza como gancho la necesidad de revisar un número de correos que han se han quedado en la cuarentena del buzón de correo.

Otro de los ejemplos de este tipo de correos recibidos en las últimas horas utiliza un falso aviso donde se le indica al usuario que su cuenta será desactivada próximamente si no se registra en la nueva versión de su buzón de correo. En este correo se llega incluso a mencionar la empresa para la que trabaja el empleado que recibe el correo para darle mayor veracidad.

El último de los correos de este estilo enviado en las últimas horas está escrito en español y nos alerta de que la contraseña de nuestro buzón de correo expirará en breve, pero nos da la oportunidad de seguir usando la contraseña actual si se accede al enlace proporcionado y la introducimos.

Como vemos, este tipo de correos buscan generar cierta sensación de urgencia en el receptor del mensaje para que actúe rápidamente y no se pare a pensar en si el correo ha sido enviado por un remitente legítimo, o si la web a la que se accede pertenece a su empresa. Dependiendo de la campaña, los delincuentes pueden personalizar o no la web donde se solicitan las credenciales de correo (con logos de la empresa e incluso sus colores corporativos), aunque lo habitual es que se observe una plantilla neutra en la mayoría de ocasiones.

En el caso de que el usuario muerda el anzuelo, sus credenciales de correo serán recopiladas por los delincuentes y usadas en ataques posteriores.

Uso de credenciales robadas

Una vez los delincuentes se han hecho con las credenciales de correo, estas suelen ser usadas principalmente para suplantar la identidad de la víctima y usar su email con fines maliciosos. Esto incluye el envío de correos a sus compañeros de empresa, clientes o proveedores con ficheros adjuntos o enlace a la descarga de archivos que suelen estar infectados y que, a su vez, pueden ser utilizados para continuar con el robo de credenciales o, en casos más graves, comprometer la seguridad y la información de los dispositivos que infecta.

Un uso habitual de estas cuentas de correo robadas incluye las estafas en las que los delincuentes se hacen pasar por la persona a la que han robado las credenciales, y en el caso de que este empleado se encargue de tareas de cobro y facturación, proceden a enviar emails a clientes o proveedores adjuntando facturas pendientes de pago pero incluyendo una cuenta bancaria controlada por los delincuentes o alguno de sus muleros. En ocasiones vemos como incluso se incluye una cadena de mensajes previamente contestados para dar más credibilidad a la persona que recibe el correo desde la cuenta comprometida.

Sin embargo, uno de los peores escenarios a los que se puede enfrentar una empresa donde se haya producido un robo de credenciales de correo o de otros servicios de algún empleado es aquel donde los delincuentes utilizan estas contraseñas para reconocer la red corporativa, los usuarios existentes e incluso enviar malware que sirva como cabeza de puente para ataques posteriores. Estos ataques pueden incluir movimientos laterales hasta llegar a máquinas clave como controladores de dominio o servidores de fichero que pueden facilitar el robo de información confidencial y el cifrado de sistemas de toda la red corporativa.

Conclusión

Como hemos visto, no hace falta que los delincuentes se compliquen excesivamente la vida para conseguir robar credenciales de correo. Con solo un correo enviado de forma masiva a varias empresas pueden hacer que varios empleados caigan en la trampa y eso puede ser solo el comienzo de los problemas, por lo que debemos protegernos con soluciones de seguridad que impidan que estos correos lleguen siquiera a la bandeja de entrada de los usuarios.

Fuente: https://blogs.protegerse.com/2022/05/09/problemas-con-tu-cuenta-de-correo-no-caigas-en-la-trampa-del-phishing-que-trata-de-robar-tu-contrasena/

Con estos ataques nos roban las contraseñas, ¡aprende a evitarlos!


Ataque de diccionario

Estos ciberataques aprovechan la mala práctica de utilizar una sola palabra como contraseña. Normalmente el ciberdelincuente utiliza un software que le permite introducir contraseñas de manera automática y así puede probar todas las palabras de un diccionario como posibles contraseñas. Si existiera alguna coincidencia ya habría conseguido el acceso a la cuenta en cuestión.

En una variante más avanzada, el ciberatacante recopila información sobre el usuario, como fechas de nacimiento, nombres de familiares, mascotas o lugares en los que ha vivido y prueba estas palabras como contraseñas, ya que también se trata de una mala práctica muy extendida, el uso de este tipo de claves que nos resultan fáciles de recordar.

Evita el ataque de diccionario creando contraseñas robustas que cumplan las siguientes directrices:

  • deben contener al menos ocho caracteres y combinarlos de distinto tipo (mayúsculas, minúsculas, números y símbolos);
  • no deben contener los siguientes tipos de palabras:
    • palabras sencillas en cualquier idioma (palabras de diccionarios);
    • nombres propios, fechas, lugares o datos de carácter personal;
    • palabras que estén formadas por caracteres próximos en el teclado;
    • palabras excesivamente cortas.
  • tampoco utilizaremos claves formadas únicamente por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento);
  • se establecerán contraseñas más fuertes para el acceso a aquellos servicios o aplicaciones más críticas;
  • se tendrá en cuenta lo expuesto en los puntos anteriores también en el caso de utilizar contraseñas de tipo passphrase (contraseña larga formada por una secuencia de palabras).

Relleno de credenciales (credential stuffing / credential reuse):

El relleno de credenciales es un ataque de fuerza bruta que utiliza credenciales robadas en brechas de seguridad. Se prueban de manera automatizada pares de nombres de usuario y contraseña para entrar en cuentas y perfiles online. Se aprovechan también de la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales y servicios online) en aplicaciones del entorno corporativo como el correo.

Evita el ataque de relleno de credenciales: 

  • Habilitando la autenticación de dos factores en tus cuentas online cuando sea posible. Considera además del uso de la contraseña otros factores como:
    • huella digital
    • tokens criptográficos hardware;
    • sistemas OTP (One Time Password);
    • tarjetas de coordenadas.
  • Utilizando contraseñas únicas, es decir, que solo utilices en ese servicio específico.
  • Usando la cuenta de la empresa solo para registrarte en servicios corporativos.

