LA IMPORTANCIA DE ESTAR CONCIENCIADO EN CIBERSEGURIDAD

El mes de octubre se asocia desde hace años a la concienciación en ciberseguridad en varias partes del mundo como la Unión Europea y Estados Unidos. Es, por ese motivo, una ocasión perfecta para hablar de un tema que nos atañe a todos, ya que todos podemos ser víctimas de un ciberataque que nos afecte de forma directa o indirecta.

Usuarios y su ciberseguridad

A pesar de que cada vez hay más usuarios que se consideran a sí mismos precavidos en materia de ciberseguridad y dicen adoptar medidas adecuadas, los ataques que vemos producirse constantemente demuestran justo lo contrario. Se siguen usando contraseñas débiles, no se adoptan soluciones como el doble factor de autenticación tan rápido como nos gustaría, los usuarios siguen cayendo en trampas sobradamente conocidas y muchos dispositivos se encuentran desprotegidos o desactualizados por no molestarse en revisarlos.

En un mundo cada vez más conectado, resulta indispensable que se realicen este tipo de campañas periódicas de concienciación para que los usuarios aprendan a proteger el acceso a su información de la mejor forma posible. De esta manera se pueden ponen las cosas un poco más difíciles a los ciberdelincuentes y estos no camparían a sus anchas como hacen actualmente.

Los riesgos de no aplicar las medidas de ciberseguridad adecuadas los vemos constantemente, por ejemplo, en una mala gestión de las contraseñas. Si se reutilizan contraseñas en varios servicios, un atacante puede acceder a todos ellos tan solo comprometiendo la seguridad de uno. No debemos olvidar que las brechas de datos están a la orden del día y que reutilizar credenciales que han sido robadas y ya están en manos de los delincuentes no es una buena idea.

Cumpliendo con lo más básico

En el momento en que alguien considera importante la ciberseguridad es hora de adoptar ciertas medidas, empezando por las más básicas. En lo que respecta a las contraseñas, además de no reutilizarlas ni compartirlas con nadie es indispensable que estas sean lo suficientemente robustas.

Además, como estas pueden caer en manos de los ciberdelincuentes tras un ataque a la empresa encargada de custodiarlas, siempre es recomendable activar cuando sea posible algún método de autenticación de doble factor.

Tras ese primer paso es muy importante preocuparse de la seguridad de nuestros dispositivos. Esto implica mantenerlos actualizados, revisar las aplicaciones que tengan instaladas y eliminar aquellas que no usemos, e instalar una solución de seguridad que permita detectar acciones maliciosas en ellos.

Tampoco debemos menospreciar el poder de la ingeniería social, usado por los delincuentes para hacernos pulsar sobre ese enlace recibido en un mensaje o abrir un fichero adjunto a un correo electrónico. Por ese motivo es vital revisar enlaces y ficheros con cuidado, especialmente si no estábamos esperando recibirlos y aunque se trate de un contacto de confianza.

Conclusión

A pesar de que octubre es el mes en el que más se fomentan las campañas de concienciación en ciberseguridad, esto es algo que debe hacerse constantemente. Los delincuentes no descansan y nosotros tampoco debemos bajar la guardia si no queremos ver cómo nos roban nuestra información confidencial.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/10/05/la-importancia-de-estar-concienciado-en-ciberseguridad/

Uso de dispositivos estamos expuestos

¿A qué riesgos de seguridad y privacidad pueden exponernos?

Aunque los dispositivos inteligentes pueden hacernos la vida más fácil, no debemos olvidar que pueden ser vulnerables y exponernos a riesgos como: robo de información, suplantación de identidad, uso de datos, etc…

¿Cómo podemos minimizar estos riesgos? ⬇️⬇️⬇️

Hoy, desde OnNet Security, os damos 4 consejos claves para minimizar los riesgos de ataques en dispositivos inteligentes ¡Tomad nota!

👉🏼 Proteger el acceso con contraseñas robustas
👉🏼 Mantener actualizado tus dispositivos
👉🏼 No compartir información personal, intima o de menores
👉🏼 Apagar los dispositivos si no lo estamos usando

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

BYOD (Bring your own device)

Maquina expendedora con dispositivos móviles

BYOD (Bring Your Own Device), del inglés trae tu propio dispositivo, es la política empresarial que consiste en que los empleados utilicen sus dispositivos personales para acceder a recursos de la empresa, como puede ser el correo electrónico, bases de datos o aplicaciones personales. Esta tendencia que cada vez está más generalizada, y se ha visto reforzada gracias a la situación vivida con la pandemia.

