Continúan las campañas de smishing suplantando a entidades bancarias

Recursos afectados: 

Cualquier empresario, empleado o autónomo que haya recibido un SMS con las características descritas en este aviso.Descripción: 

Desde INCIBE se han detectado en las últimas horas varias campañas de envío de SMS fraudulentos de tipo smishing que tratan de suplantar a varias entidades bancarias.

Aunque en esta ocasión se han detectado SMS que afectan a las entidades bancarias BBVA y el Banco Santander, no se descarta que otras entidades financieras se vean afectadas.

[Actualización 09/05/2022]: Se han detectado dos nuevas campañas suplantando a las entidades Bankinter y BBVA a través de SMS fraudulentos. En la campaña contra Bankinter se han identificado dos SMS diferentes que pueden consultarse en la sección ‘Detalle’, aunque también podrían existir variaciones de textos similares con el propósito de acceder a un enlace proporcionado en el propio SMS. La campaña contra los usuarios del BBVA es similar a las anteriores, pudiendo también variar el texto del mensaje.

[Actualización 21/04/2022]: Se han detectado dos nuevas campañas suplantando al BBVA y Kutxabank a través de SMS fraudulentos. La campaña contra los usuarios del BBVA es similar a las anteriores pudiendo cambiar el texto del mensaje. La campaña contra Kutxabank indica al usuario que su cuenta ha sido inhabilitada por motivos de seguridad y que debe activarla a través de un enlace.

[Actualización 08/04/2022]: Se han detectado dos nuevas campañas suplantando a las entidades bancarias Laboral kutxa y Banco Sabadell a través de SMS fraudulentos. Ambos SMS indican al usuario que un equipo no autorizado se ha conectado a su cuenta online e instan a verificarlo a través de un enlace que proporcionan en el mismo SMS si no se reconoce el acceso.

[Actualización 05/04/2022]: Se ha detectado una nueva campaña suplantando a la entidad bancaria Abanca a través de un SMS fraudulentos, donde se avisa al usuario de que la tarjeta bancaria no está operativa y que debe activarla a través de un enlace proporcionado en el mismo mensaje.

[Actualización 31/03/2022]: Se ha detectado una nueva campaña suplantando a Caixabank a través de SMS fraudulentos, donde se avisa al usuario de una futura suspensión de su tarjeta y se le pide confirmar sus datos, accediendo a un enlace proporcionado en el mismo.Solución: 

Si recibes un SMS o cualquier notificación con estas características, omítelo o elimínalo, nunca sigas el enlace, ni descargues ninguna aplicación.

Si has accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberás modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Si has facilitado las credenciales de tu cuenta financiera, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Como pautas generales, para evitar ser víctima de fraudes de este tipo:

  • No abrir enlaces en mensajes SMS de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • No contestar en ningún caso a estos SMS.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, mensajes en aplicaciones de mensajería o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y las aplicaciones.
  • Revisa la URL de la página web. Si no contiene un certificado de seguridad o no corresponde con el sitio web, nunca facilites ningún tipo de información personal o bancaria.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Línea de ayuda en ciberseguridad.

Además, para prevenir y reforzar estos consejos, es importante que realices acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.Detalle: 

Los últimos SMS detectados contienen enlaces fraudulentos a dominios como ‘.ru’, ‘.info’, ‘.es’, ‘.com’, ‘.ly’, ‘.top’, entre otros. Además, para hacer más creíble la URL y que no parezca fraudulenta, es posible que aparezca el nombre del banco o palabras como ‘seguridad’, ‘seguro’, ‘cliente’, ‘particular’, ‘ciberseguridad’, ‘incidencia’, ‘reactivación’, ‘cuenta’, ‘verificar’, etc.

Estos SMS siempre instan al usuario a seguir una URL, por un bloqueo de su cuenta,  para una comprobación de seguridad.

SMS fraudulento

Los enlaces siempre redirigen a una página web fraudulenta que simula ser la de nuestro banco. En esta ocasión, las entidades bancarias afectadas son el BBVA y el Banco Santander.

Página fraudulenta BBVA
Página fraudulenta Santander

[Actualización 09/05/2022]: Se han detectado dos campañas de smishing que afectan a Bankinter y BBVA, aunque no se descarta que pueda haber otras entidades bancarias afectadas.Los SMS suplantando a Bankinter presentan el siguiente texto:

«Se ha detectado un acceso inusual a su cuenta online. Si no reconoce este nuevo dispositivo verifique sus datos: enlace-fraudulento»

«[BANKINTER] Por motivos de seguridad. Hemos bloqueado tu Tarjeta. Verifica tu cuenta para activar el acceso: enlace-fraudulento»

Tras acceder a los enlaces fraudulentos, el usuario es redirigido a la supuesta web de la entidad, en la cual, una vez introducidos los datos de acceso del usuario, podrían ser utilizados por el ciberdelincuente para operar desde la cuenta sustraída.

La página que suplanta a la del BBVA es la misma que la de campañas anteriores.

La web que suplanta a Bankinter puede verse en la siguiente imagen:

Web suplantando Bankinter

[Actualización 21/04/2022]: Se han detectado dos campañas de smishing que afectan al BBVA y Kutxabank, aunque no se descarta que pueda haber otras entidades bancarias afectadas.Los SMS suplantando al BBVA, además del texto de campañas anteriores, pueden tener este contenido:

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla. Actualice su informacion desde: enlace-fraudulento»

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla. Actualice su informacion desde: enlace-fraudulento»

«Su cuenta ha sido temporalmente bloqueada por seguridad, Para desbloquear ingrese aqui: enlace-fraudulento»

«UN DISPOSITIVO NO AUTORIZADO se ha conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: enlace-fraudulento»Los SMS suplantando a Kutxabank muestran el siguiente texto:

«Su cuenta ha sido inhabilitada por razones de seguridad, para activarla de nuevo siga los pasos: enlace-fraudulento»

Tras acceder a los enlaces fraudulentos, el usuario es redirigido a la supuesta web de la entidad, en la cual una vez introducidos los datos de acceso podrían ser utilizados por el ciberdelincuente para operar desde la cuenta robada.

La página que suplanta a la del BBVA es idéntica a la de anteriores campañas, la de Kutxabank es como la siguiente imagen:

Web suplantando Kutxabank

[Actualización 08/04/2022]: Se han detectado dos campañas de smishing que afectan a las entidades bancarias Laboral Kutxa y Banco Sabadell. Tras acceder a los enlaces fraudulentos del SMS, el usuario es redirigido a la respectiva supuesta web de la entidad, en la cual una vez introducidos los datos bancarios, estos podrían ser utilizados por el ciberdelincuente.

Página fraudulenta Kutxabank
Página fraudulenta Sabadell

[Actualización 05/04/2022]: Se ha detectado una campaña de smishing que afecta a la entidad bancaria Abanca. Tras acceder al enlace fraudulento del SMS, el usuario es redirigido a una supuesta web de Abanca, en la cual una vez introducidos sus datos bancarios, estos pasarán a manos de un ciberdelincuente.

Página fraudulenta Abanca

[Actualización 31/03/2022]: Desde INCIBE se ha detectado una campaña de smishing que afecta a la entidad bancaria CaixaBank, en la cual tras acceder al enlace del SMS, te redirige a una supuesta web de la entidad. Esta web fraudulenta tiene como objetivo hacer que el usuario introduzca sus datos personales y bancarios en la página, con el fin de hacer uso de ellos, para cometer un fraude financiero.

Página fraudulenta Caixabank

El único objetivo de los ciberdelincuentes es obtener las claves de acceso a tu banca online para cometer acciones fraudulentas con ellas.

Fuente INCIBE: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/continuan-las-campanas-smishing-suplantando-entidades-bancarias

¿PROBLEMAS CON TU CUENTA DE CORREO? NO CAIGAS EN LA TRAMPA DEL PHISHING QUE TRATA DE ROBAR TU CONTRASEÑA

Tal y como venimos observando desde hace meses, el robo de credenciales es una tendencia al alza, especialmente en España. Los delincuentes intentan hacerse con los usuarios y contraseñas de varios servicios para, posteriormente, venderlas o usarlas en ataques de acceso inicial a redes corporativas. Entre las credenciales más buscadas se encuentran las que permiten acceder a las cuentas de correo de empleados, algo que hemos vuelto a comprobar tras revisar tres campañas diferentes que se han estado propagando en las últimas horas.

