Cinco técnicas que usan los ciberdelincuentes para robar tus contraseñas

Una persona utiliza su ordenador y su teléfono móvil.

La contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y los datos personales y financieros del usuario, por ello son en la actualidad uno de los principales objetivos de sus prácticas criminales.

Estas claves son el talón de Aquiles de la vida digital de muchas personas, sobre todo por que hoy en día el usuario medio tiene que recordar cien credenciales de acceso, y la cifra no ha hecho más que aumentar en los últimos años.

La compañía de ciberseguridad ESET ha recopilado cuáles son las cinco técnicas mas extendidas que utilizan los cibercriminales para hacerse con las contraseñas de acceso de las personas a sus cuentas.

‘Phishing’ e ingeniería social

La técnica de ataque más utilizada aprovecha la tendencia del ser humano a tomar decisiones equivocadas, en especial cuando deciden de forma apresurada. Los ciberdelincuentes se aprovechan de estas debilidades mediante la ingeniería social, un truco de estafa psicológica diseñado para lograr que las personas hagan algo que no deberían.

El ‘phishing’ es uno de los ejemplos más famosos. En este caso, los delincuentes se hacen pasar por entidades legítimas, como amigos, familiares, empresas con las que el usuario ha entablado negocios, etc.

Estos correos electrónicos o textos parecerán auténticos, pero incluyen un enlace o un archivo adjunto malicioso que, si se pulsa, descargará ‘malware’ o llevará a una página para facilitar los datos personales.

Malware

Otra forma popular de hacerse con contraseñas es a través del ‘malware’ o programa malicioso. Los correos electrónicos de ‘phishing’ son un vector principal para este tipo de ataque, aunque también se puede ser víctima al hacer clic en un anuncio malicioso (‘malvertising’), o incluso al visitar un sitio web comprometido (‘drive-by-download’).

Como ha destacado ESET, el ‘malware’ puede incluso esconderse en una aplicación móvil de aspecto legítimo, que suele encontrarse en tiendas de aplicaciones de terceros.

Existen diversas variedades de ‘malware’ para robar información, pero algunas de las más comunes están diseñadas para registrar las teclas que el usuario pulsa en el teclado o hacer capturas de pantalla del dispositivo y enviarlas a los atacantes.

Fuerza bruta

Se calcula que el número medio de contraseñas que tiene que gestionar una persona ha aumentado un 25% interanual en 2020. Muchas personas utilizan contraseñas fáciles de recordar y las reutilizan en múltiples sitios, pero esto puede abrir la puerta a las llamadas técnicas de fuerza bruta.

Uno de los ataques más comunes es la comprobación de credenciales. En este caso, los atacantes introducen grandes volúmenes de combinaciones de nombres de usuario y contraseñas previamente robadas en un ‘software’ automatizado.

A continuación, la herramienta las prueba en un gran número de sitios, con la esperanza de encontrar una coincidencia. De este modo, los delincuentes pueden desbloquear varias cuentas con una sola contraseña.

Según una estimación, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Una de las víctimas más notables ha sido recientemente el gobierno canadiense.

Otra técnica de fuerza bruta es la prueba aleatoria de contraseñas. En este caso, los ‘hackers utilizan’ un ‘software’ automatizado para probar una lista de contraseñas de uso común contra una cuenta.

Adivinanzas

Aunque los ciberdelincuentes disponen de herramientas automatizadas para forzar la deducción de las contraseñas, a veces ni siquiera son necesarias: incluso las simples conjeturas -en contraposición al enfoque más sistemático utilizado en los ataques de fuerza bruta- pueden lograr el objetivo.

La contraseña más común de 2020 fue ‘123456’, seguida de ‘123456789’. En el cuarto puesto se encuentra la propia palabra ‘password’, contraseña en inglés.

‘Mirar por encima del hombro’

Aunque hay muchas formas de robar una contraseña de forma virtual, vale la pena recordar que siguen existiendo formas de conocer una contraseña en el mundo físico que suponen un riesgo.

Es el caso de lo que se conoce en inglés como ‘shoulder surfing’, denominado simplemente ‘mirar por encima del hombro’ en español. Esto no solo afecta al pin de la tarjeta de crédito, y ESET ha realizado experimentos que muestran la facilidad con la que puede averiguarse una contraseña de Snapchat mediante este sistema.

Medidas de protección

Para ayudar a protegerse a los internautas, ESET ha compartido una serie de recomendaciones para que los usuarios no acaben sufriendo robos de sus contraseñas.

Algunos de estos consejos son recurrentes, como utilizar solo contraseñas o frases fuertes y únicas en todas las cuentas, especialmente en las bancarias, de correo electrónico y de redes sociales. Esto incluye evitar reutilizar credenciales.

Otra recomendación pasa por activar la autenticación de dos factores (2FA) o usar un gestor de contraseñas, que almacenará contraseñas fuertes y únicas para cada sitio y cuenta. También es importante cambiar de contraseña inmediatamente si un proveedor avisa de un robo de datos.

Los usuarios deben concienciarse y utilizar únicamente sitios HTTPS para iniciar sesión, no hacer clic ni abrir adjuntos en correos electrónicos no solicitados y descargar solo aplicaciones de tiendas oficiales.

Conviene también usar un ‘software’ de ciberseguridad, utilizar siempre sistema operativos y aplicaciones actualizados, tener cuidado con posibles ‘mirones’ en espacios públicos y nunca conectarse a cuentas desde redes WiFi públicas, en las que se recomienda el uso de herramientas VPN.

Las 5 amenazas de ciberseguridad a las que se enfrenta el mundo en 2022

1. El ransomware seguirá dominando el panorama de las amenazas

Desafortunadamente, nuestra predicción de una mayor actividad de ransomware en 2021 se ha hecho realidad y el pasado año fue extremadamente activo para este tipo de malware. Solar Winds, The Colonial Pipeline, Kaseya y Brenntag son solo algunas de las grandes compañías involucradas en ataques de ransomware, que han supuesto el pago de 5,2 millones de dólares solo durante 2021, según el Tesoro de los Estados Unidos.

«El ransomware seguirá siendo el tipo de ciberdelito más lucrativo en 2022. Esperamos ver un aumento en los ataques de ransomware como servicio (RaaS) que se centrarán en la exfiltración de datos con fines de extorsión», ha señalado Dragos Gavrilut, director del Cyber Threat Intelligence Lab de Bitdefender. «Al igual que cualquier empresa, el ransomware tendrá que mantenerse constantemente al día tanto con lo que hace la competencia como los proveedores de ciberseguridad».

Bitdefender también espera un aumento del ransomware en entornos Linux que tienen como objetivo el almacenamiento o las plantillas de ESXi. Se trata del ransomware silencioso: el malware que permanece inactivo durante períodos de tiempo antes de cifrar los datos probablemente se utilizará en más ataques. La vulnerabilidad Java Log4j que recientemente ha sacudido a la comunidad de ciberseguridad debido a su omnipresencia y facilidad de explotación, ha creado una tormenta perfecta para el ransomware. Esperamos ver las consecuencias de Log4j en los próximos meses y potencialmente en los próximos años. Jen Easterly, directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), lo ha calificado como «el defecto más grave» que ha visto durante su trayectoria profesional.

En general, el ransomware como servicio se reorganizará para volverse más resistente y entrar en el ámbito de las vulnerabilidades de día cero y así maximizar su alcance.