Aproximadamente el 90% de los empleados utilizan de algún modo sus dispositivos para acceder a algún tipo de información de la empresa. No obstante los usuarios de esta modalidad tienen cierta preocupación por sus mensajes personales cuando utilizan sus dispositivos para fines laborales.

Gráfico que muestra la preocupación de los usuarios que utilizan BYOD por los mensajes personales

– Preocupación de los usuarios que utilizan BYOD por los mensajes personales. Fuente: helpnetsecurity.- Esta metodología se ha impuesto en la mayoría de las empresas, y se cree que cada vez van a ser más los dispositivos utilizados para este fin. Desde Protege tu empresa, de INCIBE, queremos ofrecer a las empresas una nueva sección: TemáTICa BYOD, en la que se aglutinan varios enlaces de referencia para conocer las principales recomendaciones de seguridad, así como las ventajas e inconvenientes de utilizar este tipo de tecnología.

Esta modalidad, aunque tiene grandes ventajas, entraña riesgos si no se toman medidas seguridad. En esta TemáTICa se tratan las siguientes cuestiones:

  • ¿Qué es el BYOD? Es una política empresarial que consiste en que los empleados utilicen sus propios dispositivos para acceder a recursos de la empresa, como puede ser el correo electrónico, archivos en la nube, etc.
  • Ventajas e inconvenientes. Aunque esta metodología presenta grandes ventajas, como que los empleados sean más productivos o permitir una mayor flexibilidad a la hora de trabajar. También presenta algunos inconvenientes, como puede ser el la pérdida o robo de alguno de estos dispositivos, pudiendo permitir que personas ajenas a la empresas accedan a datos confidenciales.
  • Recomendaciones de seguridad. En esta sección podrás encontrar una serie de recomendaciones para intentar minimizar los riesgos cuando los empleados utilicen sus propios dispositivos para acceder a recursos de la empresa.

Es importante que cada empresa evalúe los pros y los contras de utilizar esta modalidad, y en caso de ser partidaria de que sus empleados utilicen sus propios dispositivos para acceder a recursos de la empresa, deben tomar todas las precauciones posibles para evitar ser víctimas de un incidente de seguridad. Puedes consultar nuestras recomendaciones en la sección TemáTICas BYOD.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.incibe.es/protege-tu-empresa/blog/tematicas-byod-bring-your-own-device

La ingeniería social, la técnica más usada por los ciberdelincuentes

Cinco ataques de ingeniería social que usted debe conocer y prevenir

El phishing, el vishing o el baiting son algunas de las diferentes modalidades de estafa utilizadas para robar información. Los afectados no se dan cuenta del fraude hasta que ya es demasiado tarde y los delincuentes ya han accedido a sus datos.

Las vías de fraude están en aumento, el ingenio de los estafadores no tiene fin y cada día usan nuevas estrategias para conseguir su objetivo, una de ellas es la ingeniería social. Tal como explican desde la Asociación Española de Empresas Contra el Fraude (AEECF), se trata de un conjunto de técnicas que son utilizadas para engañar a los usuarios y que así entreguen datos confidenciales y personales, bien sea infectando sus ordenadores o abriendo enlaces de sitios fraudulentos. Una práctica que está en aumento y que representa un peligro no solo para las personas, sino también para las empresas.

Son muchas las formas en las que los cibercriminales usan la ingeniería social para hacer que el internauta caiga en su trampa, algunas de ellas son:

  • Por correo electrónicophishing. Hacen llegar un mail, donde se hacen pasar por instituciones de confianza y consiguen que se compartan contraseñas, números de tarjeta de crédito y diferente tipo de información confidencial.
  • Vía teléfono, vishing. Este método hace uso de las llamadas de teléfonos o mensajes de voz para engañar y llegar a información sensible.
  • Por redes sociales. Las redes forman parte de la mayor parte del día a día de los ciudadanos, por eso los estafadores acceden a la información de los usuarios mediante enlaces fraudulentos o contactando con ellos por medio de mensajes.
  • Mediante unidades externas (usb), baiting. Este consiste en el abandono de un dispositivo de almacenamiento extraíble infectado, que al conectarlo a un terminal introduce un software malicioso.
  • A través de SMS, smishing. La técnica reside en el envío de un mensaje de texto donde se simula ser una entidad legítima, con el objetivo de robar información privada o realizar un cargo económico.