Tres correos fraudulentos con la misma finalidad

A la hora de intentar robar credenciales, los delincuentes pueden optar por varias técnicas que van desde el envío de malware capaz de robar credenciales almacenadas en varias aplicaciones de uso frecuente en empresas hasta pedir directamente que el usuario introduzca sus contraseñas, como en los casos que vamos a revisar a continuación. Estos correos tratan de convencer al usuario de varias formas para que acceda a un enlace preparado por los delincuentes donde se solicitarán sus credenciales de correo. En uno de los casos vemos que se utiliza como gancho la necesidad de revisar un número de correos que han se han quedado en la cuarentena del buzón de correo.

Otro de los ejemplos de este tipo de correos recibidos en las últimas horas utiliza un falso aviso donde se le indica al usuario que su cuenta será desactivada próximamente si no se registra en la nueva versión de su buzón de correo. En este correo se llega incluso a mencionar la empresa para la que trabaja el empleado que recibe el correo para darle mayor veracidad.

El último de los correos de este estilo enviado en las últimas horas está escrito en español y nos alerta de que la contraseña de nuestro buzón de correo expirará en breve, pero nos da la oportunidad de seguir usando la contraseña actual si se accede al enlace proporcionado y la introducimos.

Como vemos, este tipo de correos buscan generar cierta sensación de urgencia en el receptor del mensaje para que actúe rápidamente y no se pare a pensar en si el correo ha sido enviado por un remitente legítimo, o si la web a la que se accede pertenece a su empresa. Dependiendo de la campaña, los delincuentes pueden personalizar o no la web donde se solicitan las credenciales de correo (con logos de la empresa e incluso sus colores corporativos), aunque lo habitual es que se observe una plantilla neutra en la mayoría de ocasiones.

En el caso de que el usuario muerda el anzuelo, sus credenciales de correo serán recopiladas por los delincuentes y usadas en ataques posteriores.

Uso de credenciales robadas

Una vez los delincuentes se han hecho con las credenciales de correo, estas suelen ser usadas principalmente para suplantar la identidad de la víctima y usar su email con fines maliciosos. Esto incluye el envío de correos a sus compañeros de empresa, clientes o proveedores con ficheros adjuntos o enlace a la descarga de archivos que suelen estar infectados y que, a su vez, pueden ser utilizados para continuar con el robo de credenciales o, en casos más graves, comprometer la seguridad y la información de los dispositivos que infecta.

Un uso habitual de estas cuentas de correo robadas incluye las estafas en las que los delincuentes se hacen pasar por la persona a la que han robado las credenciales, y en el caso de que este empleado se encargue de tareas de cobro y facturación, proceden a enviar emails a clientes o proveedores adjuntando facturas pendientes de pago pero incluyendo una cuenta bancaria controlada por los delincuentes o alguno de sus muleros. En ocasiones vemos como incluso se incluye una cadena de mensajes previamente contestados para dar más credibilidad a la persona que recibe el correo desde la cuenta comprometida.

Sin embargo, uno de los peores escenarios a los que se puede enfrentar una empresa donde se haya producido un robo de credenciales de correo o de otros servicios de algún empleado es aquel donde los delincuentes utilizan estas contraseñas para reconocer la red corporativa, los usuarios existentes e incluso enviar malware que sirva como cabeza de puente para ataques posteriores. Estos ataques pueden incluir movimientos laterales hasta llegar a máquinas clave como controladores de dominio o servidores de fichero que pueden facilitar el robo de información confidencial y el cifrado de sistemas de toda la red corporativa.

Conclusión

Como hemos visto, no hace falta que los delincuentes se compliquen excesivamente la vida para conseguir robar credenciales de correo. Con solo un correo enviado de forma masiva a varias empresas pueden hacer que varios empleados caigan en la trampa y eso puede ser solo el comienzo de los problemas, por lo que debemos protegernos con soluciones de seguridad que impidan que estos correos lleguen siquiera a la bandeja de entrada de los usuarios.

Fuente: https://blogs.protegerse.com/2022/05/09/problemas-con-tu-cuenta-de-correo-no-caigas-en-la-trampa-del-phishing-que-trata-de-robar-tu-contrasena/

Recomendaciones de Seguridad Digital en WhatsApp

Introducción

Seguro has escuchado de los «hackeos» de cuentas de WhatsApp: estos son accesos no autorizados que pueden vulnerarte al tomar el control de tu información personal. Para ayudarte a protegerte, creamos esta guía con recomendaciones para mejorar la seguridad digital al utilizar WhatsApp. Explicaremos las posibles amenazas a las que se expone una cuenta de WhatsApp, las recomendaciones preventivas ante estas amenazas, y algunas recomendaciones en caso de que una cuenta haya sido robada o comprometida.

¿Qué datos se vinculan a tu cuenta de WhatsApp?

Para entender las potenciales amenazas, es importante hacernos las siguientes preguntas: ¿qué datos personales le proporcioné a WhatsApp a la hora de crear mi cuenta? ¿Y cuáles son los permisos necesarios para su funcionamiento?

Los datos de usuario en los que nos enfocamos por ahora son:

  • Número de teléfono celular
  • Nombre o pseudónimo
  • Foto de perfil
  • Información o descripción (similar a un estado fijo en tu perfil)
  • Respaldo de chats (si se encuentra habilitado)
  • Estados que publicas para que otros contactos los vean

Y los permisos que solicita la aplicación son:

  • Acceso a contactos
  • Acceso a micrófono
  • Acceso a cámara
  • Acceso a Internet
  • Acceso a servicios de localización
  • Acceso a archivos
  • Acceso a SMS (mensajería)
  • Acceso a servicios de llamadas

Destacamos estos datos ya que estos son los que pueden llegar a utilizarse en algún ataque o amenaza a una cuenta. (Si quieres conocer la lista completa de datos que WhatsApp recopila de una cuenta, puedes leer su Política de Privacidad.)

¿Cuáles son las amenazas a las que se encuentra expuesta una cuenta de WhatsApp?

Suplantación de identidad

La suplantación de identidad consiste en que alguien se haga pasar por una persona o entidad de manera maliciosa. Esto se puede lograr mediante la creación de perfiles falsos o contenidos en las redes sociales en nombre de alguien más sin necesidad de acceder a cuentas personales u oficiales.

Para el caso de WhatsApp la suplantación de identidad puede suceder cuando una cuenta utiliza el nombre, foto y estado de otra persona, haciéndose pasar por esta. 

Una suplantación de identidad no representa un acceso a la cuenta, generalmente se debe a que los datos utilizados estaban configurados para ser visibles a todo público.

Acceso no autorizado

El acceso no autorizado, como su nombre lo indica, representa un acceso a la cuenta que no es legítimo o autorizado por la persona dueña de esta. En el caso de WhatsApp, estas son algunas de las formas más comunes de acceso no autorizado:

Acceso físico al dispositivo

Si el dispositivo y la aplicación no cuentan con un código de bloqueo, es posible que cualquier persona pueda tomar el celular e interactuar con los chats, así como iniciar una nueva sesión de WhatsApp Web en una computadora, u obtener el código de verificación que llega al iniciar sesión en un teléfono celular.

Phishing

El phishing es una técnica que se basa en suplantar o falsificar información para incitar a la persona a realizar una acción, como dar clic a un enlace, compartir contraseñas o abrir un archivo infectado.

En el caso de WhatsApp podemos encontrar distintas formas de presentación del phishing.

  • Cuentas que se hacen pasar por el soporte técnico de WhatsApp y solicitan un código enviado por SMS
  • Personas “conocidas” que escriben desde otro número telefónico solicitando un código que llega por SMS
  • Invitaciones para descargar “respaldos de chats”

Como se puede observar, el principal objetivo es engañar a la persona usuaria para que entregue los códigos que llegan por SMS, o que habilite algún tipo de autorización para acceder a la cuenta.

Robo de línea telefónica

Los robos de línea telefónica buscan adueñarse de un número telefónico, esto puede ser mediante estafas o SIM Swapping, en donde mediante el robo de datos personales, suplantación de identidad, o corrupción por empleados de las operadoras móviles, pueden migrar la línea telefónica a una SIM nueva. Esta SIM se utiliza en un dispositivo distintos, en donde se registra la cuenta de WhatsApp y se recibe el SMS con el código de acceso.

Intervención de dispositivos móviles

Las intervenciones son unos de los ataques más elaborados, ya que requieren un nivel técnico elevado por parte del atacante. Usualmente estas intervenciones van dirigidas a un grupo reducido de personas.