2. Los ataques respaldados por los gobiernos tendrán un gran impacto en la sociedad

Las tensiones políticas podrían tener un gran impacto en el ámbito de la ciberseguridad a medida que los gobiernos compiten por la supremacía digital. Es probable que 2022 sea el año de los ciberataques contra la infraestructura crítica. Killware podría ser el arma elegida, ya que puede implementarse utilizando tácticas similares a las APT (amenzas persistentes avanzadas) clásicas y es eficaz contra las redes eléctricas, las plantas de agua y alcantarillado o el transporte público con un impacto inmediato en la sociedad. “Los atacantes podrían querer interrumpir no solo los servicios públicos, sino también partes de Internet en 2022″, confirma Alex «Jay» Balan, director de investigación de seguridad de Bitdefender.

Los ataques DDoS y el secuestro del Border Gateway Protocol (BGP) se dispararán, causando una disrupción masiva en las economías digitales y las telecomunicaciones. “Potencialmente veremos iniciativas de piratería en todo el mundo, especialmente contra los estados que brindan a los ciberdelincuentes un puerto seguro para los delitos digitales dirigidos a instituciones estadounidenses o europeas”, ha indicado Catalin Coșoi, chief security strategist de Bitdefender.

3. Aumentarán los ataques a la cadena de suministro y las vulnerabilidades de día cero

En 2021 los ataques a la cadena de suministro dirigidos a los proveedores de servicios administrados (MSP) fueron los más difíciles de mitigar. A diferencia de otras amenazas, los ataques a la cadena de suministro son más silenciosos, más difíciles de detener y se propagan a mayor velocidad. En 2022 los grupos profesionales de ciberdelincuentes se centrarán en atacar los MSP para infectar con ransomware al mayor número de víctimas potenciales.

Los repositorios públicos de código fuente abierto, como Pypi o NPM, también llamarán la atención de los grupos de ciberdelincuentes que buscan introducir código malicioso en productos o infraestructura con el fin de atacar a la cadena de suministro.

Además de los ataques a la cadena de suministro, Bitdefender también espera ver un aumento en el uso de exploits de día cero en ciertos ataques dirigidos. En 2021, Bitdefender detectó un aumento en las vulnerabilidades de día cero en los principales stacks tecnológicos (Chrome, Exchange, Office, Windows 10, iOS), y no se augura un futuro mejor. Tianfu Cup, la versión china de Pwn2Own fue una muestra clara de las capacidades disponibles para otros países de habla no inglesa.

Pero hay más vulnerabilidades de día cero que permitirán a los ciberdelincuentes causar daños generalizados a las empresas. Los operadores de malware adoptarán cada vez más herramientas como CobaltStrike. “Los ciberdelincuentes encuentran inspiración dentro de la comunidad: si un grupo de ciberdelincuentes alcanza la fama mediante el empleo de herramientas existentes, el resto de la comunidad hará lo mismo”, señala Radu Portase, Principal Technical Lead de Bitdefender. «El malware Emotet es un excelente ejemplo de tal comportamiento, ya que está aumentando nuevamente y utiliza con éxito CobaltStrike para acelerar la instalación de ransomware en las redes corporativas».

4. Las filtraciones de datos producirán un aumento de ataques comerciales

A medida que la información personal robada en filtraciones de datos se vuelva más accesible para los ciberdelincuentes, las campañas de spam serán mucho más específicas. Además de nombres completos y números de teléfono, se utilizará otra información expuesta como contraseñas, direcciones físicas, registros de pago u orientación sexual para crear campañas de extorsión o phishing personalizadas y convincentes.

Si bien el spear phishing, ya sea whaling, compromiso del correo electrónico empresarial (BEC) o compromiso de cuentas de correo electrónico (EAC), es cada vez más sofisticado, seguirá siendo un vector de ataque principal para las empresas y el trabajo desde entornos domésticos, predice Adrian Miron, director del Laboratorio de Filtrado de Contenido en Bitdefender.

Las estafas de 2022 probablemente capitalizarán los procesos de reclutamiento online impuestos por la pandemia. Los ciberdelincuentes comenzarán a hacerse pasar por empresas para engañar a los posibles candidatos y así infectar sus dispositivos a través de documentos adjuntos. Además, los operadores de ciberdelitos probablemente utilizarán esta oportunidad de trabajo en remoto para reclutar personas incautas que buscan empleo para actividades ilegales como el contrabando de dinero.

5. IoT, infraestructura web y mercados negros

Es probable que 2022 traiga consigo un aumento importante de los ataques a las infraestructuras en la nube, incluidos los alojados por proveedores de primer nivel. La mala configuración y la escasez de mano de obra cualificada en ciberseguridad jugarán un papel importante en las violaciones de datos y el compromiso de infraestructura, explica Catalin Cosoi, Chief Security Strategist de Bitdefender.

A medida que el mundo se prepara gradualmente para un escenario de trabajo permanente desde cualquier lugar, las empresas están haciendo un esfuerzo constante para trasladar los servicios heredados a la nube. Los ataques a la nube se intensificarán, con especial enfoque en Azure AD y Office365, donde esperamos ver un aumento en el desarrollo de herramientas, especialmente en Office365 y Azure AD.

Con el ecosistema de criptomonedas en pleno apogeo, esperamos ver un creciente interés de los ciberdelincuentes en atacar servicios de intercambio, minería, ladrones de billeteras y  estafas de criptomonedas.

La mayor interconectividad en los coches inteligentes también creará nuevas oportunidades para los ciberdelincuentes. La telemática de los vehículos se ha convertido en un motivo de preocupación en los últimos años, ya que los fabricantes intentan desarrollar servicios o monetizar la información enviada por los vehículos en la carretera. Pero el robo de datos es solo una parte del motivo de preocupación, dice Alexandru «Jay» Balan, ya que los ciberdelincuentes pueden aprovechar los vehículos conectados a Internet para facilitar el robo, obtener acceso no autorizado o incluso tomar el control remoto del automóvil y causar consecuencias potencialmente mortales.

Enlace a la noticia: https://cybersecuritynews.es/las-5-amenazas-de-ciberseguridad-a-las-que-se-enfrenta-el-mundo-en-2022/

10 costumbres a desechar en 2022 para mejorar la ciberseguridad y así evitar que la ciberdelincuencia siga con su crecimiento.

El ser humano es un animal de costumbres. Nos cuesta mucho alterar nuestra forma de actuar con según qué cosas, especialmente si llevamos haciéndolas desde hace infinidad de años. Hay un refrán que dice: «a un perro viejo no se le pueden enseñar trucos nuevos«. Bueno, esto es una falacia, sobre todo si esos trucos están relacionados con nuestra ciberseguridad. Este concepto, nuevo para muchos, se ha tornado de vital importancia en los últimos años y cada vez forma más parte intrínseca del vocabulario diario. ¿A qué se ha debido? Pues es muy sencillo: el aumento de la ciberdelincuencia. Tema ya manido hasta la saciedad, esta situación ha provocado un cambio de paradigma a nivel general, especialmente a la hora de llevar a cabo buenas prácticas en las redes. Por desgracia, seguimos cayendo en los mismos errores. 10 costumbres a desechar en 2022 para mejorar la ciberseguridad.

10 costumbres a desechar en 2022 para mejorar la ciberseguridad

Ahora bien, ¿Cómo podemos dejar atrás esas costumbres tan feas? Pues muy fácil, siguiendo una sencilla guía de cosas que no debemos hacer y que os vamos a dejar en las próximas líneas. Un decálogo que podéis imprimir y colgar en vuestra zona de trabajo/ocio particular. A fon de cuentas, la mejor forma de frenar a los ciberdelincuentes es llevar unos hábitos cibersaludables. Cuantas más puertas cerradas se encuentren, menos veces podrán entrar. Dicho esto, vamos a empezar por el primero de todos, y uno muy habitual.