El haber sido víctima de cualquiera de las estafas anteriores tiene consecuencias muy peligrosas para los usuarios, puesto que los afectados no se dan cuenta hasta que es tarde y los delincuentes ya han accedido a sus datos. Por ello, desde la AEECF se ofrece una serie de recomendaciones para evitar este tipo de ataques:

  • Siempre que se reciba cualquier documento se debe verificar su procedencia.
  • No hay que descargar documentos del que se desconozca el contenido.
  • No hacer clic en enlaces sospechosos recibidos por correo electrónico.
  • No se debe revelar información confidencial ni datos personales.
  • Es recomendable tener un antivirus instalado y actualizado en los dispositivos digitales.
  • Hay que ser precavidos al revelar información en redes sociales, lo mejor es no difundir datos personales.
  • Recordar que las entidades u organismos nunca solicitan contraseñas, números de tarjeta de crédito o cualquier otra información personal.
  • El sentido común y ser precavidos siempre serán los mejores aliados.

Oleada de correos fraudulentos de tipo phishing suplantando empresas reconocidas para ofrecer regalos tras realizar una encuesta

Se han detectado varias campañas de envío de correos electrónicos falsos que suplantan la identidad de diferentes empresas reconocidas, como Amazon, MediaMarkt o Apple. Captan la atención del usuario ofreciendo regalos de productos electrónicos y bonos de descuento. Para recibirlos, será necesario rellenar una encuesta en la que se solicitarán datos personales y bancarios. El objetivo es redirigir a la víctima, a través de un enlace facilitado en el correo, a una página web fraudulenta (phishing) que simula ser la del citado servicio.

Recursos afectados

Cualquier usuario que haya recibido el correo electrónico y haya introducido sus datos personales y/o los de su tarjeta bancaria en el formulario de la página fraudulenta.

Solución

Si has recibido un correo electrónico de estas características, has accedido al enlace y facilitado tus datos personales y los datos de tu tarjeta de crédito, contacta lo antes posible con tu entidad bancaria para informarles de lo sucedido. Además, te recomendamos permanecer atento y monitorizar periódicamente la información que hay publicada sobre ti en Internet para evitar que tus datos privados estén siendo utilizados sin tu consentimiento.

Si, tras haber hecho egosurfing (es decir, una búsqueda de tu nombre y otros datos personales en el buscador), encuentras algo que no te gusta o se está ofreciendo indebidamente información sobre ti, puedes ejercer tus derechos de acceso, rectificación, oposición y supresión al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.

Evita ser víctima de fraudes tipo phishing siguiendo nuestras recomendaciones:

  • No te fíes de los correos electrónicos de usuarios desconocidos o que no hayas solicitado, elimínalos de tu bandeja de entrada.
  • No contestes en ningún caso a estos correos.
  • Ten siempre actualizado el sistema operativo y el antivirus de tu dispositivo. En el caso del antivirus, además debes comprobar que esté activo.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) e INCIBE, a través de la Oficina de Seguridad del Internauta (OSI).

Además, ten siempre en cuenta los siguientes consejos:

  • Escribe directamente la URL del servicio en el navegador, en lugar de llegar a la web a través de enlaces disponibles desde páginas de terceros, en correos electrónicos o en mensajes de texto. 
  • No facilites tus datos personales (número de teléfono, nombre, apellidos, dirección o correo electrónico) o bancarios en cualquier página. Infórmate previamente y lee los textos legales de la web para descartar un posible mal uso de tus datos.
  • Desconfía de promociones online que requieran facilitar información personal.
  • En caso de acceder a un servicio desde su aplicación, revisa que tengas instalada la aplicación legítima y que los permisos proporcionados sean adecuados.

Aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con el siguiente vídeo: 

Detalles

Los correos electrónicos fraudulentos se envían desde una cuenta que no pertenece al servicio legítimo de las empresas. Es decir, la dirección desde la que se envían los correos no es un dominio que pertenezca al servicio. En cualquier caso, recuerda que el remitente podría manipularse fácilmente siguiendo una técnica muy utilizada por los ciberdelincuentes conocida como spoofing

Estos correos se identifica con los asuntos: ‘[usuario] , Estás en nuestra lista’, ‘Ya tenemos tu MacBook Air, confirma los datos’, ‘amazon tiene una sorpresa para ti’, ‘[usuario] consigue el nuevo macbook Pro13’, ‘[usuario]  , Has sido seleccionado para obtener una recompensa exclusiva!’, ‘¡FELICIDADES! ¡Eres el afortunado ganador en línea de una nueva entrada de TV de Samsung en el Sorteo!’ y ‘[usuario] felicidades, has sido seleccionado’ aunque no se descarta que puedan estar distribuyéndose con otros asuntos similares.