Las intervenciones de dispositivos requieren el uso de algún malware especializado, y estas no vulneran directamente a la aplicación de WhatsApp, sino a todo el dispositivo, por lo que tienen acceso directo a la aplicación. Los malwares más comunes con estas funciones son los spyware y los stalkerware. El software espía más avanzado al día de hoy es Pegasus. Los alcances de estas infecciones o intervenciones dependen de la capacidad del malware y de los permisos que puedan llegar a tener en el dispositivo.

¿Cómo se pueden prevenir estas amenazas?

Estas son algunas recomendaciones de seguridad para proteger una cuenta de WhatsApp, para detalles específicos puedes consultar la ayuda de WhatsApp o escribirnos en @socialtic en redes sociales o a seguridad@socialtic.org.

¡Verificación en dos pasos!

La verificación en dos pasos es una función opcional que añade un nivel extra de seguridad a una cuenta de WhatsApp. Esta consiste en agregar una contraseña o PIN que se debe introducir cuando se registra una cuenta en un dispositivo nuevo. Al habilitar esta medida se tiene la opción de ingresar una dirección de correo electrónico que permite a WhatsApp enviar un enlace para restablecer el PIN por correo electrónico en caso de olvidarlo. 

Consulta este artículo del centro de ayuda de WhatsApp para conocer más acerca de la verificación en dos pasos, o revisa este recurso de acá para ver cómo activarla.

Códigos de verificación

Al intentar iniciar sesión en WhatsApp con un número de teléfono se enviará una notificación con un código de verificación mediante un SMS. En caso de recibir un código de estos sin haberlo solicitado, no lo compartas con nadie, pues alguien podría estar intentando acceder a tu cuenta. Consulta más información en este enlace de ayuda de WhatsApp.

Modificar ajustes de privacidad

Te recomendamos configurar tu foto de perfil, nombre, descripción y estados para que sean visibles únicamente por tus contactos, así solo las personas que conoces pueden ver esta información y puedes evitar intentos de suplantación de identidad por personas desconocidas. Sigue estos pasos para cambiar los ajustes de privacidad de tu cuenta.

Activar mecanismo de acceso a la aplicación

En caso de que lo requieras, es posible añadir un código o huella para abrir la aplicación, de esta forma si alguien tiene acceso físico a tu dispositivo aún necesitará conocer el código de la aplicación o utilizar tu huella para acceder.

¡Cuidado con mensajes o llamadas sospechosas!

Cuando se trata de mensajes o llamadas sospechosas, o de números desconocidos, te recomendamos verificarlos antes de compartir o responder con información personal, privada o que esté vinculada al acceso de tu cuenta como son los códigos que llegan por SMS o de la verificación en dos pasos. Tambien te recomendamos activar el PIN de acceso remoto en tu buzón de voz, ya que en algunos buzones es posible acceder desde otro dispositivo para obtener el código de acceso a la aplicación que puede ser dejado como mensaje de voz. Para esto puedes buscar ayuda con tu empresa proveedora de telefonia.

Revisa sesiones abiertas en otros dispositivos

Asegúrate de revisar constantemente las sesiones que has abierto en otros dispositivos o en WhatsApp Web. Si detectas un dispositivo que no reconoces o una sesión que no es tuya, cierrala inmediatamente

Mantén tu dispositivo móvil y aplicaciones actualizadas 

Al estar al día con las actualizaciones nos aseguramos de corregir errores críticos en el sistema operativo o en las aplicaciones como WhatsApp. Estos errores pueden ser utilizados por atacantes para realizar alguna actividad como la intervención de dispositivos mediante malware o phishing.

¿Qué hacer si han robado una cuenta de WhatsApp?

Si sospechas o sabes que una cuenta ha sido comprometida te recomendamos seguir los siguientes pasos, que son listados en el centro de ayuda de WhatsApp en este enlace:

  • Si sospechas que tu cuenta está siendo usada por alguien más te recomendamos notificar a tus familiares y amigos, ya que esa persona podría hacerse pasar por ti en tus chats individuales y grupales.
  • Si tu cuenta ha sido robada inicia sesión nuevamente e ingresa el código de verificación, luego, activa la autenticación en dos pasos.
  • Si no es posible iniciar sesión nuevamente porque la autenticación en dos pasos fue activada por la/el atacante tendrás que esperar 7 días para poder acceder sin el código de verificación en dos pasos.

Si aún tienes dudas de cómo proceder puedes enviar un correo electrónico a support@whatsapp.com con tu número telefónico y detalle de qué pasó.Recuerda que WhatsApp cuenta con una sección dedicada a este tema, por lo que te recomendamos revisarla también.

Algunas consideraciones adicionales

  • En caso de que alguien acceda a tu cuenta, no podrá ver tus mensajes anteriores, ya que estos se encuentran en tu dispositivo móvil, no en el de la otra persona.
  • De igual manera sucede con los respaldos, estos se encuentran vinculados a tu cuenta de Google o iCloud, por lo que para tener acceso a ellos es necesario a su vez acceder a la cuenta de Google o iCloud en cuestión.
  • Los respaldos de tus chats no se almacenan de manera cifrada. Puedes ir a la opción de respaldos en la app y activar el cifrado de estos. Para esto tendrás que ingresar una contraseña de cifrado que deberás proporcionar la próxima vez que restaures tu cuenta en otro dispositivo. Así evitarás que puedan acceder a tus respaldos de WhatsApp en caso de robo de tu cuenta de Google o iCloud.
  • Recuerda mantener una higiene adecuada en tus chats. Puedes activar los mensajes temporales para que tus conversaciones se borren después de 7 días, o desactivar la descarga automática de archivos multimedia en tu dispositivo, además evitarás saturar el almacenamiento de tu dispositivo móvil.

Fuente Protege.LA: Recomendaciones de Seguridad Digital en WhatsApp | Protege.LA

CÓMO SABER SI TU MÓVIL HA SIDO INFECTADO POR MALWARE Y MANERAS DE SOLUCIONARLO

Josep Albors | 04 May, 2022 | Ciberamenazas | No hay comentarios

A raíz de los numerosos casos de infecciones de personalidades y personas relacionadas usando el spyware Pegasus, son muchos los usuarios que han empezado a preocuparse por la seguridad de sus dispositivos móviles. Antes de volvernos paranoicos, hemos de aclarar que este tipo de software espía no se usa de forma indiscriminada contra todo tipo de usuarios y que los objetivos suelen estar muy bien elegidos por aquellos que tienen acceso a este spyware. Una vez aclarado este punto, vamos a ver qué tipos de amenazas pueden comprometer nuestro dispositivo, cómo detectarlas, eliminarlas y protegernos de futuras amenazas.

Diferencias entre Android y iOS

No deja de ser curioso que, al hablar del espionaje que han sufrido diversas personalidades a lo largo de los últimos años usando Pegasus, la gran mayoría de información disponible esté relacionada con infecciones a dispositivos de Apple. Esto puede tener varias explicaciones, como la mayor adopción que tienen los smartphones de esta marca en según qué perfiles, y, como bien indica Citizen Labs (responsable de la gran mayoría de investigaciones al respecto), su capacidad de realizar análisis forense en busca de infecciones por Pegasus se ha especializado en iOS y esto puede provocar que no sean capaces de detectar todas las infecciones sufridas en dispositivos Android.

Además, hemos de tener en cuenta que Pegasus es desarrollado por una empresa que invierte mucho dinero en descubrir agujeros de seguridad sin solución disponible que puedan explotar para conseguir su objetivo de comprometer los dispositivos móviles. Tampoco es la única empresa de este estilo que existe y cada una de ellas tienen sus clientes, que lo usan contra cierto tipo de objetivos.

En este punto, es importante destacar que la propia política de Apple relacionada con las aplicaciones que se pueden instalar en sus dispositivos y los permisos que obtienen impide que una solución de seguridad de terceros pueda funcionar como lo hace en sistemas operativos de escritorio o incluso en el ecosistema Android.

Por un lado, eso es positivo para sus usuarios, puesto que impide que se puedan descargar e instalar aplicaciones maliciosas fácilmente, pero, por otro, provoca que los objetivos de software espía avanzado como Pegasus poco o nada puedan hacer para impedir que sus dispositivos se vean comprometidos.

En el caso de Android, Google permite más libertad a sus usuarios, incluyendo la posibilidad de instalar soluciones de seguridad de terceros. A cambio, también permite que un usuario se infecte si descarga una aplicación maliciosa y le concede los permisos necesarios. Además, Android sigue teniendo un grave problema con la fragmentación de las versiones de su sistema operativo. Mientras que los usuarios de iOS suelen actualizarse a las últimas versiones del sistema (instalando así también los parches de seguridad más recientes), una buena parte de usuarios de Android se quedan anclados en versiones antiguas y con múltiples agujeros de seguridad sin parchear.