Utilizar software obsoleto

Uno de los errores más comunes que cometemos es contar en nuestro sistema con software obsoleto. Bien porque han salido nuevos programas, o porque la versión del último producto no ha sido actualizada, solemos dejar estas cosas olvidadas.  Luego vienen los problemas en forma de, por ejemplo, las vulnerabilidades. Todo software que se precie cuenta con fallos en su código que los ciberdelincuentes pueden explotar en cualquier momento. Las actualizaciones de firmware sirven para «tapar esos agujeros» lo mejor posible y evitar que puedan ser usados en perjuicio de sus usuarios. Así pues, nunca está de más comprobar si tenemos el último firmware instalado; en caso contrario, lo tenemos que actualizar en el acto, especialmente si aún contamos con la versión 1.0 y el producto va ya por la 10.0…

Tener una mala higiene de contraseñas

Otra mala costumbre muy común, y que sigue causando problemas año sí y año también, son las contraseñas débiles. No nos cansaremos jamás de repetirlo, pero 1234567890 no es una contraseña segura; nuestro nombre, el de nuestra pareja o el de nuestra mascota tampoco lo es. Tampoco es seguro estar con la misma contraseña durante años; a fin de cuentas, toda contraseña puede ser descubierta en cualquier momento. Su nivel de seguridad ha ido cayendo con el tiempo, sobre todo por nuestras malas prácticas. ¿Qué se recomienda entonces para solventar este problema? Pues muy sencillo. Cambiar de contraseña cada cierto tiempo (un mes, dos meses), hacer uso de contraseñas que incluyan letras, números y símbolos que no sean excesivamente largas. 10 costumbres a desechar en 2022 para mejorar la ciberseguridad.

Conectarse a Wi-Fi público

El Wi-Fi público, el cual podemos encontrar en centros comerciales y otras zonas, permite a los usuarios de smartphone no tener que usar los datos móviles. Pero claro, no todas las redes Wi-Fi públicas cuentan la seguridad que deberían. Los ciberdelincuentes, que se las saben todas, pueden andar cercar y crear una cuenta Wi-Fi alternativa con el mismo nombre para que los usuarios se conecten. ¿Qué pasaría si un usuario se conectara a una red Wi-Fi de dudosa procedencia? Uno de los problemas más repetidos es el hackeo del terminal para acceder a apps, datos del usuario, etc. ¿Se recomienda, por ende, no conectarse a este tipo de redes? No, lo que se recomienda es precaución, y si dudamos mejor hace uso de los datos móviles cuando sea necesario.

No pensarlo dos veces antes de hacer clic

Una de las prácticas preferidas de los ciberdelincuentes es el phishing y el smishing. El Phishing, como bien sabemos, es la práctica por la cual el ciberdelincuente intenta acceder a nuestro sistema a través de un e-mail con malware adjunto. En cuanto al Smishing, hablamos del envío de SMS con enlaces a páginas web fraudulentas. A pesar del uso abusivo que se hacen de estas ciberestafas, los usuarios sieguen cayendo en la trampa, sobre todo cuando se uso de cebo a bancos, empresas de mensajería, etc. El cliente, asustado ante el mensaje recibido o el paquete bloqueado, no duda en descargar el archivo adjunto o pinchar en el enlace. Una vez hemos caído en la trampa, los problemas sufridos pueden ser muy variados: hackeo del dispositivo infectado, robo de información, toma de control del sistema…

No usar seguridad en todos los dispositivos

Todo dispositivo que se precie, sobre todo si está conectado a internet, es susceptible de ser hackeado. Cuando decimos todos, es todos. Hace tiempo nos hablaron de un caso digno de estudio; una compañía fue ciberatacada a través de una pecera instalada en el hall. Esa pecera contaba con un sistema automatizado de limpieza y, lógicamente, estaba conectada a la red. Gracias a esto, los ciberdelincuentes pudieron entrar en el sistema de la compañía, vulnerar sus defensas y causar estragos. Parece una broma, pero no lo es. Esto pone de manifiesto la necesidad de proteger todos y cada uno de los dispositivos que usamos, especialmente: smartphones, PC’s, tablets, sistemas de domótica, etc. Cualquiera vale para que el ciberdelincuente pueda causar un daño irreparable. 10 costumbres a desechar en 2022 para mejorar la ciberseguridad

Utilizar sitios web inseguros

En internet hay cientos de millones de páginas web, y entre ellas un número enorme de páginas maliciosas que solo buscan causar problemas. Para que los usuarios piquen, esas páginas web suelen ofrecer premios por ser el usuario número X, descuentos en productos de alta gama, etc. Por desgracia, debido a la falta de información, son muchas las personas que caen en estas estafas solo por no pensárselo dos veces. Nadie da duros a pesetas, y menos si hablamos de dispositivos que valen cientos o unos pocos miles de euros. Por eso debemos pensar antes de entrar en una web, sobre todo si no tenemos clara su procedencia. Hay muchos casos de gente estafada por culpa de estas webs, y está en nuestras manos ponerle solución.

Compartir el trabajo y la vida personal

Cada vez es más complicado separar la vida laboral de la vida privada por culpa de los dispositivos. Muchos usamos los smartphones para todo: tenemos contactos de familiares y amigos, pero también de compañeros de trabajo o clientes. Este error se repite más y más, y no tenemos en cuenta que el dispositivo que usamos para todo podría no contar con las medidas de seguridad necesarias. Si nuestro smartphone u ordenador personal es hackeado, y en ellos tenemos todo lo mencionado con anterioridad, el problema al que nos enfrentamos es de una gravedad extrema. Se trata de una situación que, por desgracia, se repite cada vez más en muchos ámbitos ya que vivimos conectados las 24 horas. Nos cuesta desconectar, especialmente en trabajos que requieren mucha atención.

Dar información por teléfono

Las estafas telefónicas siguen estando a la orden del día. Los ciberdelincuentes usan cualquier medio que esté a su alcance para conseguir información de las víctimas. Esto no es nuevo, pero nunca está de más recordar que jamás debemos dar información por teléfono: cuentas de correo electrónico, si tenemos perfiles en redes sociales, a qué nos dedicamos, etc. Quizás sea algo innecesario decirlo, pero tampoco debemos proporcionar contraseñas si nos las piden. Cuanta menos información facilitemos, especialmente si sospechamos de las intenciones del que está al otro lado del apartado, mejor para nosotros. Esto mismo es algo que podemos extrapolar a otros ámbitos, como las redes sociales por ejemplo y donde la Ingeniería Social está muy activa.

No realizar backups

¿Puede un ciberataque borrar todos y cada uno de los datos almacenados en un sistema o servidor? Sí, puede. Es más, uno de los movimientos favoritos de los ciberdelicuentes si una empresa no paga el rescate es borrar los datos; el otro es publicarlo en la red de redes. Este movimiento puede suponer un enorme quebradero de cabeza, especialmente si no posee un backup. No contar con una copia de seguridad de los servidores, por ejemplo, es algo que suele ser bastante común por desgracia. No hablamos ya solo a nivel empresarial, sino también a nivel de usuario. En nuestro dispositivo guardamos fotos, documentos, audios, vídeos y litros contenidos que pueden ser borrados por los ciberdelincuentes. Para evitar perderlos para siempre, lo mejor es realizar un backup y protegerlo en la nube, o un dispositivo externo tipo Memoria USB o HDD.