La mayor parte de los correos se caracterizan por dirigirse al usuario utilizando la primera parte de la dirección de correo electrónico en vez de por su nombre o apellidos. 

En el cuerpo del mensaje se invita al usuario a completar una encuesta lo más rápido posible para recibir supuestamente los mejores premios. Es muy común que en este tipo de fraudes se apremie al usuario a llevar acciones de forma inmediata para que no le dé tiempo a pensar y analizar la situación.

Ejemplos de correos fraude:

Correo fraude Amazon
Correo fraude Amazon 2
Correo fraude Macbook
Correo fraude Macbook2
Correo fraude MediaMarkt

Si se pulsa sobre cualquiera de los enlaces dentro del cuerpo del correo, estos redireccionan a un sitio web fraudulento diseñado con la finalidad de parecer legítimo. Desde ahí se invita al usuario a completar una encuesta sobre sus características personales (sexo, edad, etc.).

Página fraude Amazon
Página fraude Amazon2
Página fraude Macbook
Página fraude MediaMarkt
Pagina cajas fraude MediaMarkt

Tras responder a las preguntas, el usuario deberá escoger aleatoriamente entre varias cajas regalo y, en caso de acertar donde se encuentra, se lo llevará aunque siempre se simula haber acertado. 

A continuación, se redirecciona al usuario a un formulario donde se indica que el premio tendrá un mínimo coste, siempre inferior a 2€, y que para obtenerlo se deberán facilitar los datos personales y los de la tarjeta bancaria.

Formulario fraude Maccbook
Formulario fraude Premio Smart TV Samsung
Formulario fraude pago tarjeta
Formulario fraude pago tarjeta televisor

Finalmente, una vez introducidos los datos, y tras pulsar en el botón para enviarlos, la página mostrará un error pero los ciberdelincuentes ya los tendrán en su poder para hacer uso de ellos para cualquier fin malicioso o fraudulento.

Enlace a la noticia: https://www.osi.es/es/actualidad/avisos/2021/09/oleada-de-correos-fraudulentos-de-tipo-phishing-suplantando-empresas

ESTOS SON LOS OBJETIVOS FAVORITOS Y DÍAS PREFERIDOS EN LOS QUE ACTÚA EL RANSOMWARE

A pesar de llevar muchos años conviviendo con esta amenaza, el ransomware sigue siendo algo desconocido o no muy tomada en cuenta por muchos usuarios y empresas. Por ese motivo, tanto los investigadores de ciberseguridad como los medios de comunicación no dejamos de hacernos eco de su evolución para generar concienciación y conseguir que se adopten medidas eficaces frente a esta amenaza.

Los objetivos favoritos

Tras varios años analizando esta amenaza hemos podido comprobar como el ransomware ha ido afectando a prácticamente cualquier tipo de usuario o empresa de cualquier sector. Sin embargo, a la hora de elegir sus objetivos se ha visto una clara evolución, con los primeros casos afectando principalmente a usuarios particulares, pasando después a centrarse en pymes y afectando actualmente a empresas y organizaciones de cualquier tamaño.

Actualmente podemos observar ciertas tendencias a la hora de elegir objetivos por parte de los delincuentes y, si bien no estar entre estos objetivos principales no salva a ninguna empresa de ser víctima, si que es interesante analizar las preferencias de los criminales para obtener el mayor beneficio de sus acciones.

Según un reciente análisis, la víctima ideal de los actores detrás de la mayoría de casos de ransomware sería una empresa ubicada en Estados Unidos, Canadá, Australia o la Unión Europea y con unos ingresos mínimos de 5 millones de dólares (y preferiblemente mayores de 100 millones). Esto es solo una guía, puesto que todos los días vemos casos de ataques protagonizados por ransomware en otras regiones y hacia empresas de todos los tamaños, pero sirve para hacerse una idea de lo que buscan los delincuentes.