Cómo pueden infectar tu teléfono

En un escenario habitual, y teniendo en cuenta que la gran mayoría de nosotros no somos el objetivo de costosos software espía, hemos de tener en cuenta que las amenazas que pueden infectar nuestro teléfono pueden ser variadas. De hecho, en algunos casos no es necesario instalar ninguna aplicación en nuestro dispositivo, puesto que los delincuentes se aprovechan de la ingeniería social para engañarnos y convencernos de introducir datos personales en sitios web de phishing, algo que afecta a usuarios de Android y iOS por igual. Con respecto a las tácticas más usadas para infectar dispositivos Android, entre ellas encontramos el uso de enlaces incluidos en emails, sms o a través de mensajería instantánea. Estos enlaces suelen redirigir a la descarga directa de una aplicación o a una web desde la que se solicita esa descarga. Esta es una técnica muy usada por los troyanos bancarios dirigidos a usuarios de Android, los cuales han experimentado un importante crecimiento desde el inicio de la pandemia.

Ejemplo de pasos indicando como instalar una aplicación fraudulenta que suplanta al BBVA

Además de esta técnica, los delincuentes también pueden hacerse pasar por webs de apps legítimas, suplantando a marcas u organizaciones reales, y que incluyen enlaces a la descarga de la supuesta aplicación. A lo largo de los años hemos visto varios ejemplos donde los delincuentes se han hecho pasar por actualizaciones de Google Chrome o Flash Player, pero también por instituciones españolas como la Universidad Carlos III, que han visto cómo han utilizado su nombre para propagar troyanos bancarios.

Hemos hablado de troyanos bancarios porque, al menos en España, representan la principal amenaza a la que se enfrentan los usuarios de Android, pero existen muchas otras como el spyware comercial que muchas veces suele usarse para espiar a las parejas sin que estas lo sepan, el adware, los keyloggersfalsas aplicaciones de criptomonedas que roban las criptodivisas de los usuarios o incluso hay casos de ransomware en dispositivos móviles Android.

Comprobando si tu teléfono ha sido infectado

Una vez conocidas alguna de las principales amenazas a las que nos enfrentamos, es importante aprender a reconocer los síntomas que una infección por malware puede presentar. En algunas infecciones podemos ver como la batería del dispositivo se agota más rápido de lo normal, se observan picos en el uso de datos (incluso cuando no estamos usando el dispositivo), las opciones de Wi-Fi y GPS pueden habilitarse ellas solas o pueden mostrarse ventanas emergentes que muestran publicidad o solicitan la instalación de apps.

Además, en algunas ocasiones puede observarse el icono de aplicaciones que no recordamos haber instalado, iconos que pueden ser similares a otros conocidos como los del navegador de Internet. También existe la posibilidad de que algunas aplicaciones empiecen a fallar, cerrándose inexplicablemente, e incluso es posible que el teléfono deje de funcionar y se reinicie.

Un síntoma común en algunas familias de malware para Android como Flubot y sus derivados es el envío masivo de mensajes a sus contactos y otros números, que pueden incluso pertenecer a otros países o tener una tarificación especial. Estos mensajes pueden suponer un importante coste para la víctima y esta debe sospechar tan pronto reciba una factura anormalmente elevada.

Por supuesto, si el dispositivo del usuario es víctima de un ransomware, los delincuentes se encargarán de que lo sepa, puesto que bloquearán el dispositivo o mostrarán un mensaje indicándolo.

Solucionando posibles infecciones

Si confirmamos que nuestro teléfono ha sido víctima de un malware es hora de pasar a la acción y hacer lo necesario para eliminar la infección. Para ello primero debemos identificar la aplicación sospechosa de estar provocando la infección, accediendo al menú de aplicaciones y revisando todas las que tenemos instaladas para, una vez descartadas las apps legítimas, proceder a desinstalar las que sean sospechosas.https://www.youtube.com/embed/dIIDh1AqUKQ?feature=oembed

A pesar de que en las últimas versiones de Android Google ha incorporado medidas de seguridad y condiciones para que las aplicaciones no puedan ocultarse a los ojos del usuario, es posible que, especialmente si contamos con muchas apps instaladas en nuestro terminal, no sepamos distinguir entre aplicaciones legítimas y las que puedan estar relacionadas con una infección por malware, con lo que la eliminación manual se complica.

Para ayudarnos en esta tarea, podemos instalar una solución antivirus para móviles Android como ESET Mobile Security. Esto nos permitirá realizar un análisis en el dispositivo en busca de apps maliciosas que estén comprometiendo la seguridad del teléfono y de los datos que almacenamos en él.

Evitando caer en la trampa del malware

Como suele decirse, “es mejor prevenir que curar”, y por eso, antes de tener que recurrir a una eliminación manual de una app maliciosa, algo que puede llevar bastante tiempo e incluso podría implicar la restauración del terminal a sus valores de fábrica, es importante tomar una serie de precauciones, empezando por la actualización del sistema operativo y de las aplicaciones que tengamos instaladas siempre que sea posible.

Así mismo, es importante contar con una copia de seguridad de nuestros datos para evitar perderlos por una infección o por tener que restaurar nuestro móvil. Google ofrece la posibilidad de guardar cierto volumen de datos de forma gratuita, pero es posible que algunos usuarios requieran de una mayor capacidad.

Si bien aún se pueden encontrar algunas amenazas en tiendas oficiales como Google Play, la situación ha mejorado respecto a hace algunos años. Por ese motivo, siempre se recomienda descargar apps desde tiendas y webs legítimas, evitando realizar esas descargas en webs desconocidas o con poca reputación.

En este artículo hemos explicado las tácticas más frecuentes usadas por los delincuentes para comprometer nuestros dispositivos, por lo que conocerlas e informarse periódicamente acerca del uso de nuevas tácticas o campañas lanzadas por los criminales nos puede ayudar a estar prevenidos. Por supuesto, una solución de seguridad nos ayudará también a proteger nuestros dispositivos, y teniendo en cuenta que la mayoría cuentan con versiones gratuitas, no tenemos excusas para no instalarlas.

Conclusión

Como acabamos de ver, el malware en dispositivos móviles está cada vez más presente y hemos de adoptar las medidas necesarias para no caer en sus redes. La gran mayoría de nosotros puede protegerse siguiendo unos sencillos pasos, por lo que ya no hay excusas para no hacerlo.

Fuente Protegerse: Cómo saber si tu móvil ha sido infectado por malware y maneras de solucionarlo – Protegerse. Blog del laboratorio de Ontinet.com

Protégete al usar WiFi públicas

wifi-gratis

Las wifis públicas son aquellas que no están protegidas por una contraseña y nos permiten conectarnos a Internet de una forma cómoda y rápida. Estas redes no cifran la información que se transmite a través de ellas, por lo que no son seguras. También son aquellas que aun teniendo contraseña se acceso, se conectan muchas usuarios a ellas. Comúnmente las identificamos como wifis gratuitas. Esa maravillosa frase que leemos en un bar, un hotel, un centro comercial, una estación de tren, un aeropuerto… la acogemos como una bendición cuando nuestro contrato de datos ha llegado a su límite de consumo y nuestra navegación es extremadamente lenta. Al conectamos estamos accediendo a una red en la cual no tenemos el control de lo que se está trasmitiendo a través de ella, ni quien está conectado.

QUÉ DEBES TENER EN CUENTA ANTES DE CONECTARTE:

  • Si lo puedes evitar, no te conectes a redes inalámbricas abiertas. Las redes públicas pueden ponernos en peligro. Tanto el administrador como alguno de los usuarios conectados pueden utilizar técnicas para robarnos información.
  • Si vamos a conectarnos, es preferible acceder a una red con seguridad WPA o WPA2. Las redes abiertas y con seguridad WEP son totalmente inseguras.
  • Deshabilitar cualquier proceso de sincronización de nuestro equipo si vas a usar una red pública.
  • Mantener siempre el equipo actualizado, con el antivirus instalado correctamente y si es posible, hacer uso de un cortafuegos.
  • Ten precaución a la hora de navegar por páginas cuyos datos no viajan cifrados (la URL no empieza por HTTPS).
  • No inicies sesión (usuario/contraseña) en ningún servicio mientras estés conectado a una red pública. Evita realizar transacciones bancarias, compras online o cualquier otra tarea que suponga el intercambio de datos privados desde redes wifi públicas.
  • Tras la conexión, eliminar los datos de la red memorizados por nuestro equipo.
En esta página encontrarás:Una historieta: «El día que Alicia compartió sus fotos con un desconocido».Riesgos de las redes wifi públicasRecomendaciones de seguridadContenidos RelacionadosTambién te puede interesar:Cómo evitar el robo de credenciales en una wifi pública (videotutorial)Cómo protegerse al usar una wifi gratuita (infografía)Riesgos de las redes wifi de acceso públicoWi-Phishing: dónde se dan, cómo identificarlos y de qué manera protegernos

Imagen de Alicia compartiendo sus fotos con un desconocido

Historieta: El día que Alicia compartió sus fotos con un desconocido

Alicia es usuaria habitual de las redes sociales y servicios de chat, a través de los que mantiene contacto con amigos y familiares. Le gusta revisar todo aquello que comparten sus amistades, se entera de muchas cosas interesantes y pasa buenos ratos.