No proteger su hogar inteligente

La conexión total a internet es algo que ha llegado incluso a los hogares. La domótica, gracias al avance de la tecnología, ha dado un paso gigantesco y cada vez son más los hogares que cuentan con dispositivos capaces de controlar ciertos aparatos. Ahí tenemos a Echo Dot de Amazon, que nos permite encender/apagar la televisión, el aire acondicionado, la luz de diferentes cuartos y más. Estos dispositivos están conectados a internet, por lo que el riesgo de ser ciberatacados a través de ello es bastante elevado. Ya hay casos en los que un ciberdelincuente se vale de las vulnerabilidades de un software para entrar en nuestra casa. Como es evidente, esto nos obliga a extremar las precauciones mientras los estamos usando y protegernos como es debido.

Previene un ataque de Phishing

Como ya sabréis, el phishing es una técnica que consiste en engañar al usuario para robarle información confidencial, claves de acceso, etc., haciéndole creer que está en un sitio de total confianza.

Hasta ahora los hackers han utilizado los correos electrónicos para lanzar este tipo de ataques, pero con el uso masivo de redes sociales y smartphones con conexión a Internet, las vías de ataque se están multiplicando.

Estos correos electrónicos o mensajes incluyen un enlace que lleva al usuario a un sitio web en teoría conocido, pero que es una copia del original donde se solicita información confidencial.

De esta manera, usuarios demasiado confiados y que no dispongan de una protección antivirus adecuada, podrían verse involucrados en este tipo de ataques que tienen como principal objetivo el robo de datos personales.

Con la crisis económica, han proliferando ataques de phishing que tienen como gancho la promesa de un gran empleo o una vía sencilla de conseguir dinero.

La pregunta es…¿Cómo podemos prevenir este tipo de ataques de phishing?

10 consejos para prevenir ataques de phishing

1. APRENDE A IDENTIFICAR CLARAMENTE LOS CORREOS ELECTRÓNICOS SOSPECHOSOS DE SER PHISHING

Existen algunos aspectos que inequívocamente, identifican este tipo de ataques a través de correo electrónico:

  • Utilizan nombres y adoptan la imagen de empresas reales
  • Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa
  • Incluyen webs que visualmente son iguales a las de empresas reales
  • Como gancho utilizan regalos o la perdida de la propia cuenta existente
2. VERIFICA LA FUENTE DE INFORMACIÓN DE TUS CORREOS ENTRANTES

Tu banco nunca te pedirá que le envíes tus claves o datos personales por correo. Nunca respondas a este tipo de preguntas y si tienes una mínima duda, llama directamente a tu banco para aclararlo.

3. NUNCA ENTRES EN LA WEB DE TU BANCO PULSANDO EN LINKS INCLUIDOS EN CORREOS ELECTRÓNICOS

No hagas clic en los hipervínculos o enlaces que te adjunten en el correo, ya que de forma oculta te podrían dirigir a una web fraudulenta.

Teclea directamente la dirección web en tu navegador o utiliza marcadores/favoritos si quieres ir más rápido.

4. REFUERZA LA SEGURIDAD DE TU ORDENADOR

El sentido común y la prudencia es tan indispensable como mantener tu equipo protegido con un buen antivirus que bloquee este tipo de ataques. Además, siempre debes tener actualizado tu sistema operativo y navegadores web.

5. INTRODUCE TUS DATOS CONFIDENCIALES ÚNICAMENTE EN WEBS SEGURAS

Las webs seguras han de empezar por ‘https://’ y debe aparecer en tu navegador el icono de un pequeño candado cerrado.

6. REVISA PERIÓDICAMENTE TUS CUENTAS

Nunca está de más revisar tus cuentas bancarias de forma periódica, para estar al tanto de cualquier irregularidad en tus transacciones online.

7. NO SÓLO DE BANCA ONLINE VIVE EL PHISHING

La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular del momento como gancho para robar datos personales: eBay, Facebook, Pay Pal, etc.

8. EL PHISHING SABE IDIOMAS

El phishing no conoce fronteras y pueden llegarte ataques en cualquier idioma. Por norma general están mal escritos o traducidos, así que este puede ser otro indicador de que algo no va bien.

Si nunca entras a la web en inglés de tu banco, ¿Por qué ahora debe llegarte un comunicado suyo en este idioma?

9. ANTE LA MÍNIMA DUDA SE PRUDENTE Y NO TE ARRIESGUES

La mejor forma de acertar siempre es rechazar de forma sistemática cualquier correo electrónico o comunicado que incida en que facilites datos confidenciales.

Elimina este tipo de correos y llama a tu entidad bancaria para aclarar cualquier duda.

10. INFÓRMATE PERIÓDICAMENTE SOBRE LA EVOLUCIÓN DEL MALWARE

Enlace a la noticia: https://www.pandasecurity.com/es/mediacenter/consejos/10-consejos-para-evitar-ataques-de-phishing/

8 CONSEJOS PARA UTILIZAR INTERNET DE MANERA SEGURA

Internet ocupa un lugar muy importante en nuestras vidas. Ya lo hacía antes de la pandemia, pero desde el inicio de esta su presencia ha ganado terreno porque nos hemos visto forzados a utilizarla para realizar actividades que hasta ese momento hacíamos presencialmente.

La utilizamos en nuestro a día a día para trabajar, jugar, comprar, estudiar, hacer transacciones bancarias, hablar con amigos y familiares, etc. Podríamos decir que gran parte de nuestra vida está en Internet y, por este motivo, navegar de manera segura es fundamental si queremos mantener nuestra privacidad y datos personales a salvo de terceros no invitados.

Hoy, en el día de la Internet segura, queremos recordarte unos consejos que te ayudarán a mantener a salvo tu vida online de los ciberdelincuentes.

Consejos para todos

  • Antivirus avanzado y actualizado

Es lo primero que debes instalar en todos tus dispositivos para ganar en seguridad mientras navegas. Hay muchos tipos de soluciones de ciberseguridad, por lo que dependiendo del uso que hagas, es aconsejable uno u otro. El primer paso, por tanto, es decidir qué antivirus instalar, siendo lo más aconsejable uno avanzado que sepa hacer frente a las nuevas amenazas que van surgiendo. Lo segundo que debemos tener muy presente es actualizar el antivirus, ya que si no se actualiza pierde eficacia. En el mercado hay antivirus que se actualizan sin afectar al rendimiento de tu dispositivo, por lo que no hay excusas para no instalarlos.

  • VPN para reforzar tu seguridad

Si bien es cierto que este tipo de conexión privada se asocia más a las empresas, especialmente con el aumento del teletrabajo en los últimos meses, cada vez es más popular entre los usuarios particulares gracias a sus múltiples usos y sus muchas ventajas.

A grandes rasgos, cuando nos conectamos a Internet desde el ordenador, tablet o móvil lo hacemos a través de un router o módem y normalmente hay varios dispositivos conectados a este, formando lo que denominamos una red local. Sin embargo, la conexión VPN permite crear una red local sin necesidad de que los dispositivos estén físicamente conectados entre sí, sino a través de Internet. Es, como indica su nombre, una red privada virtual (Virtual Private Network).

Como decíamos, una VPN tiene muchas utilidades, pero la que más nos interesa por el tema que estamos tratando en este artículo es la capa extra de seguridad que te proporciona mientras navegas por Internet. Esto es así porque con la conexión VPN la información viaja cifrada. Así que es un complemento perfecto al antivirus para ponerle las cosas más difíciles a los ciberdelincuentes.