Ataque de pulverización de contraseñas (password spraying)

Se produce cuando un ciberdelincuente utiliza un gran número de contraseñas robadas (de alguna brecha de seguridad) en un grupo de cuentas (por ejemplo las de correo web de empleados de una empresa) para ver si puede obtener acceso. Además, se vale de programas que pueden limitar el número de intentos de acceso a una cuenta para no hacer saltar las alertas y así no ser detectados.

Evita el ataque de pulverización de contraseñas: 

  • Utilizando herramientas que garanticen la seguridad de tus contraseñas como las de los protocolos LDAP, Active Directory o servicios externos que obligan al cumplimiento de ciertos requisitos:
    • periodos de validez para las contraseñas;
    • posibilidad de reutilización de contraseñas ya usadas;
    • formato de la contraseña: 
      • longitud mínima;
      • tipos de caracteres que deben incluir;
      • cumplimiento de reglas semánticas.
    • posibilidad de elección y modificación de la contraseña por parte del usuario;
    • almacenamiento de las claves:
      • tamaño del histórico de claves a almacenar para cada usuario;
      • método de cifrado de las claves.
    • número de intentos de autenticación permitidos.

Ingeniería social

La ingeniería social es una manipulación para obtener información confidencial que se utiliza de forma complementaria al uso de la tecnología para obtener credenciales de acceso. Existen varias técnicas.

Phishing, smishing, vishing y warshipping

Estos ciberataques aprovechan la falta de información e ingenuidad humanas para que les entreguemos nuestras credenciales. Se inician por un email o un SMS, una llamada o mediante dispositivos.

  • Un correo electrónico que llama tu atención sobre algún tipo de asunto urgente procedente de una entidad de tu confianza como un banco, un ministerio o un proveedor de servicios TIC. Estos mensajes suelen contener un enlace a un sitio web diseñado de forma que suplantan, en ocasiones con un gran parecido, a la web legítima de esa entidad y en el cual te pedirán las credenciales para iniciar sesión (phishing). Estos sitios web falsos registrarán las credenciales introducidas pasando así a manos de los atacantes.
  • Un SMS (smishing), técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. con el mismo propósito que el anterior.
  • Una llamada (vishing), empleando técnicas similares a las anteriores.
  • Un regalo tecnológico infectado (warshipping) que se conectará a nuestra red y robará nuestras credenciales y otros datos.

Mirar por encima del hombro (shoulder surfing)

Ser consciente del entorno que te rodea es tan importante como estar atento a cualquier actividad sospechosa en línea. El shoulder surfing es una técnica de ingeniería social en la que los ciberdelincuentes consiguen las contraseñas espiando a la gente que utiliza sus dispositivos en público mientras escriben. Estos se valen de que, por normal general, no somos desconfiados y no nos preocupamos de si alguien puede estar observando mientras introducimos las contraseñas en nuestros dispositivos.

Evita los ataques de ingeniería social:

  • Con formación y concienciación. La primera línea de defensa está en el usuario final por tanto, son las mejores armas para combatir esta técnica.
  • Comprobando si la web es legítima antes de introducir tus datos.
  • Habilitando las funciones biométricas, como el reconocimiento facial, para iniciar sesión en las cuentas de los dispositivos móviles.

Ataque de keylogger

Un keylogger es un software espía que se utiliza para rastrear y registrar lo que se escribe por teclado. Los ciberdelincuentes se aprovechan de este software infectando intencionadamente los dispositivos vulnerables y grabando información privada sin el conocimiento del usuario sustrayendo así contraseñas, entre otra información. También puede venir en dispositivos extraíbles, como pendrives.

Evita los ataques de keylogger:

  • Comprobando la legitimidad de los adjuntos y ficheros descargables antes de abrirlos o ejecutarlos.
  • Instalando software antimalware en tus dispositivos.
  • Revisando que no haya conectado ningún dispositivo extraño en tu ordenador.

Ataque de Hombre en el medio (Man-in-the-middle)

En el ataque Man in the middle el ciberdelincuente intercepta la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según le interese, para ver la información y modificarla a su antojo. Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas por el ciberdelincuente o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.

Interceptación del tráfico (Traffic interception)

La interceptación del tráfico es un tipo de ataque Man-in-the-middle. En este caso el ciberdelincuente espía la actividad de la red para capturar contraseñas y otro tipo de información sensible. Tienen varias formas de llevar a cabo este ataque, por ejemplo, interceptado conexiones wifi no seguras o utilizando una táctica llamada secuestro de sesión, que consiste en interceptar una conexión entre un objetivo (un empleado por ejemplo) el sitio al que se conecta (un servicio en la nube o una aplicación de intranet) y registrar cualquier información compartida entre ambos.

Evita los ataques de Man-in-the-middle:

Ahora que ya sabes un poco más sobre cómo los ciberdelincuentes pueden robar tus credenciales, revisa tu política de contraseñas y protege tu empresa.

Fuente: https://www.incibe.es/protege-tu-empresa/blog/estos-ataques-nos-roban-las-contrasenas-aprende-evitarlos

Los otros Pegasus para espiar a cualquiera: así se venden legalmente por cinco euros en Internet

¿Me vigilan sin que yo lo sepa? Hace no tantos años, la respuesta más común sería que ni de coña, o como mínimo que probablemente no, pero ya no está tan claro. Un día te despiertas y te encuentras con que el móvil más importante del país fue infectado por un software espía, y dudas de todo. Como mínimo, dudas de ti mismo y de tu viejo smartphone chino que recargas dos veces al día y que tiene la pantalla rayada desde 2018. Es normal.

Lo que se viene a continuación no es plato de buen gusto. Espiar las conversaciones de otra persona no es del todo difícil -ni del todo ilegal- incluso para alguien sin conocimientos de informática. Una simple búsqueda en internet permite al más troglodita de la red servirse de un menú inacabable de webs, promociones y surtidos espías que cualquiera puede contratar a precio de saldo para monitorizar cualquier dispositivo. Si tú puedes hacerlo, cualquiera puede hacértelo a ti.