El otro día, mientras almorzaba en una cafetería del centro, recibió una invitación para ver unos vídeos en YouTube. Como sabía que eso consumiría una gran cantidad de datos, pensó en buscar alguna red wifi abierta en la zona y así no consumir los datos de su tarifa.

¡Qué suerte! La primera señal encontrada tenía el nombre de la cafetería. Era potente y además no era necesaria ninguna contraseña. Así que no lo pensó dos veces: se conectó inmediatamente, vio los vídeos y, ya que estaba, accedió a Facebook y otros servicios hasta que se marchó y se perdió la señal.

Alicia sabía que conectarse a redes desconocidas suponía algún riesgo, pero después de todo, “tampoco hay que ser tan desconfiado, al fin y al cabo el nombre coincide con el de la cafetería… y ¿quién va a estar interesado en espiar lo que yo hago?“.

Al día siguiente descubrió algo que la dejó perpleja. Alguien había entrado en su cuenta de Facebook y había publicado una docena de fotos, pero lo curioso es que eran fotografías que solo estaban en su móvil. No tardó mucho en recordar su “arriesgada acción” del día anterior.

Lo vio claro: “la conexión de ayer fue un fraude y algún ‘listillo’ se aprovechó. Copió mis archivos y consiguió mi contraseña de Facebook. ¡Qué ingenua fui! ¡Ni siquiera pregunté al dueño si disponían de red wifi para los clientes!”

Conectarse a redes wifi desconocidas siempre entraña riesgos.


Riesgos de las wifi públicas

Cuando nos conectamos a una red wifi pública desconocemos quién es el administrador o qué medidas de seguridad utiliza para impedir acciones malintencionadas de otros usuarios conectados y por tanto, podemos exponernos sin necesidad a una serie de riesgos que describiremos a continuación.

Robo de datos transmitidos. 

Si la conexión la realizamos sin contraseña, lo que conocemos como red “abierta”, los datos que transmitimos pueden ser leídos por cualquiera, tanto el administrador como otros usuarios conectados a la red. La información está expuesta a cualquiera que sepa cómo leerla, y para ello no es necesario tener unos conocimientos técnicos muy elevados.

Si el sistema nos pide una contraseña y aparece un candado, como “red protegida”, la información se transmite de forma cifrada. No obstante, esto está condicionado por el sistema de seguridad utilizado y la contraseña escogida. De menor a mayor seguridad, los sistemas son WEP, WPA y WPA2.

Nunca debemos conectarnos a una red WEP ya que se ha demostrado que es vulnerable y que su seguridad equivale a una red abierta (sin contraseña).

Robo de datos almacenados en nuestro equipo

Al formar parte de una red pública en la que existen otros usuarios conectados, nuestro dispositivo está expuesto y visible a los demás usuarios presentes en la misma.

Por tanto somos susceptibles de recibir cualquier tipo de ataque desde uno de estos equipos conectados.

Infección de los dispositivos.

Al conectarnos a una wifi ajena, un usuario malintencionado conectado a la misma red podría tratar de infectar nuestro equipo con algún tipo de virus.

Es importante mantener siempre nuestro equipo actualizado con las últimas actualizaciones de seguridad para el sistema operativo y para las aplicaciones que tengamos instaladas.

Equipos intermediarios malintencionados

Un usuario malintencionado conectado a la red podría configurar su equipo para hacer de intermediario de la comunicación entre nosotros y el servicio (por ejemplo, Facebook) modificando o eliminando la información intercambiada, que pasaría a través del ciberdelincuente.

El hacker “inocente”

En un momento dado,podemos sentir la tentación de conectarnos a una red ajena abierta o protegida utilizando herramientas de hacking wifi. Sin embargo, esta práctica constituye un uso ilícito de servicios de terceros que puede tener consecuencias legales. Además, puede darse el caso de que esa red wifi no presente contraseña o sea especialmente fácil de hackear precisamente para atraer víctimas a ella y así robar los datos al pícaro usuario.

Recomendaciones de seguridad

Nunca debemos utilizar redes wifi no confiables para acceder a servicios donde se intercambie información sensible: información bancaria, recursos corporativos, correo electrónico o acceso a las redes sociales.

Debemos evitar el uso de cualquier servicio en el que la información transferida tenga un componente importante de privacidad.

Nunca intercambiar información privada en redes no confiables.

Aunque podemos utilizar las redes públicas para otras acciones, como leer noticias en periódicos online o mirar la previsión del tiempo, no olvidemos que la mayor parte de los dispositivos mantienen un proceso de sincronización continua, por lo que el riesgo continúa existiendo.

Para protegernos de estos riesgos en redes donde los demás usuarios son desconocidos, contamos con una serie de medidas de seguridad que debemos aplicar:

Cortafuegos

Es muy importante tener instalado y habilitado un cortafuegos que no permita las conexiones entrantes a nuestro equipo por parte de otros usuarios de la red. Muchos sistemas operativos actuales permiten escoger el modo de funcionamiento del cortafuegos cada vez que nos conectamos a una nueva red wifi.

Configuraciones

En Windows, en “Centro de redes y recursos compartidos” encontramos dos configuraciones. ‘Pública’ es la que debemos seleccionar en las redes ajenas, y ‘Privada’ aquella a utilizar en redes de total confianza, como la de nuestra casa o la del trabajo.

Ventana donde se ve cómo configurar el tipo de red wifi a la que vamos a conectarnos

Sistema antivirus

Algunas aplicaciones antivirus pueden no solo identificar y detener software malintencionado destinado a nuestro equipo, sino también detectar y bloquear intentos de ataque a nuestro terminal.

Como siempre, es fundamental que lo mantengamos permanentemente actualizado.

Parches de seguridad

Las aplicaciones y los servicios de nuestros dispositivos pueden contener fallos de seguridad que un atacante utilizará para ganar acceso a nuestro equipo.

Las actualizaciones facilitadas periódicamente por los fabricantes de software deben ser instaladas en cuanto estén disponibles, preferiblemente de manera automática.

Desactivar la sincronización

Muchos de nuestros dispositivos realizan tareas en segundo plano sin la participación directa del usuario: sincronizaciones de agendas, calendario, descarga de correo electrónico, realización automática de copias de seguridad.

Se recomienda deshabilitar estos servicios cuando nos encontremos conectados a una red no segura. Ésta opción de habilitar o deshabilitar la sincronización en segundo plano la encontraremos generalmente en los ajustes generales de nuestro dispositivo copias de seguridad.

Desactivar el sistema wifi en los dispositivos

Cuando nos encontremos fuera del alcance de nuestras redes wifi de confianza debemos deshabilitar la opción de conectarse a este tipo de redes. Se aconseja porque un atacante puede suplantar una red wifi de nuestra lista de favoritos, forzándonos a que nos conectemos a ella de forma automática y transparente para nosotros.

Limpiar la lista de puntos de acceso memorizados

Conviene revisar la lista de puntos de acceso memorizados para eliminar aquellos esporádicos y dejar únicamente los realmente confiables.

La mayoría de nuestros dispositivos almacenan un listado de las redes a las cuales nos hemos conectado previamente, almacenando incluso las credenciales de acceso. Cada cierto intervalo de tiempo nuestra wifi intenta conectarse de forma automática a cada una de las redes almacenadas, y es posible que nos encontremos formando parte de una red inalámbrica involuntariamente.

Esto es debido a que para realizar su asociación con el punto de acceso tan solo se comprueba el nombre de la red (SSID) y el sistema de seguridad. Por ejemplo, si en el aeropuerto de Bilbao nos conectamos a una red wifi abierta llamada “Aeropuerto” y en el terminal de pasajeros de Valencia existe una red abierta con el mismo nombre, nos veremos formando parte de esa red de forma automática sin desearlo.