  • Compras online seguras

Comprar por Internet ya no es algo que se haga esporádicamente, pues la gran mayoría de usuarios compra muy a menudo y toda clase de artículos. A la hora de comprar hay que tener en cuenta si la web a la que accedemos es de confianza o si ya se ha comprado allí antes. Ver los comentarios de otros compradores en esa web o en redes sociales es muy útil para saber el nivel de confianza que puedes tener y comprobar si esa página web está adscrita a algún tipo de certificado de calidad.

También es aconsejable buscar tiendas online cuya dirección empiece por HTTPS y muestren un candado en la barra de direcciones, aunque estos certificados solo garantizan que la conexión con esa web se realiza de forma cifrada, no que la web sea segura. También podemos revisar la información que proporciona: quiénes son, dónde tienen domicilio fiscal, qué datos recopilan de los usuarios y con qué fin, formas de pago que permiten o la política de envío y devolución.

  • Juegos en línea

Nunca proporciones ningún tipo de información personal y asegúrate de que los nombres de usuario y las contraseñas son diferentes en los distintos juegos y plataformas de juego. Por otro lado, también puedes mejorar el nivel de seguridad de tus cuentas de acceso a juegos online añadiendo un doble factor de autenticación, por lo que no dejes la preconfiguración por defecto y, por supuesto, cuenta con un antivirus avanzado y solo juega o descarga juegos en webs oficiales.

  • Webcam

Para ayudar a reducir el riesgo de que tu webcam pueda ser hackeada, asegúrate de analizar el sistema en busca de malware con regularidad y comprueba que el ajuste predeterminado de tu webcam es la opción de apagado. Tu solución de seguridad también puede avisarte cuando una aplicación está intentando acceder a la webcam para que le otorgues o deniegues el permiso. Y, por supuesto, cuando no la estás utilizando algo muy fácil y barato que puedes hacer es taparla con una simple pegatina.

  • Webs fraudulentas

A diario visitamos muchas clases de webs: para informarnos, para comprar, por ocio, para estudiar… Y es importante saber si son de confianza. El primer paso es leer todos los permisos que otorgamos al clicar en aceptar, ya que muy a menudo aceptamos sin saber muy bien lo que se nos pregunta. En segundo lugar, hay que tener especial cuidado y pasar un tiempo investigando en caso de que se vaya a realizar alguna compra en webs donde nunca se ha comprado antes, ya que los fraudes en compras online están a la orden del día. Algunos de los puntos que se deben tener en cuenta antes de realizar la compra y facilitar tus datos es revisar el precio del producto, ya que nadie da “euros por céntimos”. También hay que comprobar la información legal de la empresa como el domicilio social, el CIF, condiciones de venta, devolución, reclamación, etc., así como asegurarnos de que tiene certificado de calidad e incluso observar el aspecto de la tienda online. También podemos obtener mucha información de los comentarios de otros usuarios.

Siguiendo con los consejos, centramos ahora nuestra atención en una de las actividades que más infecciones por malware provoca: las descargas online en webs piratas y páginas de descarga. Cuando descargamos información, del tipo que sea, en una web pirata o páginas de descarga nos arriesgamos a dejar entrar en nuestro dispositivo una gran cantidad de virus, troyanos, gusanos, etc., que pueden dañar nuestro ordenador, móvil, tablet y demás dispositivos, acceder a información privada, que nos inunden con publicidad no deseada, etc. Así que antes de hacerlo, piénsalo dos veces.

  • Redes wifi

Conectarse a una red wifi pública puede ser una idea que nos atraiga, pero antes de que las utilices te dejamos algunos consejos:

  1. Tener instalado un antivirus avanzado independientemente de si estás accediendo con un ordenador, una tablet o un móvil.
  2. Tener activado el doble factor de autenticación para evitar accesos no deseados a tus cuentas tras un robo o filtración de credenciales.
  3. Tener actualizados todos los programas instalados.
  4. Realizar la conexión a través de una VPN.
  5. Configurar correctamente las opciones de conectividad del dispositivo, especialmente para evitar que se conecte automáticamente a las redes wifis abiertas.

¿Qué pasa con nuestra red wifi?

También es importante configurar la red wifi de nuestro hogar para que sea lo más segura posible:

  1. Cambia la clave de acceso que viene por defecto para acceder al panel de administración y para acceder a la propia red Wifi.
  2. Cambiar el nombre de la red.
  3. Cambiar las credenciales de acceso por defecto al router.
  4. Configurar red wifi con cifrado WPA2.
  5. Filtrar las direcciones MAC. Básicamente se trata de dar acceso a la red a quienes nosotros queremos. El MAC es como nuestro DNI para los dispositivos. La dirección MAC de un ordenador Windows se puede obtener introduciendo en la consola de MS-DOS el comando ipconfig/all, llamado dirección física. ¿Cómo accedo a la consola MSDOS? Lo puedes buscar en el menú de inicio. Si tu sistema operativo es macOS puedes acceder desde “utilidades de red”. Si es móvil Android la ruta a seguir sería: Menú – Ajustes Sistema – Información del Teléfono – Estado – Dirección Mac de la red Wi-Fiy si es Iphone: Ajustes- General – Información – ver el apartado “Dirección wifi”.
  6. Desactivar WPS porque es una forma de conexión que podría ser utilizada por los ciberdelincuentes.
  7. Analizar con el antivirus tu router.
  • Email

El correo electrónico continúa siendo el medio de ataque favorito por parte de los ciberdelincuentes. Nuestra bandeja de entrada, además del tradicional spam con cientos de emails con publicidad que no hemos solicitado, puede ser una puerta de entrada de amenazas cada vez más sofisticadas. Por este motivo, ante cualquier duda es mejor no abrirlo y mucho menos clicar sobre enlaces o descargar documentos. Hay que tener precaución, especialmente con las técnicas de suplantación de identidad, conocidas como phishing, que ha aumentado mucho desde el inicio de la pandemia. Un ejemplo es la imagen de la empresa pública Correos, que ha visto en varias ocasiones suplantada su identidad por parte de los ciberdelincuentes, al igual que varias empresas de mensajería, aprovechando el incremento de compras por Internet.

Conclusión

Internet ha demostrado ser una herramienta útil e imprescindible en nuestras vidas, especialmente en estos momentos, por lo que para disfrutarla plenamente y de manera segura solo hay que seguir unos cuantos consejos que nos permitirán estar a salvo de los ciberdelincuentes, los cuales siempre están buscando usuarios confiados para sacar beneficio

Enlace a la noticia: https://blogs.protegerse.com/2021/02/09/8-consejos-para-utilizar-internet-de-manera-segura/