Sobre esta sencilla tesis se ha desarrollado un bullicioso pero discreto ecosistema de empresas aparentemente legales que ofrecen, directamente, la capacidad de espiar sin complejos ni ataduras cualquier teléfono. El negocio empezó con un par de startups en Israel a la sombra de NSO, la creadora de Pegasus, pero se ha democratizado a todos los países del mundo y para cualquiera dispuesto a contratarlas. Ahora hay docenas al alcance de cualquiera.

Marruecos encargó espiar a 200 móviles españoles, según datos de Pegasus. Manuel Fernández Omicrono

Las posibilidades son infinitas, aunque siempre con un paraguas de buenas intenciones. Algunas describen sus productos como «interceptación legal» o «inteligencia» contra delincuentes; otras, como “control parental” para vigilar a tu hijo o «vigilancia» para parejas celosas o empresarios desconfiados. En realidad valen para lo que uno quiera. Al final, todas venden herramientas que se apropian de dispositivos, se infiltran en routers WiFi o infectan altavoces inteligentes y los vuelven contra sus usuarios para espiar en secreto. Los precios oscilan desde los cinco euros al mes hasta los varios millones, dependiendo del objetivo y el programa, y son muy fáciles de usar.

Lo que no se puede discutir es que todos son legales, aparentemente. No hace falta navegar por la dark web, citarse con encapuchados en callejones oscuros ni traspasar maletines llenos de dinero negro. Dos clicks y una transferencia bancaria son suficientes para comprar un software espía, en menos de treinta segundos lo puedes instalar en otro móvil sin que la otra persona se dé cuenta y antes de que vuelva del baño la acompañarás -telemáticamente- allá donde vaya. Sus descargas aumentan a un ritmo del 50% al año y se pueden encontrar en App Store o Google Play. Es decir, al alcance de cualquiera.Un registro de llamadas de una aplicación espía 'legal'.

Un registro de llamadas de una aplicación espía ‘legal’. E.E.

De 5 euros a 55 millones

José Lancharro es director de BlackArrow, la división de servicios defensivos y ofensivos de Tarlogic Security. Hablamos por videoconferencia y le pido que me hackee en directo, que quedaría de lujo para el reportaje, pero se ríe y dice que no: “Nosotros estamos en el lado luminoso. Los malos son otros”.

‘Los malos’ son, en sus palabras, los que no entienden de ética. Puede ser desde la empresa que te cobra 30 euros por hackear a tu pareja hasta la agencia estatal extranjera que invierte millones en un programa espía remoto. También los que ofertan herramientas para asaltar cajeros automáticos o falsificar documentos. Los dos primeros son legales y los puedes contratar fácilmente en internet; los segundos llegan por contactos directos a gobiernos y grandes empresas; los terceros, por la dark web. A efectos prácticos consiguen lo mismo, pero de formas distintas.Algunos de los servicios de un software espía, según los promociona en su página web.

Algunos de los servicios de un software espía, según los promociona en su página web. E.E.

“Los software espía que puede contratar un particular por precios bajos requieren instalar una app en el dispositivo [básicamente que le robes el móvil a tu pareja y le instales la aplicación]. Los otros, como Pegasus, tienen una cadena de herramientas que se conocen como click cero: sin ninguna intervención por parte de la víctima, sin que ella pueda hacer nada, se instalan en su teléfono sólo con conocer su contacto, sin que pinche en ningún lado”, explica Lancharro. Este software, por ejemplo, tiene la capacidad de poner en peligro los terminales simplemente haciendo una llamada telefónica a su objetivo a través de WhatsApp, incluso si la llamada no era contestada. 

Este matiz, el de cómo acceder a la información, es lo que dispara el precio entre las herramientas gubernamentales (Pegasus) y las que se venden como usos de “control parental” a precio de saldo, como XNSPY, eyeZy o mSee, que ofertan desde 5 euros al mes por monitorizar un teléfono. Según el periódico israelí Haaretz, Arabia Saudí pagó 55 millones de dólares por el acceso a Pegasus en 2017; otros, como Zerodium, se venden por 2,5 millones de dólares por una cadena de infección de cero clicks. Quitando este matiz, las posibilidades son las mismas una vez se llega a infectar el teléfono.

Las conversaciones se guardan en la página web, los mensajes se registran y los movimientos bancarios quedan apuntados. Todo es accesible desde un portal (por el que realmente pagas la suscripción) que te da acceso a todo, incluso horarios y rutinas por GPS. Localizarte, saber dónde vives, dónde trabajas y qué lugares frecuentas y a qué hora, todo con tutoriales facilitados por los propios desarrolladores. Un mini Pegasus al alcance de cualquiera con una neurona.

Cómo prevenirlo

La mejor arma es el sentido común. Un SMS te advierte de que tienes una factura sin pagar, un whatsapp desconocido te escribe en inglés buscando a un amigo perdido o un correo de remitente extraño te advierte de un error en tu última nómina de trabajo. Puede que te entren dudas, pero si clickas sabes a lo que te arriesgas. En un ámbito más terrenal, aunque parezca obvio, no dejes tu móvil al alcance de nadie. El segundo paso es analizar el móvil recurrentemente.

“Da igual la orientación que tengas, la cadena de intrusión y acceso es exactamente la misma para todos: lo único que las diferencia es el objetivo, que depende del espía”, señala. Este objetivo puede ser espiar las llamadas, ver los mensajes, descargar ficheros o borrar datos, entre otros. “Lo que normalmente vemos publicado en los medios es este último paso, pero lo importante es la cadena de sucesos que lleva a controlar el dispositivo, y eso deja rastro siempre”.

El éxito de Pegasus, por tanto, no es que espíe, sino cómo consigue espiar. De hecho, aporta Lancharro, «empezó siendo parecido a este tipo de softwares: necesitaba ‘engañarte’ con una app instalada. Luego fue evolucionando y se sofisticó para ser lo que es ahora, y también borrar su persistencia”. 