Para eliminar u olvidar la lista de accesos memorizados, en función de nuestro sistema operativo tenemos varias opciones:

  • Si disponemos de un dispositivo con Android:
    • Para Versión 6.0 Marshmallow: Ajustes > Wi-Fi > Posición en ACTIVO > Mantenemos presionada la Wi-Fi que deseamos eliminar > olvidar red.
    • Para Versión 7.0 Nougat: Ajustes > Conexiones > Wi-Fi > Posición en ACTIVO > Mantenemos presionada la Wi-Fi que deseamos eliminar > olvidar red.
  • Si disponemos de un dispositivo con iOS:
    • Para MAC: Preferencias de sistema > Red > Wi-Fi > Avanzado > Seleccionamos la Red > pulsamos la tecla «Menos».
    • Para iPhone y iPad: Ajustes > Wi-Fi > Darle al botón con la «i» para acceder a su configuración > Omitir esta red.
  • Si disponemos de un dispositivo con Windows:
    • Para Windows 7: Inicio > Panel de control > Red e Internet > Centro de redes y recursos compartidos > Administrar redes inalámbricas > Seleccionar la red > Eliminar.
    • Para Windows 10: Configuración > Red e Internet > Wi-Fi > Administrar configuración de Wi-Fi > Seleccionamos el nombre de la red > Dejar de recordar.

EJEMPLOS DE CORREOS USADOS POR LOS LADRONES DE INFORMACIÓN DIRIGIDOS A EMPRESAS ESPAÑOLAS

A la hora de revisar cuáles son las amenazas dirigidas a empresas españolas más detectadas, hay un grupo que hace meses que está destacando. Nos referimos a aquellas amenazas que en ESET catalogamos como infostealers o ladrones de información, y, más concretamente, las que están especializadas en robar datos como credenciales almacenadas en aplicaciones de uso cotidiano. Para aprender a detectar este tipo de amenazas, vamos a revisar tres correos diferentes detectados en las últimas horas.

Envío de facturas

Partiendo de la base de que el correo electrónico sigue siendo el vector de ataque preferido por los delincuentes especializados en este tipo de robos de información, podemos encontrarnos varios ejemplos como los que vamos a analizar en este artículo. Muy posiblemente, el ejemplo más peligroso y que puede hacer morder el anzuelo a más usuarios es el que, aprovechándose de un servidor de correo de una empresa previamente comprometida, envía emails a sus clientes, proveedores y a un listado de empresas definido por los delincuentes. Estos correos no solo cuentan con la ventaja de haber sido enviados desde una cuenta de correo legítima, lo que los hace menos propensos a caer en filtros antispam, sino que también su redacción está bien hecha, suelen incluir información y logotipos de la empresa desde la que se manda el correo e incluso a veces se puede llegar a incluir conversaciones anteriores con la empresa que se tiene como objetivo para ganar credibilidad.

En el ejemplo que vemos en la imagen de arriba vemos como se menciona una factura, algo habitual y con lo que el personal de departamentos como los de administración o contabilidad está habituados a lidiar a diario. Estos mensajes suelen venir acompañados de un fichero comprimido que en su interior contienen un archivo con un nombre que suele vincularse con el asunto del mensaje, pero con una extensión de fichero ejecutable.

Si el usuario que recibe el correo cae en la trampa e intenta abrir el fichero ejecutable pensando que es una factura, iniciará la cadena de infección en el sistema, comprometiéndolo y permitiendo que los delincuentes puedan robar información de él.

Sin embargo, al contar con una solución de seguridad, ya sea en las estaciones de trabajo, el servidor de correo o en ambas, es posible detectar esta amenaza antes de que el correo llegue a su destinatario, evitando la posibilidad de infectar el sistema. En este caso, la detección indica que se trata de un nuevo caso del malware Agent Tesla, responsable de la mayoría de infecciones de este tipo en España.

Exportaciones a Italia

Otro de los asuntos que estamos viendo utilizar en este tipo de correos tiene relación con propuestas de exportación o colaboración con empresas extranjeras. En estos correos se nos invita a colaborar o, directamente, se hace una petición de productos a nuestra empresa, indicando que en el fichero adjunto se encuentra el listado de productos solicitados, presupuesto o documento similar.

Un correo como el que acabamos de mostrar puede resultar interesante a más de una empresa que busque expandir su negocio fuera de España y esté buscando clientes, por lo que es posible que se baje la guardia y se ejecute el fichero adjunto. Este fichero adjunto comprimido contiene, como es de esperar, otro ejecutable camuflado como documento PDF y que se encarga de infectar el sistema con un troyano.

En esta ocasión, la redacción del mensaje es un poco más descuidada, pero aun así puede pasar por legítimo si el destinatario lo lee sin fijarse demasiado y tiene en cuenta que, supuestamente, ha sido enviado por una persona que no tiene el español como lengua materna.

La transferencia de fondos

Otra de las plantillas que vemos reutilizar una y otra vez en este tipo de correos se corresponde con una supuesta transferencia que ha sido emitida a nuestra empresa. Como estas transferencias son habituales y suelen venir acompañadas de documentos que muestran cómo se ha realizado, es normal que los usuarios encargados de gestionar las finanzas de la empresa traten de abrir los ficheros adjuntos para verificar que todo está en orden.

Como en muchos otros casos, el fichero adjunto no contiene ningún comprobante de transferencia, por mucho que el nombre del archivo nos quiera convencer de lo contrario. Estamos de nuevo ante un archivo ejecutable que tratará de infectar el sistema y realizar las acciones maliciosas para las que ha sido programado y que muy probablemente termine instalando malware adicional en el sistema pensado para robar información.

Este tipo de correos suelen ser más escuetos y directos, pero seguimos sin detectar fallos graves de redacción, algo que hace que muchos usuarios confíen en estos emails como legítimos.

Conclusión

Acabamos de analizar tres ejemplos de correos maliciosos dirigidos a empresas y cómo intentan engañar a los destinatarios para que descarguen y ejecuten los códigos maliciosos adjuntos. Es posible encontrar otras variantes que incluso sustituyen los ficheros adjuntos por un enlace, pero las técnicas usadas son parecidas. Lo importante es destacar que estos mensajes están cada vez mejor redactados y pueden venir de direcciones de correo legítimas, por lo que debemos desconfiar por defecto de todo aquello que no hayamos solicitado expresamente y contar con soluciones de seguridad que sean capaces de detectar y eliminar estas amenazas.

Fuente blogs.protegerse.com : https://blogs.protegerse.com/2022/05/03/ejemplos-de-correos-usados-por-los-ladrones-de-informacion-dirigidos-a-empresas-espanolas/

“LIQUIDACIÓN POR FACTORIZACIÓN DE CRÉDITOS” NUEVA SUPLANTACIÓN POR EMAIL DEL BBVA INSTALA MALWARE

La suplantación de entidades bancarias con un fuerte reconocimiento de marca entre los usuarios, como es el caso del BBVA, es algo que los delincuentes no dejan de aprovechar a la hora de preparar sus campañas de propagación de amenazas. Entre esas amenazas se encuentran aquellas que están dirigida a robar información (especialmente credenciales de acceso a todo tipo de servicios) de los equipos infectados, una tendencia que ha aumentado considerablemente en España en los últimos dos años.

Un sospechoso correo del BBVA

Mediante el envío de un correo con una plantilla que ya hemos visto anteriormente en campañas similares y que trata de suplantar la identidad del BBVA, los delincuentes pretenden engañar al usuario que lo reciba para que descargue y abra el archivo adjunto. En esta ocasión, se ha usado como gancho el supuesto ingreso en la cuenta del usuario de un supuesto anticipo, aunque el asunto del mensaje no queda muy claro y además contiene errores a la hora de escribir caracteres con acentos.

El remitente del mensaje podría parecer legítimo a ojos de un usuario que no se fijase demasiado, pero estamos ante un nuevo caso de spoofing o suplantación de identidad, y la dirección real desde la que se envía ese mensaje poco tiene que ver con los correos legítimos que utiliza esta entidad bancaria para ponerse en contacto con sus clientes.

Revisando el archivo infectado

Suponiendo que algún usuario receptor de este mensaje cayera en la trampa y descargase el archivo adjunto, se encontraría ante un fichero comprimido en formato RAR. Si procede a descomprimirlo, veremos como en su interior se encuentra un archivo ejecutable, responsable de infectar el sistema de la víctima.