Consejos para evitar caer en la trampa del Phishing

  1. Aprender a identificar los correos electrónicos sospechosos
    Existen algunos aspectos que inequivocamente identifican a los correos falsos:
    – Utilizan nombres y adoptan la imagen de empresas reales.
    – Llevan como remitente el nombre de la empresa o el de un empleado real de la empresa.
    – Incluyen webs que visualmente son iguales a las de empresas reales
    – Como “gancho” usan regalos, avisos de cuentas bloqueadas o reseteo de claves
  2. Verifica la fuente de del correo electrónico
    – Tu banco nunca te pedirá que le envíes claves o datos personales vía correo electrónico. Nunca contestes este tipo de correos. Ante la menor duda, consulta telefónicamente con la mesa de ayuda del banco.
  3. Nunca entres en la web de tu banco usando un vínculo que te llegue por correo electrónico
    – Nunca hagas click en un vínculo que te llegue por correo electrónico, ya que de forma oculta puede llevarte a un sitio web fraudulento.
    – Simpre es mejor escribir la dirección web o utilizar las direcciones guardadas en tus favoritos.
  4. Verifica de ingresar en sitios seguros
    Las webs seguras empiezan con ‘https://’ y debe aparecer en tu navegador el icono de un pequeño candado cerrado.
  5. Verificar el resto de las cuentas online, no solo los bancos
    La mayor parte de ataques de phishing van contra entidades bancarias, pero en realidad pueden utilizar cualquier otra web popular del momento como gancho para robar datos personales: Facebook, Twitter, Pay Pal, etc.
  6. Prestar atención a correos que llegan en otro idioma
    Muchas veces los correos llegan traducidos al español mediante traductores o en otro idioma cuando el sitio es local. Por ejemplo, si llega un correo del banco de tu cuenta de Argentina, el correo nunca llegará en inglés.
  7. Ante la menor duda, no te arriesgues
    Si tienes dudas de la veracidad de un correo no hagas nada y consulta a alguien de soporte (nosotros por ejemplo), así se puede analizar el correo y confirmar si es un correo falso.

Siempre tened en cuenta en seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Fuente: http://www.pandasecurity.com/spain/mediacenter/consejos/10-consejos-para-evitar-ataques-de-phishing/

CONSEJOS PARA HACER TUS COMPRAS ONLINE DE FORMA SEGURA

Ahora que se acercan las fechas con más consumo de comercio online del año, empezando hoy mismo con el “Día del soltero” y continuando en breve con el Black Friday y las compras navideñas, es bueno recordar la necesidad de realizar estas compras con cabeza y pensando no solo en encontrar las mejores ofertas, sino también en evitar las múltiples estafas y amenazas que se aprovechan de la ocasión para conseguir nuevas víctimas.

Preparándonos para cazar ofertas

Antes de que lleguen las fechas con los mayores descuentos es importante estar preparado para no perder tiempo mientras buscamos ese artículo deseado y evitar que los delincuentes se aprovechen de nuestra impaciencia. Por ese motivo es muy recomendable hacer una lista con lo que se pretende comprar a un precio rebajado y evitar caer en la tentación de comprar cualquier cosa que no necesitamos solo por estar rebajada.

Además, sería conveniente anotar los precios que han tenido y tienen actualmente los artículos que nos interesan para ver si realmente se ha producido algún descuento o se trata de precios habituales camuflados como ofertas. Así nos evitamos comprar por impulso algo que podemos encontrar de oferta en otros periodos con menor actividad comercial.

Una vez decidido lo que vamos a comprar y revisado el precio medio que ha tenido durante las últimas semanas o meses, es hora de comprobar que los dispositivos que vamos a utilizar para realizar estas compras están debidamente actualizados y protegidos.

Independientemente de si utilizamos nuestro ordenador o nuestro móvil para realizar estas compras online, es importante que nuestros dispositivos se encuentren actualizados con la última versión disponible del sistema operativo y aplicaciones que utilicemos, haciendo un especial hincapié en los navegadores de Internet y apps de tiendas online.

Por último, no debemos olvidar realizar nuestras compras desde una conexión segura, y aunque este punto haya perdido relevancia en los últimos años debido al uso de conexiones móviles y la implementación de protocolos de comunicación seguros en la mayoría de webs, nunca está de más recordar que no es buena idea realizar pagos desde una red WiFi pública.

Buscando las gangas

Una vez tenemos claro todo lo mencionado en el punto anterior, es cuando debemos proceder a buscar aquellas ofertas más interesantes. Sin embargo, no nos vale cualquier oferta, ya que los delincuentes saben que habrá muchos usuarios que estarán buscándolas y preparan todo tipo de cebos y trampas para conseguir nuevas víctimas.

Por ese motivo, es importante acudir solamente a tiendas online de confianza, teniendo en cuenta que, además de los gigantes del comercio electrónico presentes en nuestro país, también existen tiendas y asociaciones de comerciantes locales que disponen de webs y que también realizan ofertas durante estas fechas.

Es posible que durante esta búsqueda de ofertas nos encontremos con alguna sospechosamente buena. Precisamente de estas ofertas demasiado buenas es de las que más debemos desconfiar, puesto que en la mayoría de las ocasiones se tratará de trampas preparadas por los delincuentes para robarnos los datos de nuestra tarjeta de crédito.

Además, debemos tener en cuenta que estas webs fraudulentas pueden estar bien hechas y llegar a suplantar de forma casi perfecta a una web legítima, por lo que es importante que nos fijemos en varios detalles como los precios sospechosamente baratos de los artículos o la fecha en la que se creó la web. Tampoco debemos olvidar que el conocido como “candado de seguridad” no sirve para comprobar si una web es legítima, ya que lo único que certifica es que la comunicación con esa web desde nuestro dispositivo se realizará mediante un canal cifrado.

Por último, las campañas de phishing suelen intensificarse cuando llegan estas fechas de ofertas y durante las rebajas, por lo que no es extraño que recibamos emails, mensajes SMS o a través de WhatsApp alertándonos de gangas irresistibles, cupones descuento o premios a los más rápidos.

Antes de pulsar sobre el enlace que contienen esos mensajes conviene detenerse a pensar si una oferta o promoción así es posible y, en caso de querer obtener más información, acudir a la web oficial del establecimiento, ya que, de lo contrario, podremos encontrarnos con un robo de credenciales o de datos relacionados con nuestros métodos de pago.

Revisando los pagos

Una vez hemos hecho las compras pertinentes aprovechando los descuentos de estas fechas, es importante que dediquemos tiempo a comprobar que se nos han cobrado las cantidades correctas. Esto nos ayudará a detectar posibles fraudes y cargos sospechosos en nuestras cuentas y a bloquear a tiempo nuestras tarjetas de crédito o cuentas bancarias antes de que los delincuentes consigan robarnos más dinero.

Por ese motivo conviene tener un registro de las compras que realizamos y las cantidades pagadas a cada establecimiento e ir revisándolo periódicamente junto con los cargos en la forma de pago seleccionada.

En caso de encontrarnos con algún cargo no autorizado, es importante que nos comuniquemos cuanto antes con la empresa o entidad bancaria que nos proporciona el método de pago para alertar de esta incidencia. Es posible que nos recomienden la realización de una denuncia ante la Policía para empezar una posible investigación.

Tampoco debemos olvidar cambiar las contraseñas y añadir capas adicionales de seguridad como el doble factor de autenticación en el caso de haber sido víctima (o sospecharlo) de un robo de dinero desde nuestra cuenta bancaria o desde una tarjeta de crédito. Así limitaremos las posibilidades de que volvamos a ser víctimas y tendremos el acceso a nuestras cuentas bancarias y tarjetas de crédito más protegido.

Conclusión

A pesar de que todos los años se recuerdan este tipo de consejos y de que las amenazas dirigidas a los consumidores (aun habiendo evolucionado) siguen basándose en técnicas sobradamente conocidas, son muchos los usuarios que siguen cayendo en las trampas preparadas por los delincuentes. Por ese motivo es importante recordar estos consejos y contar con una solución de seguridad que sea capaz de detectar webs fraudulentas y amenazas dirigidas a robarnos los datos de nuestra tarjeta de crédito o el acceso a nuestra cuenta bancaria.