Esta persistencia son los datos, carpetas o huellas que las apps dejan en los teléfonos infectados. Las herramientas más antiguas -y las más baratas- se pueden eliminar sólo con reiniciar el teléfono, pero esto no protege contra ataques posteriores. En el caso de España, por ejemplo, el Gobierno ha tomado como medida preventiva que los ministros apaguen el móvil una vez al día, «pero no es suficiente». «Más que nada porque Pegasus no deja rastros, pero entre no hacer nada y apagar el móvil pues mejor apagarlo, sí», opina Lancharro.

Si, en cambio, temes ser objetivo de uno de los programas que se reivindican como «control parental» y se pagan a cinco euros el mes, la solución es más sencilla. Además de los reinicios y el sentido común, es importante mantener el teléfono actualizado y limpio de programas integrados, como iMessage o FaceTime (en el caso de Apple). También puedes navegar por internet con un navegador alternativo (Firefox Focus) o usar una VPN que oculte tu tráfico.

Lo que esto quiere decir para ti, en realidad, es que águila no caza moscas. El ciberespionaje patrocinado por los estados-nación aporta muchos recursos, y cuando el enemigo puede permitirse gastar millones de dólares en atacarte tú no puedes pretender que tu defensa sea apagar el móvil. Dicho de otra manera: si eres el objetivo de un software como Pegasus la cuestión no es si puedes infectarte, sino cuánto tiempo tardarás en hacerlo.

Fuente elespanol.com : https://www.elespanol.com/reportajes/20220507/pegasus-espiar-venden-legalmente-euros-internet/670432961_0.html

CÓMO SABER SI TU MÓVIL HA SIDO INFECTADO POR MALWARE Y MANERAS DE SOLUCIONARLO

Josep Albors | 04 May, 2022 | Ciberamenazas | No hay comentarios

A raíz de los numerosos casos de infecciones de personalidades y personas relacionadas usando el spyware Pegasus, son muchos los usuarios que han empezado a preocuparse por la seguridad de sus dispositivos móviles. Antes de volvernos paranoicos, hemos de aclarar que este tipo de software espía no se usa de forma indiscriminada contra todo tipo de usuarios y que los objetivos suelen estar muy bien elegidos por aquellos que tienen acceso a este spyware. Una vez aclarado este punto, vamos a ver qué tipos de amenazas pueden comprometer nuestro dispositivo, cómo detectarlas, eliminarlas y protegernos de futuras amenazas.

Diferencias entre Android y iOS

No deja de ser curioso que, al hablar del espionaje que han sufrido diversas personalidades a lo largo de los últimos años usando Pegasus, la gran mayoría de información disponible esté relacionada con infecciones a dispositivos de Apple. Esto puede tener varias explicaciones, como la mayor adopción que tienen los smartphones de esta marca en según qué perfiles, y, como bien indica Citizen Labs (responsable de la gran mayoría de investigaciones al respecto), su capacidad de realizar análisis forense en busca de infecciones por Pegasus se ha especializado en iOS y esto puede provocar que no sean capaces de detectar todas las infecciones sufridas en dispositivos Android.

Además, hemos de tener en cuenta que Pegasus es desarrollado por una empresa que invierte mucho dinero en descubrir agujeros de seguridad sin solución disponible que puedan explotar para conseguir su objetivo de comprometer los dispositivos móviles. Tampoco es la única empresa de este estilo que existe y cada una de ellas tienen sus clientes, que lo usan contra cierto tipo de objetivos.

En este punto, es importante destacar que la propia política de Apple relacionada con las aplicaciones que se pueden instalar en sus dispositivos y los permisos que obtienen impide que una solución de seguridad de terceros pueda funcionar como lo hace en sistemas operativos de escritorio o incluso en el ecosistema Android.

Por un lado, eso es positivo para sus usuarios, puesto que impide que se puedan descargar e instalar aplicaciones maliciosas fácilmente, pero, por otro, provoca que los objetivos de software espía avanzado como Pegasus poco o nada puedan hacer para impedir que sus dispositivos se vean comprometidos.

En el caso de Android, Google permite más libertad a sus usuarios, incluyendo la posibilidad de instalar soluciones de seguridad de terceros. A cambio, también permite que un usuario se infecte si descarga una aplicación maliciosa y le concede los permisos necesarios. Además, Android sigue teniendo un grave problema con la fragmentación de las versiones de su sistema operativo. Mientras que los usuarios de iOS suelen actualizarse a las últimas versiones del sistema (instalando así también los parches de seguridad más recientes), una buena parte de usuarios de Android se quedan anclados en versiones antiguas y con múltiples agujeros de seguridad sin parchear.

Cómo pueden infectar tu teléfono

En un escenario habitual, y teniendo en cuenta que la gran mayoría de nosotros no somos el objetivo de costosos software espía, hemos de tener en cuenta que las amenazas que pueden infectar nuestro teléfono pueden ser variadas. De hecho, en algunos casos no es necesario instalar ninguna aplicación en nuestro dispositivo, puesto que los delincuentes se aprovechan de la ingeniería social para engañarnos y convencernos de introducir datos personales en sitios web de phishing, algo que afecta a usuarios de Android y iOS por igual. Con respecto a las tácticas más usadas para infectar dispositivos Android, entre ellas encontramos el uso de enlaces incluidos en emails, sms o a través de mensajería instantánea. Estos enlaces suelen redirigir a la descarga directa de una aplicación o a una web desde la que se solicita esa descarga. Esta es una técnica muy usada por los troyanos bancarios dirigidos a usuarios de Android, los cuales han experimentado un importante crecimiento desde el inicio de la pandemia.