Además, es destacable observar como algunos grupos evitan atacar directamente o a través de sus afiliados a ciertos sectores como la educación, sanidad, gobierno u ONGs. Los motivos son variopintos y van desde la “ética profesional” hasta intentar evitar llamar demasiado la atención de las autoridades. Ataques recientes como el de Colonial Pipeline o Kaseya han demostrado las capacidades de estos grupos delictivos, pero también han provocado una reacción por parte de las autoridades que los ha puesto en el punto de mira, algo que no les conviene.

También es interesante destacar algo que es común con otros tipos de malware y es que muchas de las diferentes familias de ransomware evitan atacar sistemas que estén ubicados en países como Rusia o de la antigua órbita soviética. Además, también hay regiones como África o ciertas partes de Sudamérica en las que no se observa una elevada actividad del ransomware, debido a que los delincuentes no los consideran lo suficientemente rentables.

Horarios y técnicas preferidas

En lo que respecta a las técnicas preferidas por el ransomware actualmente, este es un tema que se ha tratado en varias ocasiones pero que nunca está de más repasar. Podemos ver como los accesos a través de RDP o VPN siguen siendo los favoritos por los delincuentes, habiéndose creado todo un mercado de compra/venta de accesos a redes corporativas donde ciertos delincuentes consiguen comprometer su seguridad para después vender este acceso a los operadores de ransomware o sus afiliados para que accedan, roben información y, seguidamente, la cifren.

También se aprovechan todo tipo de vulnerabilidades para hacerse con el control de sistemas clave como los servidores de Exchange. Una vez se ha conseguido comprometer un sistema dentro de la red, lo normal es que se empleen varias herramientas como Mimikatz o Cobalt Strike para realizar movimientos laterales y conseguir acceder y comprometer otros sistemas importantes como los controladores de dominio, algo que facilita el robo de información confidencial y el posterior cifrado de todos los equipos de la red.

Otros métodos usados por los criminales son el uso del correo electrónico para adjuntar ficheros maliciosos o enlaces que inician la cadena de ejecución de este malware. También hemos visto como se realizan llamadas desde call centers para engañar a los usuarios y que estos descarguen malware desde ciertas páginas web e incluso se han llegado a realizar ofertas a posibles empleados descontentos para que infecten ellos mismos la red a cambio de un porcentaje de los beneficios obtenidos en el pago del rescate.

Tampoco podemos olvidar los ataques mediante la cadena de suministro, un tipo de ataques especialmente peligrosos por lo difícil que puede ser llegar a detectarlos y la gran cantidad de empresas que se pueden ver afectadas al comprometer a uno solo de sus proveedores de software y servicio.

Con respecto a los horarios favoritos de los delincuentes detrás de este tipo de campañas, recientemente el FBI confirmó algo que muchos ya habíamos observado desde hace tiempo, y es que los festivos y los fines de semana son los días favoritos por los delincuentes para realizar sus acciones maliciosas. Esto tiene mucha lógica puesto que son los días en los que menos usuarios están pendientes de las posibles alertas, lo que les da a los atacantes bastante ventaja.

No es nada raro que una intrusión en una red corporativa se produzca un viernes por la tarde o la víspera de un festivo y que los delincuentes realicen sus labores de reconocimiento de la red durante varios días, comprometan los sistemas, robando información y cifrando la que se guarda en los sistemas infectados. En no pocas ocasiones esta intrusión puede pasar semanas o incluso meses sin ser descubierta por los administradores de la red, por lo que resulta esencial contar con la suficiente visibilidad de lo que sucede en ella para poder adoptar medidas antes de que sea demasiado tarde.

Conclusión

Las recomendaciones y medidas de seguridad necesarias para evitar y hacer frente a un ataque de ransomware son sobradamente conocidas y solo hace falta tener la voluntad y contar con los recursos necesarios para aplicarlas. Además, es necesario permanecer actualizado en lo que respecta a las técnicas usadas por los delincuentes para ir revisando las soluciones implementadas, de forma que estas sigan resultando efectivas.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/08/estos-son-los-objetivos-favoritos-y-dias-preferidos-en-los-que-actua-el-ransomware/

NOTICIAS DE CIBERSEGURIDAD MÁS DESTACADAS DEL MES DE AGOSTO

A pesar de ser el mes de vacaciones por excelencia para muchos de nosotros, en agosto los ciberdelincuentes no descansan y, buena prueba de ello son los numerosos incidentes de ciberseguridad reportados durante las últimas semanas.