Hay que destacar que los delincuentes detrás de esta campaña no han sido nada discretos a la hora de intentar camuflar sus intenciones. No es solo que el archivo comprimido contenga un ejecutable que no trata en ningún momento de ocultar su extensión real, sino que, cuando se ejecuta, deja rastro de su actividad. Dos ejemplos claros son la creación de un icono en el escritorio del sistema y el intento de desactivación del cortafuegos de Windows, algo que genera una alerta del sistema y puede hacer pensar al usuario que puede estar sucediendo algo peligroso.

En esta ocasión nos encontramos ante un nuevo caso de utilización de GuLoader, amenaza que suele ser muy utilizada en campañas de este tipo para desplegar toda clase de malware en los sistemas comprometidos, aunque suele usarse especialmente en aquellas campañas pensadas para robar credenciales almacenadas en aplicaciones de uso habitual en empresas, como las protagonizadas por Agent Tesla y Formbook. En este caso, las soluciones de ESET detectan esta amenaza como el troyano NSIS/Injector.ASH.

Además, podemos incluso ver desde dónde se descarga esta muestra de GuLoader, el payload que tienen definido para esta campaña. Observamos que los delincuentes han optado por el camino fácil y lo han almacenado en Google Drive. Esto les facilita las cosas pero también hace que esta muestra de malware no dure mucho tiempo, ya que Google suele retirar el malware almacenado en sus servicios relativamente rápido.

No obstante, el tiempo que pueda estar descargándose esta amenaza desde esa ubicación es más que suficiente para tratar de infectar a un número de usuarios que los delincuentes detrás de esta campaña consideran adecuado. De hecho, al realizar el análisis aún hemos podido descargar el fichero al que se apuntaba desde el enlace.

Este esquema de ejecución viene repitiéndose en varias ocasiones desde hace meses, usando el nombre de entidades bancarias o incluso enviando los mensajes desde cuentas de correo pertenecientes a empresas que han sido previamente comprometidas. El constante envío de este tipo de correos y la poca innovación en las técnicas usadas por los delincuentes demuestran que todavía están obteniendo un número lo suficientemente elevado de víctimas como para no esforzarse demasiado en realizar cambios.

El peligro real viene dado por las posibilidades que estas credenciales robadas ofrecen a otros atacantes que las utilizan en su acceso inicial a redes corporativas. Una vez consiguen acceder a la red, son capaces de realizar movimientos laterales por todos los equipos que la conforman, tomar el control de equipos críticos como servidores de correos, ficheros o controladores de dominio, robar información confidencial e incluso cifrarla para pedir un rescate.

Conclusión

Seguimos viendo que los delincuentes utilizan ganchos, plantillas y técnicas ya observadas con anterioridad sin realizar demasiados cambios. Esto demuestra que aún queda mucho por hacer en materia de seguridad y concienciación, especialmente en el entorno de las pymes españolas, que son las que más sufren ataques de este tipo y las que más vulnerables son.

Fuente Protegerse: “Liquidación por Factorización de Créditos” nueva suplantación por email del BBVA instala malware – Protegerse. Blog del laboratorio de Ontinet.com

Europa aprueba nuevas medidas para frenar la difusión de contenidos ilegales o desinformación en las redes sociales

Las medidas, además de proteger a los usuarios y solicitar más transparencia a las redes sociales, otorgan a la Comisión y Estados miembros el derecho a censurar o restringir cierta información en caso de situaciones crítica

Ursula von der LEYEN, Presidente de la Comisión Europea celebró el acuerdo: «Lo que es ilegal offline ahora también será ilegal online en Europa»Credit: Parlamento Europeo

El Parlamento Europeo y el Consejo Europeo llegan a un acuerdo para aprobar las medidas recogidas en la Ley de Servicios Digitales (DSA, por sus siglas en inglés) dirigidas a sujetar a las grandes tecnológicas a una mayor responsabilidad por el contenido ilegal que se difunda en sus plataformas y servicios.

La aprobación ha concluido en la madrugada del sábado en Bruselas tras más de 16 horas de debate sobre las medidas recogidas en la DSA. Esta ley es pionera, pues está dirigida expresamente a las grandes compañías de Internet que hacen de intermediarios. A su vez, permite que los Gobiernos supervisen y controlen lo que suceda o pueda suceder en ellas.

«Estas nuevas normas protegerán a los usuarios de Internet», ha dicho Ursula von der Leyen, presidente de la Comisión Europea (CE), celebrando el acuerdo. «Lo que es ilegal fuera de la red será ilegal también dentro de ella en Europa».

Responsabilidad para los servicios intermediarios

La DSA se compone de varias medidas dirigidas a proteger la privacidad de sus usuarios, aumentar la transparencia de los algoritmos de las redes sociales, proteger a los menores, y, como novedad más significativa, dotar a la Unión Europea y a todos los estados miembros la posibilidad de supervisar tanto el funcionamiento de las redes sociales como el contenido que en éstas se difunde.

La Unión Europea tendrá acceso a los algoritmos que emplean las grandes plataformas online (La DSA considera como gran plataforma online a aquella que cuenten con más de 45 millones de usuarios activos al mes). Es decir, todos los Estados miembros de la UE podrán conocer con exactitud cómo funcionan los algoritmos que emplean para servir contenido que aumente el tiempo del usuario dentro de la aplicación.

Tanto Facebook como Google y similares estarán obligadas a ofrecer sistemas claros, rápidos y concisos que promuevan que los usuarios informen de contenido ilegal dentro de la plataforma. Tendrán que eliminarlo rápidamente, o se enfrentarán a multas récord, ya que su cuantía estará basada en el porcentaje de ganancias globales de la empresa, y no sólo de sus negocios en Europa.

Las víctimas de ciberviolencia estarán especialmente protegidas frente a la difusión de contenido sin su permiso (lo que se conoce como revenge porn), y las redes sociales tendrán que eliminarlo de forma inmediata. Esta inmediatez requerirá de una mayor inversión en equipos de moderación, ya que los algoritmos de inteligencia artificial no pueden saber si las fotografías o vídeos se han difundido con el consentimiento de la persona que sale en éstos.

Más transparencia para los usuarios… y para los Gobiernos

Cualquier servicio o red social de gran tamaño que emplee un sistema de recomendación de contenido o lo ordene por preferencias del usuario deberá ofrecer a su vez una opción que no tenga en cuenta sus preferencias. Es decir, Instagram tendrá que recomendarte cosas que podrían gustarte sin poderte preguntar qué es lo que te gusta. Sería como ir a pedir al librero que te recomiende un libro pero sin decirle qué te gusta o qué libros disfrutaste leyendo; te quedas callado y exiges que te recomiende algo bueno con ayuda de la ciencia infusa. Todo esto no tiene ningún sentido. Así que, a efectos prácticos, las redes sociales recurrirán a ofrecer sistemas de ordenamiento cronológico junto a los algoritmos de aprendizaje automático que emplean actualmente. La clave es que habrá la opción de evitar el algoritmo; pero en redes sociales como TikTok esto vuelve a carecer de sentido: atenta contra el propósito mismo del servicio.

Estará prohibido que las diferentes plataformas intenten manipular las decisiones de sus usuarios con «tácticas oscuras» dentro de sus servicios como usar un botón más grande que otro según convenga a la empresa a la hora de dar permisos en la trata de sus datos. A su vez, será obligatorio que el proceso de cancelación de servicio sea igual de rápido y sencillo que el de suscripción.

Cualquier plataforma accesible a menores deberá ofrecer un lugar especial sin publicidad dirigida de ningún tipo para éstos. No estará permitido recopilar información alguna sobre las preferencias de uso del menor para crear un perfil publicitario de éste.

Herramientas para que la UE pueda censurar información en las redes sociales

La ley también está dirigida a controlar o eliminar contenido que no necesariamente es ilegal.

Las grandes redes sociales y buscadores como Facebook, Twitter, YouTube, TikTok, etc. tendrán que cumplir con obligaciones más estrictas, proporcionales a los «importantes riesgos que plantean al ser plataformas de contenido ilegal y perjudicial, incluida la desinformación». Estas redes sociales estarán obligadas a realizar un análisis sobre los posibles riesgos que generan sus servicios e intentar atajarlos bajo la supervisión de la CE según estos criterios:

  • Difusión de contenido ilegal
  • Efectos adversos para los Derechos Fundamentales.
  • Manipulación a través de los servicios para minar o alterar tanto los procesos democráticos como la seguridad pública.
  • Posibles efectos adversos en menores o en la salud mental de los adultos.