Ejemplo de pasos indicando como instalar una aplicación fraudulenta que suplanta al BBVA

Además de esta técnica, los delincuentes también pueden hacerse pasar por webs de apps legítimas, suplantando a marcas u organizaciones reales, y que incluyen enlaces a la descarga de la supuesta aplicación. A lo largo de los años hemos visto varios ejemplos donde los delincuentes se han hecho pasar por actualizaciones de Google Chrome o Flash Player, pero también por instituciones españolas como la Universidad Carlos III, que han visto cómo han utilizado su nombre para propagar troyanos bancarios.

Hemos hablado de troyanos bancarios porque, al menos en España, representan la principal amenaza a la que se enfrentan los usuarios de Android, pero existen muchas otras como el spyware comercial que muchas veces suele usarse para espiar a las parejas sin que estas lo sepan, el adware, los keyloggersfalsas aplicaciones de criptomonedas que roban las criptodivisas de los usuarios o incluso hay casos de ransomware en dispositivos móviles Android.

Comprobando si tu teléfono ha sido infectado

Una vez conocidas alguna de las principales amenazas a las que nos enfrentamos, es importante aprender a reconocer los síntomas que una infección por malware puede presentar. En algunas infecciones podemos ver como la batería del dispositivo se agota más rápido de lo normal, se observan picos en el uso de datos (incluso cuando no estamos usando el dispositivo), las opciones de Wi-Fi y GPS pueden habilitarse ellas solas o pueden mostrarse ventanas emergentes que muestran publicidad o solicitan la instalación de apps.

Además, en algunas ocasiones puede observarse el icono de aplicaciones que no recordamos haber instalado, iconos que pueden ser similares a otros conocidos como los del navegador de Internet. También existe la posibilidad de que algunas aplicaciones empiecen a fallar, cerrándose inexplicablemente, e incluso es posible que el teléfono deje de funcionar y se reinicie.

Un síntoma común en algunas familias de malware para Android como Flubot y sus derivados es el envío masivo de mensajes a sus contactos y otros números, que pueden incluso pertenecer a otros países o tener una tarificación especial. Estos mensajes pueden suponer un importante coste para la víctima y esta debe sospechar tan pronto reciba una factura anormalmente elevada.

Por supuesto, si el dispositivo del usuario es víctima de un ransomware, los delincuentes se encargarán de que lo sepa, puesto que bloquearán el dispositivo o mostrarán un mensaje indicándolo.

Solucionando posibles infecciones

Si confirmamos que nuestro teléfono ha sido víctima de un malware es hora de pasar a la acción y hacer lo necesario para eliminar la infección. Para ello primero debemos identificar la aplicación sospechosa de estar provocando la infección, accediendo al menú de aplicaciones y revisando todas las que tenemos instaladas para, una vez descartadas las apps legítimas, proceder a desinstalar las que sean sospechosas.https://www.youtube.com/embed/dIIDh1AqUKQ?feature=oembed

A pesar de que en las últimas versiones de Android Google ha incorporado medidas de seguridad y condiciones para que las aplicaciones no puedan ocultarse a los ojos del usuario, es posible que, especialmente si contamos con muchas apps instaladas en nuestro terminal, no sepamos distinguir entre aplicaciones legítimas y las que puedan estar relacionadas con una infección por malware, con lo que la eliminación manual se complica.

Para ayudarnos en esta tarea, podemos instalar una solución antivirus para móviles Android como ESET Mobile Security. Esto nos permitirá realizar un análisis en el dispositivo en busca de apps maliciosas que estén comprometiendo la seguridad del teléfono y de los datos que almacenamos en él.

Evitando caer en la trampa del malware

Como suele decirse, “es mejor prevenir que curar”, y por eso, antes de tener que recurrir a una eliminación manual de una app maliciosa, algo que puede llevar bastante tiempo e incluso podría implicar la restauración del terminal a sus valores de fábrica, es importante tomar una serie de precauciones, empezando por la actualización del sistema operativo y de las aplicaciones que tengamos instaladas siempre que sea posible.

Así mismo, es importante contar con una copia de seguridad de nuestros datos para evitar perderlos por una infección o por tener que restaurar nuestro móvil. Google ofrece la posibilidad de guardar cierto volumen de datos de forma gratuita, pero es posible que algunos usuarios requieran de una mayor capacidad.

Si bien aún se pueden encontrar algunas amenazas en tiendas oficiales como Google Play, la situación ha mejorado respecto a hace algunos años. Por ese motivo, siempre se recomienda descargar apps desde tiendas y webs legítimas, evitando realizar esas descargas en webs desconocidas o con poca reputación.

En este artículo hemos explicado las tácticas más frecuentes usadas por los delincuentes para comprometer nuestros dispositivos, por lo que conocerlas e informarse periódicamente acerca del uso de nuevas tácticas o campañas lanzadas por los criminales nos puede ayudar a estar prevenidos. Por supuesto, una solución de seguridad nos ayudará también a proteger nuestros dispositivos, y teniendo en cuenta que la mayoría cuentan con versiones gratuitas, no tenemos excusas para no instalarlas.

Conclusión

Como acabamos de ver, el malware en dispositivos móviles está cada vez más presente y hemos de adoptar las medidas necesarias para no caer en sus redes. La gran mayoría de nosotros puede protegerse siguiendo unos sencillos pasos, por lo que ya no hay excusas para no hacerlo.

Fuente Protegerse: Cómo saber si tu móvil ha sido infectado por malware y maneras de solucionarlo – Protegerse. Blog del laboratorio de Ontinet.com

Protégete al usar WiFi públicas

wifi-gratis

Las wifis públicas son aquellas que no están protegidas por una contraseña y nos permiten conectarnos a Internet de una forma cómoda y rápida. Estas redes no cifran la información que se transmite a través de ellas, por lo que no son seguras. También son aquellas que aun teniendo contraseña se acceso, se conectan muchas usuarios a ellas. Comúnmente las identificamos como wifis gratuitas. Esa maravillosa frase que leemos en un bar, un hotel, un centro comercial, una estación de tren, un aeropuerto… la acogemos como una bendición cuando nuestro contrato de datos ha llegado a su límite de consumo y nuestra navegación es extremadamente lenta. Al conectamos estamos accediendo a una red en la cual no tenemos el control de lo que se está trasmitiendo a través de ella, ni quien está conectado.