El ransomware no cierra por vacaciones

A pesar de que muchas empresas cierran o reducen considerablemente su actividad durante el periodo estival, los grupos de delincuentes especializados en el secuestro y robo de información aprovecharon el mes pasado para hacer, precisamente, su agosto.

Así lo pudimos comprobar tras revisar numerosos incidentes relacionados con esta amenaza y que afectaron a grandes empresas del tamaño de AccentureGigabyte o incluso una empresa española del sector petrolífero. Esto vuelve a demostrar que no hay objetivo demasiado grande para los delincuentes y que las grandes empresas también tienen aspectos que mejorar en materia de ciberseguridad.

En alguno de estos incidentes los delincuentes consiguieron acceder a las redes corporativas, robar y cifrar la información aprovechando vulnerabilidades en sistemas Windows que han causado bastante revuelo durante los últimos meses. Estamos hablando específicamente de las vulnerabilidades ProxyShell, PetitPotam y PrintNightmare, que Microsoft ha tratado de solucionar en varias ocasiones con sus boletines de seguridad mensuales.

Amenazas dirigidas a dispositivos móviles

Los smartphones Android tampoco se libran de amenazas como el ransomware, como bien saben aquellos usuarios que, pensando que iban a instalar la aplicación oficial de Netflix en su dispositivo, terminaron cifrando la información almacenada y viendo como alguien les solicitaba un pago para recuperarla.

Otra amenaza habitual en dispositivos móviles que venimos observando con asiduidad desde el año pasado son aquellas que se hacen pasar por avisos de entrega de paquetes pero que terminan solicitando datos personales como los de la tarjeta de crédito o, peor aún, instalando un troyano bancario en el smartphone.

Además, los usuarios de aplicaciones como WhatsApp tienen que lidiar con continuos intentos de robo de sus cuentas, una actividad delictiva que viene produciéndose desde hace años pero que durante el mes pasado se intensifico si nos fijamos en el número de casos reportados a nuestro laboratorio.

También es importante recordar la importancia de mantener debidamente protegida la información como las fotografías que subimos desde nuestros dispositivos móviles a servicios en la nube. En caso de no hacerlo o de proporcionar acceso a personas con malas intenciones podemos ver como nuestra vida privada es expuesta o termina en la colección privada de algún pervertido.

Phishing, troyanos y fraudes

A pesar de estar en periodo vacacional algunos delincuentes confían en que más de un usuario revisará su correo y por eso nos hemos encontrado con campañas de phishing o fraudes por correo durante las últimas semanas. Una de esas campañas tiene más de un año de antigüedad y la propia Microsoft ha informado de su funcionamiento y evolución, teniendo como finalidad el robo de credenciales de acceso a Office 365.

Los troyanos bancarios con origen en Latinoamérica volvieron a aumentar su actividad a finales de agosto y ya hemos observado varios casos en los que, mediante correos electrónicos tratan de convencer a sus víctimas para que ejecuten un fichero descargado desde un enlace con la finalidad de infectar su sistema y vaciarles sus cuentas bancarias.

Tampoco cesan en su empeño de conseguir nuevas víctimas los delincuentes detrás de campañas como las protagonizadas por los correos de sextorsión o las conocidas como el “fraude del CEO”. Precisamente este mes pasado hemos visto como se detenían a varias personas en distintos sitios de España relacionadas con este tipo de fraude que no deja de evolucionar y que ha provocado cuantiosas pérdidas en empresas de todos los sectores.

Enlace a la noticia: https://blogs.protegerse.com/2021/09/07/noticias-de-ciberseguridad-mas-destacadas-del-mes-de-agosto/

Conoce que es el phishing y como evitarlo

La revolución tecnológica y el uso masivo de internet han permitido el acceso fácil e inmediato a la información, logrando conectar a millones de personas en todo el mundo. Pero junto con sus beneficios, también han aparecido algunas amenazas comunes, como los ataques de ingeniería social y crímenes cibernéticos.  

En este post nos enfocaremos en uno de los ataques informáticos más comunes: el phishing.

¿Qué es el phishing?

El phishing es un ataque informático de ingeniería social que usa medios de comunicación digitales, como el correo electrónico, para engañar y estafar a las personas. A través de técnicas de manipulación emocional genera confianza en las personas para poder robar su información y dinero.