Enlace a la noticia: https://blogs.protegerse.com/2021/11/11/consejos-para-hacer-tus-compras-online-de-forma-segura/

Mucho cuidado con las Compras Navideñas y el Black Friday… te pueden salir muy caras! #NoPiques

Estafas a través del correo electrónico: cómo identificarlas con un  divertido test de Google - Buena Vibra

Durante esta semana vamos a recibir multitud de correos intentando engañarnos para robar nuestros datos personales, bancarios y/o infectar nuestros dispositivos con Malwares.

Desde OnNet Security, hoy os vamos a dar unos pequeños consejos para evitar ser victima de estas estafas:

  • Presta atención a la web donde estés realizando tu compra. Comprueba que sea segura HTTPS
  • Si recibes un SMS con un enlace, NUNCA hagas clic en el. 
  • Tu banco nunca te pedirá datos personales! 
  • Si recibes un email con una dirección de remitente dudosa o rara, NUNCA RESPONDAS. 

Y siempre siempre si tienes dudas… pregunta a gente de tu alrededor que conozcan o que sepan cómo comprar en Internet. 

También puedes llamar a tu entidad bancaria, o contactar con la página web, antes de realizar tu compra. 

Estafa por SMS o smishing: qué es, riesgos, ejemplos y cómo evitarla – LISA  Institute
Estafa por SMS o smishing: qué es, riesgos, ejemplos y cómo evitarla – LISA  Institute

Descárgate nuestra APP de OnNet Security y mantente informad@ de todas las noticias de Ciberseguridad.

Con OnNet Security te protegemos a ti y a tu negocio‼️Por tan solo 6€ PC/mes + IVA tendrás tus equipo totalmente SEGUROS y PROTEGIDOS! 

FAKE NEWS Y BULOS EN LA RED

Fake news y bulos en la Red

Protege a los menores enseñándoles a detectar fake news y bulos en la Red.

Qué es

Las noticias falsas o bulos en Internet son un concepto cada vez más habitual en todos los contextos, también aquellos que afectan a niños, niñas y adolescentes. Se refieren a cualquier tipo de información imprecisa, descontextualizada o directamente falsa, que alguien difunde de manera intencionada para manipular la opinión o simplemente para obtener algún tipo de beneficio. No es algo nuevo, siempre han existido falsos mitos sobre la alimentación, la salud, etc,. solo que a través de Internet se difunden más rápido y pueden llegar a más personas.

Los menores reciben, buscan y comparten información en Internet, en ocasiones sin reflexionar lo suficiente. En consecuencia, pueden acceder a contenidos negativos disfrazados como información real. Esto se conoce como fake news y pueden llegar hasta los menores a través de las publicaciones en sus redes sociales con mensajes privados, chats de grupo, vídeos, foros, etc. ya que son sus canales preferidos para recibir información. Estos contenidos falsos se distinguen teniendo en cuenta su grado de falsedad y engaño deliberado:

  • Imprecisos, con escasa calidad informacional, pero que se pueden malinterpretar.
  • Descontextualizados o sesgados con intención de influir en la opinión.
  • Fabricados intencionalmente con el fin de engañar y manipular.

Hay que destacar que las parodias no se consideran noticias falsas ya que su principal intención es la imitación humorística o burlesca de un hecho o de una situación real, sin intención de engañar o manipular al público al que están dirigidas. En todo caso, siempre deben estar identificadas como tales. Ejemplos habituales son los memes, las cuentas de parodias en redes sociales, o artículos en medios humorísticos o satíricos.

Por último, las fake news están evolucionando de forma rápida hacia contenidos más difíciles de detectar debido a su mayor realismo, como es el caso de los deepfakes, videomontajes hiperrealistas que manipulan el mensaje o la acción de una persona.

  • En situación
  • Cómo afectan las noticias falsas a los menores
  • Cómo identificar noticias falsas
Fake News y bulos en la Red

Prevención

   Según la Fundación de Ayuda contra la Drogadicción (FAD), solo un 22,5% de las personas menores de edad entre 14 y 16 años reconoce haber recibido formación para comprender y detectar si una noticia es real o no, gracias al fomento del pensamiento crítico y de una opinión propia.

La mejor forma de enseñar a los menores a detectar estos contenidos falsos es fomentar el pensamiento crítico y la lectura de contenidos adecuados a su madurez, con el objetivo de que los menores puedan llegar a ser autónomos, diferenciando entre un bulo y una noticia real.

  • Comenzar desde edades tempranas. Al acompañarlos en el proceso de aprendizaje digital, es esencial aprovechar oportunidades reales para analizar juntos las posibles noticias falsas que aparezcan en sus redes sociales o en una página web.
  • No todo lo que aparece publicado en Internet es cierto.Muchos contenidos se crean para generar algún tipo de beneficio, económico o ideológico. Por tanto, deben aprender a localizar fuentes seguras y fiables de información.
  • Acostumbrarse a encontrar y utilizar fuentes de información fiables. En su día a día, por ejemplo, al realizar tareas de clase, pueden incluir citas y referencias en sus trabajos escolares.
  • Aprender a valorar diferentes puntos de vista. Fomentar valores sociales positivos como la asertividad, la empatía y la tolerancia, promoviendo el respeto frente a otros colectivos de personas, es clave para que el menor reaccione ante las fake news de manera crítica, reflexiva y prudente.
  • Practicar la paciencia y evitar la impulsividad. Los bulos crean en el usuario/a la sensación de que es imprescindible compartir la información rápidamente, para así llegar a muchas personas. Por eso es fundamental promover el análisis de la noticia, contrastar los hechos que presenta y verificar las fuentes.

Cómo reaccionar ante una posible noticia falsa

  1. Transmitir calma y prudencia. Los menores deben aprender a actuar en Internet, como en la vida real, de forma reflexiva y cauta. Merece la pena dedicar unos minutos a analizar la información antes de confiar en un contenido.
  2. Contrastar la información.Comprobaremos la veracidad de la noticia, observando si está publicada en sitios de reconocido prestigio informativo, y desconfiando de aquellos medios que parezcan poco profesionales. Podemos apoyarnos en páginas web especializadas en verificación de información (fact-checking), como la Oficina de Seguridad del InternautaMaldita.esEFE verificaAFP factualIFCN o Snopes, entre otros.
  3. No compartir las noticias falsas.Es recomendable eliminarla del dispositivo y evitar su difusión descontrolada. Rompiendo la cadena estamos impidiendo que otras personas reciban la información.
  4. Reportar la noticia falsa. Las redes sociales y muchas páginas web ya ofrecen la opción de denuncia de estos contenidos desde la propia publicación. También podemos contactar con los administradores de la web, o con entidades especializadas en verificación de información, como algunas de las anteriormente mencionadas, para avisar del riesgo de difusión.
  5. Informar a nuestros contactos. Tanto la persona que la ha enviado, como las personas receptoras de la misma, agradecerán saber que se trata de un contenido falso. Podemos indicarles las características o motivos que nos han permitido reconocer la noticia falsa o bulo.
  6. Pedir ayuda a una persona adulta de confianza. A menudo, las temáticas y razonamientos que se esconden detrás de las fake news pueden resultar demasiado complejas y escapar a la comprensión de los menores. Crea un entorno cotidiano seguro para hablar de estos temas en familia.

Enlace a la noticia de IS4K: https://www.is4k.es/fake-news-y-bulos-en-la-red

Autenticación en dos pasos: cómo configurarla para no depender solo de la contraseña

Qué es y cómo activar la verificación en dos pasos en tus apps

Las contraseñas son la llave a nuestra información digital. Por eso, durante años hablamos de la importancia de protegerlas, te explicamos dónde almacenarlas y compartimos buenas prácticas para que crees contraseñas fuertes y seguras, evitando cometer alguno de los errores más comunes que puedan comprometerla.