QUÉ DEBES TENER EN CUENTA ANTES DE CONECTARTE:

  • Si lo puedes evitar, no te conectes a redes inalámbricas abiertas. Las redes públicas pueden ponernos en peligro. Tanto el administrador como alguno de los usuarios conectados pueden utilizar técnicas para robarnos información.
  • Si vamos a conectarnos, es preferible acceder a una red con seguridad WPA o WPA2. Las redes abiertas y con seguridad WEP son totalmente inseguras.
  • Deshabilitar cualquier proceso de sincronización de nuestro equipo si vas a usar una red pública.
  • Mantener siempre el equipo actualizado, con el antivirus instalado correctamente y si es posible, hacer uso de un cortafuegos.
  • Ten precaución a la hora de navegar por páginas cuyos datos no viajan cifrados (la URL no empieza por HTTPS).
  • No inicies sesión (usuario/contraseña) en ningún servicio mientras estés conectado a una red pública. Evita realizar transacciones bancarias, compras online o cualquier otra tarea que suponga el intercambio de datos privados desde redes wifi públicas.
  • Tras la conexión, eliminar los datos de la red memorizados por nuestro equipo.
En esta página encontrarás:Una historieta: «El día que Alicia compartió sus fotos con un desconocido».Riesgos de las redes wifi públicasRecomendaciones de seguridadContenidos RelacionadosTambién te puede interesar:Cómo evitar el robo de credenciales en una wifi pública (videotutorial)Cómo protegerse al usar una wifi gratuita (infografía)Riesgos de las redes wifi de acceso públicoWi-Phishing: dónde se dan, cómo identificarlos y de qué manera protegernos

Imagen de Alicia compartiendo sus fotos con un desconocido

Historieta: El día que Alicia compartió sus fotos con un desconocido

Alicia es usuaria habitual de las redes sociales y servicios de chat, a través de los que mantiene contacto con amigos y familiares. Le gusta revisar todo aquello que comparten sus amistades, se entera de muchas cosas interesantes y pasa buenos ratos.

El otro día, mientras almorzaba en una cafetería del centro, recibió una invitación para ver unos vídeos en YouTube. Como sabía que eso consumiría una gran cantidad de datos, pensó en buscar alguna red wifi abierta en la zona y así no consumir los datos de su tarifa.

¡Qué suerte! La primera señal encontrada tenía el nombre de la cafetería. Era potente y además no era necesaria ninguna contraseña. Así que no lo pensó dos veces: se conectó inmediatamente, vio los vídeos y, ya que estaba, accedió a Facebook y otros servicios hasta que se marchó y se perdió la señal.

Alicia sabía que conectarse a redes desconocidas suponía algún riesgo, pero después de todo, “tampoco hay que ser tan desconfiado, al fin y al cabo el nombre coincide con el de la cafetería… y ¿quién va a estar interesado en espiar lo que yo hago?“.

Al día siguiente descubrió algo que la dejó perpleja. Alguien había entrado en su cuenta de Facebook y había publicado una docena de fotos, pero lo curioso es que eran fotografías que solo estaban en su móvil. No tardó mucho en recordar su “arriesgada acción” del día anterior.

Lo vio claro: “la conexión de ayer fue un fraude y algún ‘listillo’ se aprovechó. Copió mis archivos y consiguió mi contraseña de Facebook. ¡Qué ingenua fui! ¡Ni siquiera pregunté al dueño si disponían de red wifi para los clientes!”

Conectarse a redes wifi desconocidas siempre entraña riesgos.


Riesgos de las wifi públicas

Cuando nos conectamos a una red wifi pública desconocemos quién es el administrador o qué medidas de seguridad utiliza para impedir acciones malintencionadas de otros usuarios conectados y por tanto, podemos exponernos sin necesidad a una serie de riesgos que describiremos a continuación.

Robo de datos transmitidos. 

Si la conexión la realizamos sin contraseña, lo que conocemos como red “abierta”, los datos que transmitimos pueden ser leídos por cualquiera, tanto el administrador como otros usuarios conectados a la red. La información está expuesta a cualquiera que sepa cómo leerla, y para ello no es necesario tener unos conocimientos técnicos muy elevados.

Si el sistema nos pide una contraseña y aparece un candado, como “red protegida”, la información se transmite de forma cifrada. No obstante, esto está condicionado por el sistema de seguridad utilizado y la contraseña escogida. De menor a mayor seguridad, los sistemas son WEP, WPA y WPA2.

Nunca debemos conectarnos a una red WEP ya que se ha demostrado que es vulnerable y que su seguridad equivale a una red abierta (sin contraseña).

Robo de datos almacenados en nuestro equipo

Al formar parte de una red pública en la que existen otros usuarios conectados, nuestro dispositivo está expuesto y visible a los demás usuarios presentes en la misma.

Por tanto somos susceptibles de recibir cualquier tipo de ataque desde uno de estos equipos conectados.

Infección de los dispositivos.

Al conectarnos a una wifi ajena, un usuario malintencionado conectado a la misma red podría tratar de infectar nuestro equipo con algún tipo de virus.

Es importante mantener siempre nuestro equipo actualizado con las últimas actualizaciones de seguridad para el sistema operativo y para las aplicaciones que tengamos instaladas.

Equipos intermediarios malintencionados

Un usuario malintencionado conectado a la red podría configurar su equipo para hacer de intermediario de la comunicación entre nosotros y el servicio (por ejemplo, Facebook) modificando o eliminando la información intercambiada, que pasaría a través del ciberdelincuente.

El hacker “inocente”

En un momento dado,podemos sentir la tentación de conectarnos a una red ajena abierta o protegida utilizando herramientas de hacking wifi. Sin embargo, esta práctica constituye un uso ilícito de servicios de terceros que puede tener consecuencias legales. Además, puede darse el caso de que esa red wifi no presente contraseña o sea especialmente fácil de hackear precisamente para atraer víctimas a ella y así robar los datos al pícaro usuario.