El objetivo del phishing es engañar a las personas para obtener datos confidenciales, como contraseñas e información bancaria. Este cibercrimen se comete a través de correos falsos, mensajes o llamadas telefónicas. El estafador utiliza una identidad falsa para obtener los datos que necesita y cometer delitos como el robo de dinero en cuentas bancarias.5to.lugar ocupa Ecuador en ataques de phishing en Latinoamérica, según datos de Karsperski Lab, de febrero de 2020.

¿Cómo reconocer un ataque de phishing?

El phishing es un ataque de ingeniería social enfocado en estafar a la gente a base del error humano. Por eso, hemos recopilado las principales características que te ayudarán a identificarlos y no caer en la trampa.

  • Contacto inesperado: los estafadores se ponen en contacto con sus víctimas de  manera imprevista.
  • Sentido de urgencia: cuando alguien está intentando realizar un ataque de phishing, la posible víctima notará que el tono del mensaje es urgente, ofreciendo descuentos con tiempo limitado o pidiendo respuestas inmediatas para evitar bloqueos o cierres de cuentas bancarias, por ejemplo.
  • Remitente desconocido: en el buzón de entrada se reciben mensajes de personas o dominios web desconocidos. 
  • Suplantación de identidad: los hackers podrían suplantar la identidad de una empresa o persona conocida para la víctima, para inspirar confianza y acceder a información sensible.
  • Links y archivos adjuntos: muchas veces, los correos de phishing contienen links a otras páginas web o incluso, son enviados con archivos adjuntos para su descarga. 
  • Contenido extraño: se puede reconocer un correo de phishing por las faltas ortográficas y redacción con errores gramaticales. También se suele ofrecer  regalos o premios de concursos sin haber participado.

7 consejos para prevenir un ataque de phishing

¡No caigas en la trampa del phishing! Hemos preparado algunos consejos sencillos para que no seas víctima de este ataque de ingeniería social.

  1. No abras correos electrónicos de remitentes desconocidos. Puedes evitar que lleguen directamente a tu bandeja de entrada marcándolos como spam.
  2. Mueve tu cursor por encima del mensaje y mira si aparecen links a páginas web dudosas. Si te das cuenta de esto, no hagas clic.
  3. No abras archivos adjuntos de remitentes desconocidos; estos pueden contener  malware para robar tu información confidencial.
  4. Lee con atención el dominio del remitente. A veces, los estafadores te escriben usando direcciones o perfiles aparentemente reales. Pero si pones atención, te darás cuenta que tendrán errores ortográficos.
  5. Si sospechas que el mensaje que recibiste es falso, contáctate directamente con  la persona o empresa que te está pidiendo información. De esta forma, podrás comprobar su autenticidad y denunciar un intento de phishing.
  6. Evita caer en amenazas. En ocasiones, los cibercriminales intentarán amedrentar a sus víctimas al solicitar información de usuarios y claves. No las entregues nunca.
  7. ¡No te dejes engañar! Banco Pichincha nunca te pedirá compartir tu usuario o contraseña de tarjetas, e-mail o canales digitales a través de correos electrónicos, redes sociales o llamadas telefónicas.

Ahora que ya sabes todo sobre el phishing, revisa con cuidado los correos electrónicos con cuidado y evita ser víctima de este tipo de ataque online. Pero, además del phishing, existen muchos tipos de ataques de ingeniería social que vale la pena conocer para poder evitarlos. ¡Los cibercriminales pueden ser muy creativos!

Como no caer en las redes del phishing

Una de las amenazas de ciberseguridad más frecuentes en las pymes es el phishing. El término phishing viene del inglés fishing, que se pronuncia igual, y que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

Este incidente tiene dos caras:

  • nosotros o nuestros empleados podemos recibir un email, una llamada telefónica o un mensaje SMS, que en realidad es un timo, con el que intentarán robarnos los datos personales, es decir, seremos los «pescados»;
  • nuestra web puede ser atacada para suplantar a otra y enviar correos de phishing con los que robar datos personales de clientes de la entidad suplantada, es decir seremos «la caña del pescador».

Es decir, con este nombre se conoce por una parte a la estafa que podemos sufrir, generalmente a través de un mensaje fraudulento de correo electrónico, con el que el ciberdelincuente pretende capturar de forma ilícita nuestros datos personales: como contraseñas de acceso a nuestros sistemas o datos de nuestras cuentas bancarias.