Sin embargo, por más cuidado que tengas, nada evitará que tus contraseñas puedan ser expuestas en una filtración de información. Lamentablemente, este tipo de acontecimientos es cada vez más frecuente. Tan solo en lo que va del año se han filtrado más de 1000 millones de cuentas provenientes de diferentes incidentes de seguridad, entre los que se destaca la reciente publicación de datos de 533 millones de usuarios de Facebook.

Si quieres saber si tus datos han sido filtrados en alguna de estas brechas, puedes consultar el sitio Have I Been Pwned, ingresando tu dirección de correo electrónico o número de teléfono. En el —probable— caso de que tus datos se hayan filtrado obtendrás una lista con el detalle de los incidentes y qué información personal ha sido comprometida en cada caso. Si tu contraseña se encuentra en la lista, debes cambiarla inmediatamente tanto en el servicio comprometido como en cualquier otro servicio donde hayas utilizado la misma clave.Quizás te interese:

– Qué es un ataque de password spraying: pocas contraseñas para muchos usuarios

– Qué es un ataque de fuerza bruta y cómo funciona

Entonces, si las contraseñas son tan vulnerables y fáciles de obtener, ¿por qué siguen siendo la principal -y muchas veces única- llave a nuestra información? Queda claro que hoy en día no basta con una clave, por más fuerte que esta sea, para proteger el acceso digital. Necesitamos reforzar esa llave con algún otro método de autenticación y es aquí donde aparece la autenticación en dos pasos, también conocida como verificación en dos pasos, doble factor de autenticación o autenticación multifactor.

¿En qué consiste la verificación o autenticación en dos pasos?

La contraseña no es la única forma de autenticarse frente a un sistema. De hecho, existen tres formas diferentes en que podemos hacerlo:

  • A través de algo que solo nosotros sabemos, como la clásica contraseña, una palabra o pregunta secreta, etc.
  • A través de algo que tenemos, como una tarjeta física, un certificado digital en un pen drive, un token físico o digital, nuestro smartphone, etc.
  • A través de algo que somos, es decir, a través de nuestros datos biométricos como la huella digital, el iris, el reconocimiento facial, etc.

En el proceso de autenticación tradicional utilizamos solo una de estas tres formas, generalmente la contraseña. La verificación en dos pasos —o multifactor— propone combinar dos métodos de autenticación de forma tal que, si uno es comprometido, se debe tener o conocer el otro para lograr el acceso a la información.

Si bien esto parece complejo, lo cierto es que probablemente hace tiempo que ya vienes utilizando este sistema de múltiple autenticación sin darte cuenta. El ejemplo clásico es al utilizar los cajeros automáticos (ATM) para retirar dinero, ya que para esto necesitas tu tarjeta de débito (algo que tienes) y tu clave de cajero (algo que sabes).

¿Cómo funciona la autenticación en dos pasos en la mayoría de los servicios online?

La gran mayoría de los sistemas actuales aplican este mismo principio para brindarle una capa extra de protección a las cuentas de sus usuarios, combinando la contraseña (algo que sabes) con un token digital o código de acceso temporal que recibes o generas en tu teléfono (algo que tienes). Es decir que, tras introducir nuestra contraseña habitual, se nos pedirá un código que recibiremos por SMS o a través de una app en el smartphone. De esta forma, si un atacante obtuviese tu contraseña -ya sea porque has sido víctima de un engaño o bien porque se ha filtrado en una brecha- no podrá finalizar la autenticación si no tiene acceso a tu teléfono donde recibir el código temporal.

Imagen 1. Esquema ilustra el mecanismo de la verificación en dos pasos. En este caso un código (segundo factor) llega a nuestro teléfono y luego debemos ingresarlo en el equipo desde el cual intentamos acceder a la cuenta o servicio.

Dependiendo del sistema o servicio donde configuremos la autenticación en dos pasos, variará la forma en que debemos utilizar nuestro smartphone para generar el código de acceso. La mayoría de los servicios piden simplemente ingresar el número de teléfono en el cual se va a recibir un SMS para confirmar la configuración y luego cada vez que se inicie sesión. Otra opción es asociar la cuenta con una app de autenticación, como Google AuthenticatorAuthy o ESET Secure Authentication. Estas aplicaciones se vinculan con el servicio a autenticar y funcionan como tokens digitales generando códigos aleatorios cada 1 minuto. Este tipo de aplicaciones son muy similares a los tokens utilizados por las apps bancarias y resultan muy cómodas, ya que no dependen de la línea telefónica para recibir el SMS.

Por último, en algunos casos no se utiliza un código de acceso, sino que el usuario recibe un mensaje con una solicitud de autorización en su teléfono, la cual debe aceptar colocando además su huella digital. En este caso, se aprovecha también el lector de huella de los teléfonos actuales para utilizar las 3 formas de autenticación, ya que además de la contraseña y el teléfono el usuario debe verificar su huella.

Es importante aclarar que, si bien agregar un paso más a la autenticación pareciera tedioso, la mayoría de los sistemas permiten guardar un dispositivo ya autenticado como ‘seguro’. De esta forma, en ese dispositivo seguro no nos pedirá el código de verificación de dos pasos cada vez que iniciamos sesión. Por supuesto que esta opción solo debemos marcarla en aquellos dispositivos que sean de uso exclusivo propio, que no sean compartidos y que estén debidamente protegidos.

¿Cómo puedo configurar la verificación en dos pasos en mi cuenta?

Ahora que ya sabes cómo funciona la verificación en dos pasos, es hora de configurarla en todos tus servicios online. Recuerda que cada servicio puede implementar este sistema con ligeras variantes, pero el concepto será siempre el mismo: tras introducir tu contraseña habitual, se te solicitará ingresar un código que generará o recibirás en tu teléfono.

Antes de comenzar te sugerimos que elijas si quieres recibir este código por SMS o si prefieres utilizar una app de autenticación como las mencionadas anteriormente. En caso de que elijas esta última opción deberás tenerla descargada en tu teléfono.

A continuación, te dejamos una lista con el paso a paso de cómo configurar la autenticación en dos pasos para algunos de los servicios más populares:

Los servicios de mensajería también pueden configurarse con la verificación en dos pasos. En el caso de WhatsApp, por ejemplo, dado que el registro se hace por SMS, la doble autenticación se logra ingresando una clave como se explica acá:

Incluso muchos herramientas para realizar videoconferencias o juegos online incluyen actualmente la verificación de dos pasos, como es el caso de Zoom o Fortnite. Como puedes ver, la lista es realmente extensa y basta con investigar la configuración de seguridad de la aplicación o servicio que utilices para encontrar la verificación de dos pasos.

La realidad es que reportes de compañías como Google o Microsoft ya han demostrado que la autenticación en dos pasos es la manera más efectiva para evitar el secuestro de nuestras cuentas; sin embargo, muchos usuarios —e incluso empresas— no lo implementan por desconocimiento o falta de conciencia sobre los riesgos a los que están expuestos. Por lo tanto, si bien activar este mecanismo de seguridad es opcional, deberías considerar activarlo siempre para estar más protegidos y de esta manera no depender solamente de una contraseña.

Enlace a la noticia: https://www.welivesecurity.com/la-es/2021/05/06/autenticacion-dos-pasos-como-configurarla-no-depender-solo-contrasena/