Recomendaciones de seguridad

Nunca debemos utilizar redes wifi no confiables para acceder a servicios donde se intercambie información sensible: información bancaria, recursos corporativos, correo electrónico o acceso a las redes sociales.

Debemos evitar el uso de cualquier servicio en el que la información transferida tenga un componente importante de privacidad.

Nunca intercambiar información privada en redes no confiables.

Aunque podemos utilizar las redes públicas para otras acciones, como leer noticias en periódicos online o mirar la previsión del tiempo, no olvidemos que la mayor parte de los dispositivos mantienen un proceso de sincronización continua, por lo que el riesgo continúa existiendo.

Para protegernos de estos riesgos en redes donde los demás usuarios son desconocidos, contamos con una serie de medidas de seguridad que debemos aplicar:

Cortafuegos

Es muy importante tener instalado y habilitado un cortafuegos que no permita las conexiones entrantes a nuestro equipo por parte de otros usuarios de la red. Muchos sistemas operativos actuales permiten escoger el modo de funcionamiento del cortafuegos cada vez que nos conectamos a una nueva red wifi.

Configuraciones

En Windows, en “Centro de redes y recursos compartidos” encontramos dos configuraciones. ‘Pública’ es la que debemos seleccionar en las redes ajenas, y ‘Privada’ aquella a utilizar en redes de total confianza, como la de nuestra casa o la del trabajo.

Ventana donde se ve cómo configurar el tipo de red wifi a la que vamos a conectarnos

Sistema antivirus

Algunas aplicaciones antivirus pueden no solo identificar y detener software malintencionado destinado a nuestro equipo, sino también detectar y bloquear intentos de ataque a nuestro terminal.

Como siempre, es fundamental que lo mantengamos permanentemente actualizado.

Parches de seguridad

Las aplicaciones y los servicios de nuestros dispositivos pueden contener fallos de seguridad que un atacante utilizará para ganar acceso a nuestro equipo.

Las actualizaciones facilitadas periódicamente por los fabricantes de software deben ser instaladas en cuanto estén disponibles, preferiblemente de manera automática.

Desactivar la sincronización

Muchos de nuestros dispositivos realizan tareas en segundo plano sin la participación directa del usuario: sincronizaciones de agendas, calendario, descarga de correo electrónico, realización automática de copias de seguridad.

Se recomienda deshabilitar estos servicios cuando nos encontremos conectados a una red no segura. Ésta opción de habilitar o deshabilitar la sincronización en segundo plano la encontraremos generalmente en los ajustes generales de nuestro dispositivo copias de seguridad.

Desactivar el sistema wifi en los dispositivos

Cuando nos encontremos fuera del alcance de nuestras redes wifi de confianza debemos deshabilitar la opción de conectarse a este tipo de redes. Se aconseja porque un atacante puede suplantar una red wifi de nuestra lista de favoritos, forzándonos a que nos conectemos a ella de forma automática y transparente para nosotros.

Limpiar la lista de puntos de acceso memorizados

Conviene revisar la lista de puntos de acceso memorizados para eliminar aquellos esporádicos y dejar únicamente los realmente confiables.

La mayoría de nuestros dispositivos almacenan un listado de las redes a las cuales nos hemos conectado previamente, almacenando incluso las credenciales de acceso. Cada cierto intervalo de tiempo nuestra wifi intenta conectarse de forma automática a cada una de las redes almacenadas, y es posible que nos encontremos formando parte de una red inalámbrica involuntariamente.

Esto es debido a que para realizar su asociación con el punto de acceso tan solo se comprueba el nombre de la red (SSID) y el sistema de seguridad. Por ejemplo, si en el aeropuerto de Bilbao nos conectamos a una red wifi abierta llamada “Aeropuerto” y en el terminal de pasajeros de Valencia existe una red abierta con el mismo nombre, nos veremos formando parte de esa red de forma automática sin desearlo.

Para eliminar u olvidar la lista de accesos memorizados, en función de nuestro sistema operativo tenemos varias opciones:

  • Si disponemos de un dispositivo con Android:
    • Para Versión 6.0 Marshmallow: Ajustes > Wi-Fi > Posición en ACTIVO > Mantenemos presionada la Wi-Fi que deseamos eliminar > olvidar red.
    • Para Versión 7.0 Nougat: Ajustes > Conexiones > Wi-Fi > Posición en ACTIVO > Mantenemos presionada la Wi-Fi que deseamos eliminar > olvidar red.
  • Si disponemos de un dispositivo con iOS:
    • Para MAC: Preferencias de sistema > Red > Wi-Fi > Avanzado > Seleccionamos la Red > pulsamos la tecla «Menos».
    • Para iPhone y iPad: Ajustes > Wi-Fi > Darle al botón con la «i» para acceder a su configuración > Omitir esta red.
  • Si disponemos de un dispositivo con Windows:
    • Para Windows 7: Inicio > Panel de control > Red e Internet > Centro de redes y recursos compartidos > Administrar redes inalámbricas > Seleccionar la red > Eliminar.
    • Para Windows 10: Configuración > Red e Internet > Wi-Fi > Administrar configuración de Wi-Fi > Seleccionamos el nombre de la red > Dejar de recordar.

Aplica estos consejos de ciberseguridad para protegerte ante posibles amenazas

Boletín de ciberseguridad

Esta semana, el boletín de ciberseguridad de INCIBE ha informado de la detección de campañas de envío de SMS fraudulentos (smishing) que suplantan a numerosas entidades bancarias. El objetivo es dirigir a la víctima a una página web falsa que simula ser la web legítima para robar sus credenciales de acceso al servicio de banca online e información personal.

Además, el servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE atendió 69.211 consultas a través del 017 y de sus diferentes canales de contacto, durante el año 2021. El servicio continuó creciendo respecto del año 2020, incrementando el número de dudas en más del 68% (47.503 durante el ejercicio anterior) debido al auge del uso de la tecnología por usuarios, empresas y menores.