Y también se denomina así al ataque que sufrimos en nuestra web por el que cambian su aspecto para suplantar a una entidad a la que redirigen a los que pican en los mensajes fraudulentos que envían masivamente y que podrían ser enviados desde la página falsa de la entidad suplantada. Esto fue lo que pasó a Andrés, un empresario que nos lo cuenta en esta historia real.

Para hacer frente a esta amenaza en tu empresa tienes que:

  1. Proteger tu web para impedir que sea objeto de este tipo de ataques.
  2. Concienciar a tus empleados para evitar que «piquen» en el anzuelo del email fraudulento y les den por ejemplo las contraseñas de acceso a nuestros sistemas, a nuestra web, o  la cuenta del banco. 

Además de proteger tu web, en esta infografía tienes diez consejos para evitar que tú o tus empleados seáis víctimas de phishing.

Los dos primeros van dirigidos al responsable de soporte tecnológico, para que evite cualquier fallo técnico y ponga en marcha las medidas tecnológicas como antivirus o filtros de correo, para evitar o identificar cualquier intento de infección de nuestros sistemas, ya que a través de un mensaje fraudulento podrían instalar algún tipo de malware de los que nos espían (spyware) y roban contraseñas (keyloggers).

Los otros ocho son consejos para todos los empleados, para desenmascarar cualquier intento de phishing y no «picar» en esos anzuelos.

El «cebo» de estos mensajes suele ser su remitente, su aspecto suplantando un correo legítimo y su tono de urgencia, adulador o amenazante. Son técnicas de ingeniería social y sólo podemos hacerles frente estando avisados y entrenándonos (por ejemplo con este kit).

El anzuelo viene en forma de enlace o fichero a descargar. Está afilado y si picamos no podremos soltarnos pues está diseñado con un doble gancho (la «muerte») para no perder la presa. Los enlaces pueden iniciar la descarga de malware o llevarnos a páginas en las que nos pedirán nuestras credenciales. Los ficheros adjuntos pueden tener malware o programas que se los descarguen. En ambos casos si hacemos clic, estamos muy cerca de quedar atrapados. Si has hecho clic en un enlace tendrás que aprender a identificar las páginas fraudulentas para que la «muerte» no te atrape. Y si descargas un fichero por error quizá lo mejor sea deshacerte de él. Sigue los consejos sobre los enlaces y los ficheros descargables para no morder el anzuelo.

Decálogo Antiphishing El phishing es un ataque que se inicia enviando a la víctima una comunicación en la que, suplantando a una entidad conocida, le piden que haga clic en un enlace, descargue un fichero o envíe información sensible.  El objetivo es robar cuentas, contraseñas y otros datos, o infectarle con malware.  Sigue este decálogo para hacerle frente. 1.	Instala un antivirus con antiphishing para correo y páginas web. Mantenlo actualizado, con las firmas al día y activado. 2.	Actualiza el software de tus sistemas y de tu web en cuanto conozcas que hay una actualización, pues se aprovechan de estos fallos para instalar el malware. 3.	Permanece atento para reconocer los ataques de ingeniería social. Si tienen prisas, te adulan o te amenazan, ¡desconfía!  4.	Si tienes dudas de la veracidad del mensaje o de su procedencia, contacta por otro medio con el remitente y confirma que realmente te ha enviado ese mensaje antes de responder o hacerles caso. 5.	No hagas clic en una URL para introducir tus datos sin antes pasar el ratón sobre el enlace para comprobar si es legítimo el sitio a dónde te dirige.  6.	Desconfía de las URL acortadas, pues no se puede comprobar si el destino es legítimo o no. Los sitios legales no las utilizarán para pedirte datos. 7.	Antes de hacer login en una web, comprueba su identidad: consulta los datos de certificado, en el candado de la barra de navegación. Verifica que usa https://. 8.	Antes de introducir el email, y otros datos sensibles, en una web o en un formulario lee y comprende la política de privacidad y el aviso legal para evitar dar tu consentimiento a que cedan esos datos a terceros y terminen en manos de ciberdelincuentes. 9.	Al descargar un fichero no hagas clic en «habilitar el contenido» salvo que confíes en la fuente de dónde procede. Si al descargar un fichero te solicita permiso para habilitar el contenido, no te fíes, podría iniciarse la descarga del malware.  10.	Ante la menor sospecha: ¡borra el mensaje o cuelga esa llamada!

Enlace al tutorial: https://www.incibe.es/protege-tu-empresa/blog/phishing-no-muerdas-el-anzuelo