Por otro lado, INCIBE ha publicado un artículo para que todos los usuarios puedan aprender a identificar los riesgos que existen en el ciberespacio y los mecanismos de protección que tienen a su disposición para no ser víctimas de los ciberdelincuentes.

Otros contenidos: 

Para más información, consulta el boletín completo en la sala de prensa de la web de INCIBE

Qué considerar antes de aceptar una política de privacidad

Suena el timbre, respondes, y una persona representante de una gran empresa está en la puerta ofreciéndote usar un servicio gratuito, algo que sabes que sería útil y conveniente. Todo lo que esta persona te pide que hagas es marcar una casilla en un pedazo de papel y el servicio es tuyo para usarlo. Te entregan 15 páginas de ‘Términos y Condiciones’ que parecen legales y complejas y, antes de que te des cuenta, el representante ya se está yendo alegremente.

Al día siguiente, un ingeniero aparece para instalar dispositivos que monitorean: tu actividad en Internet, qué programas de televisión, películas, radio y música consumes, realizar un seguimiento de la temperatura que te gusta en tu hogar, cuándo apagas las luces, registrar a quién estás llamando y con quién te estás conectando, rastrear qué productos compras y con qué frecuencia, monitorea a dónde viajas en el automóvil e incluso abre tu correo y escanea el contenido antes de que tengas la oportunidad de leerlo tú mismo. Tu pareja se está volviendo loca por la vigilancia que se está instalando en tu hogar y se pregunta si esta invasión por el acceso a un servicio gratuito realmente vale la pena.

Si tienes al representante de ventas en tu puerta mañana, ¿marcarías la casilla de aceptar?

Leer (entre líneas)

¿Cuándo fue la última vez que leíste una política de privacidad o revisaste los permisos al instalar una aplicación o crear una cuenta para acceder a un servicio en Internet?

Si estás leyendo este artículo, entonces tal vez estés interesado en proteger tus datos personales. Pero probablemente, como yo, hayas sentido que te golpeas la cabeza contra una enorme pared de ladrillos cuando intentas que las personas que te rodean se involucren en la protección de la privacidad de su información personal, o incluso que aprecien que hay un problema sobre el cuál podrían hacer algo.

Tal vez el factor principal sea que las personas intercambian su privacidad para mantenerse conectadas con familiares y amigos. Nadie quiere sentirse desconectado; por lo tanto, participar en las redes sociales puede verse como esencial para la interacción social. La contracara, como sabemos por los muchos denunciantes e investigaciones, es la elaboración de perfiles, minería y, en muchos casos, la venta de nuestros datos personales o nuestro comportamiento general en línea para brindar a las empresas y organizaciones la oportunidad de influir en nuestras acciones o pensamientos futuros.

Sin embargo, lo que causa la falta de compromiso es, potencialmente, la complejidad y la duración de las políticas de privacidad. En muchos casos, leer esta política podría tomar más de 20 minutos e incluso entonces es posible que debas ser un experto o un abogado para comprender el lenguaje y el significado de lo que has leído. Inclusive si te encuentras en la minoría, comparativamente pequeña, de personas que leen una política de privacidad, ¿Te dicen el significado de los datos que se recopilan, en lugar de una lista de qué datos se están recopilando?

Cuando estudiaba programación en la universidad, uno de mis profesores usó un ejemplo bastante inapropiado para transmitir el punto de que los datos como lista de información pueden no tener sentido hasta que se pongan en el orden correcto. Escribió tres números en la pizarra, ordenados de menor a mayor, y preguntó a la clase con qué se relacionan los números. La clase luchó con cualquier explicación significativa. Solo cuando reordenó los números quedó claro que se relacionaban con las dimensiones de una persona. El ejercicio, aunque inapropiado, llegó al punto.

Cada pequeño dato cuenta

Cada dato personal e individual recopilado puede aparecer como pieza de intercambio aceptable para acceder a un servicio o utilizar un producto. Lo que podría cambiar una opinión, no obstante, es comprender qué información se recopila cuando se analiza de manera holística.

Imagínate si una política de privacidad estableciera el uso real de los datos personales recopilados: “Los datos recopilados se utilizarán para identificar si se encuentra en un segmento de la sociedad cuya visión política puede ser manipulada, lo que resulta en que cambie su posición de voto” o “Sus acciones en línea dan indicadores de que puede ser fácilmente manipulado para asumir más riesgos al invertir, lo que podría resultar en pérdida (o ganancia) financiera.”

El comentario que a menudo se escucha de los usuarios al ser advertidos sobre la importancia de la privacidad es: “Ya saben todo sobre mí, así que ¿Por qué debería importarme?”. No es necesariamente lo que saben de las personas lo más importante, sino que tiene que ver más con comprender lo que pueden deducir y predecir a partir de esos datos o cómo los pueden utilizar para manipular tus acciones o pensamientos. Si las personas que aceptan la recopilación de sus datos por parte de una empresa pudieran escuchar las reuniones internas del equipo de análisis de datos sobre cómo pueden utilizar esta información para generar ingresos, quedarían impactados por lo que saben de manera holística sobre el propietario de los datos.

Renunciamos a más datos de lo que creemos y, a menudo, se nos pone en la posición de acordar en que la recopilación de una sola pieza de datos probablemente esté bien. Hacemos esto potencialmente sin considerar el alcance y lo que realmente significa la recopilación general de todos los datos que aceptamos ceder en última instancia, y cómo se puede utilizar esa información.

La próxima vez, cuando entregues un pequeño fragmento de datos personales a una empresa, tómate un momento para considerar el contexto de lo que pueden saber y si este pequeño fragmento es el bit que une todo y crea un perfil completo sobre ti, que podría utilizarse de una manera que no necesariamente encontrarías aceptable o que podría no ser lo mejor para tus intereses.

Fuente welivesecurity.com/la-es/2022/04/25/que-considerar-antes-aceptar-politica-privacidad/