Pese a que los encargados de elaborar el texto hablen de «proteger los derechos de la libertad de expresión» y «eliminar el contenido ilegal», una de las medidas aprobadas da derecho a que la UE pueda activar mecanismos para censurar o minimizar la difusión de cualquier información que sea considerada como dañina o perjudicial sin la necesidad de que ésta constituya de delito. Es un mecanismo de respuesta a determinadas crisis que se implantaría durante tres meses en caso de que la Comisión lo crea procedente. Se cita como ejemplo el contexto de la agresión rusa en Ucrania y la medida tomada de prohibir la difusión de propaganda por parte de los medios estatales rusos dentro de los Estados miembro.

«Se da una base legal a las actuaciones que llevó a cabo la Comisión respecto a la desinformación durante la pandemia del COVID y la propaganda rusa en la invasión de Ucrania. Y en la práctica ofrece a la Comisión y los Gobiernos herramientas de censura indirecta más allá de esos 3 meses», dice Borja Adsuara, abogado y experto en derecho digital, quien considera la medida «muy peligrosa».

La ley ofrece un recurso legal para poder actuar de forma rápida y contundente sobre la difusión de información contraria al bienestar colectivo, según el criterio de la Unión. Pero, en el fondo, «Es una censura indirecta de los Gobiernos, en la que encima no se van a tener que manchar las manos», opina Adsuara. «Ya sólo tienen que decir a las redes sociales lo que quieren borrar».

La crisis originada por el virus de la COVID suscitó un debate público sobre la línea que separa la libertad de expresión y la salud pública. La DSA da herramientas para restringir la difusión de contenido que no es ilegal, como el escepticismo ante las medidas de contingencia adoptadas por los diferentes Gobiernos durante esta crisis sanitaria. Es necesario recordar el debate que suscitó el show de Joe Rogan al respecto: ¿debate bajo el amparo de la constitución o desinformación peligrosa?

Todos piensan en el discurso del odio de los que no piensan como ellos; pero no piensan en que si les entregamos el poder de censurar a las redes sociales, lo van utilizarán contra todos cuando quieran. Si lo hicieron con Donald Trump cuando todavía era Presidente de los EE.UU., ¿qué no harán contra el resto de los mortales?

Borja Adsuara

Próximos pasos tras la aprobación

El texto ha de ser finalizado a nivel técnico y verificado por juristas lingüistas, antes de que el Parlamento y el Consejo den su aprobación formal. Una vez completado este proceso, entrará en vigor 20 días después de su publicación en el Diario Oficial de la UE y las normas comenzarán a aplicarse 15 meses después.

Del 23 al 27 de mayo, una delegación de la Comisión de Mercado Interior del Parlamento visitará las sedes de varias empresas (Meta, Google, Apple y otras) en Silicon Valley para debatir en persona el paquete de la Ley de Servicios Digitales, así como otras legislaciones digitales en preparación, y escuchar la posición de las empresas americanas.

Se estima que esta regulación entrará en vigor a principios de 2024, y aplicaciones como Facebook o Twitter han de estar preparadas o se enfrentarán a multas récord.

En Estados Unidos, el Partido Demócrata aboga por romper el blindaje que protege a las redes sociales como simples proveedores gracias a la Primera Enmienda y la Sección 230, y adoptar una regulación que permita controlar la difusión de cierta información que pudiere ser nociva «para la democracia», dijo Barack Obama este jueves en un discurso en la Universidad de Standford. El Partido Republicano, sin embargo está adoptando una postura opuesta. Sus dirigentes aseguran que el problema es censurar puntos de vista alternativos a la opinión del Gobierno, y ven en Elon Musk su gran aliado tras declarar que quiere comprar Twitter «para liberarla» y defender la libertad de expresión. Para los demócratas, esta libertad significa desinformar y atentar contra la democracia sin afrontar consecuencia alguna.

Fuente Hipertextual.com : https://hipertextual.com/2022/04/europa-aprueba-ley-servicios-digitales

Aprende a reconocer el malware y sus trucos maliciosos

Consejos prácticos para combatir códigos maliciosos que puedes encontrar

El mundo digital conoce muchas amenazas y el malware puede ser una de las más desagradables. Para mantener a salvo a niños, adolescentes y adultos, repasaremos los tipos y formas más comunes de código malicioso que puedes encontrar y ofreceremos consejos prácticos.

¿Qué es el malware?

Empecemos con la palabra malware. Es una mezcla de las palabras «malicioso» y «software» y se utiliza como un término general para los programas informáticos dañinos, normalmente instalados sin el conocimiento de la víctima. Aunque el término engloba herramientas con diversas funciones y diferentes niveles de sofisticación, lo que todos tienen en común son las malas intenciones de sus autores.

En términos generales, el malware puede dividirse en tres categorías según el nivel de daño que puede causar a las víctimas:

·   ; Aplicaciones potencialmente no deseadas (PUA)

Las PUAs son lo que podríamos llamar una «zona gris». Este tipo de software puede no ser directamente dañino, pero suele ser intrusivo o engañoso. Las PUAs pueden incluir varias barras de herramientas del navegador, software que muestra anuncios no deseados, software que mina criptomonedas sin el conocimiento del usuario, y otros.

·    ; Malware de productos básicos

Una gran categoría de códigos maliciosos con una clara intención de perjudicar a la víctima, como por ejemplo robar sus datos, contraseñas, robar dinero de sus cuentas bancarias, espiarla o extorsionarla. El objetivo de la mayoría de estos programas maliciosos «clásicos» es el dinero. El malware puede dividirse en otras categorías según su funcionalidad: ransomware, spyware, descargadores, keyloggers, backdoors, adware y muchos más.

·        Amenazas persistentes avanzadas (APT)

El tipo de código malintencionado más avanzado técnicamente, creado por equipos experimentados (y bien pagados) de desarrolladores de malware. Las APT suelen tener como objetivo las infraestructuras críticas, la distribución de energía, las instituciones gubernamentales o los sistemas de tráfico y pueden causar graves daños al funcionamiento de una ciudad o de todo un país. Esa es también la razón por la que a veces se les llama ciberarmas. Un usuario normal de ordenador no es probable que se encuentre con una amenaza de este tipo, pero puede verse afectado por las consecuencias de un ataque APT.

¿Dónde pueden encontrar programas maliciosos los niños y adolescentes?

En resumen, en casi cualquier lugar de Internet. Redes sociales, chats, buzones de correo electrónico, sitios web de streaming de vídeo y juegos: el malware puede esconderse detrás de cualquier enlace o archivo adjunto de aspecto inofensivo, o incluso puede ejecutarse en el navegador, cuando tú o tu hijo visitáis un sitio web comprometido. Los smartphones y las tablets tampoco son zonas libres de malware: se sabe que las aplicaciones fraudulentas y maliciosas se esconden detrás de aplicaciones aparentemente útiles y divertidas, a veces incluso en la tienda oficial de aplicaciones de Android.   

Aunque hay innumerables formas técnicamente avanzadas de infectar un sistema y asegurar la propagación del malware, una de las formas más efectivas es ir tras el eslabón más débil de la cadena: el ser humano. Y cuando ese ser humano es un niño curioso, el «trabajo» del atacante resulta más fácil.

Utilizando la ingeniería social -la manipulación psicológica de las personas- los atacantes pueden engañar al niño para que haga clic en enlaces maliciosos o abra archivos adjuntos maliciosos, entregando datos sensibles o concediéndole diversos permisos intrusivos.

Sin ser conscientes de estos peligros, los niños también pueden acabar exponiendo sin querer a sus familias a diversas ciberamenazas y problemas, como el malware bancario que obtiene los datos de las tarjetas de crédito y otra información muy sensible.

¿Cómo puedes proteger a tu hijo y a ti mismo contra el malware?

  • Instala una solución de seguridad fiable en todos los ordenadores utilizados en tu familia para manteneros a salvo de intrusos malintencionados. Los dispositivos móviles con Android pueden protegerse con un software de seguridad móvil de confianza. Las soluciones de ESET ejecutarán automáticamente un análisis de cada archivo descargado y bloquearán cualquier elemento malicioso, manteniendo tus dispositivos a salvo.
  • Mantén actualizados el sistema operativo, las aplicaciones y otros programas, así como los navegadores de los dispositivos de tu familia. Esto puede ser fundamental para prevenir ataques que se basan en vulnerabilidades sin parches.
  • Enseña a tus hijos a detenerse y pensar antes de hacer clic en enlaces y botones de descarga, ya que muchos de ellos pueden ser engañosos y conducir a estafas o sitios web maliciosos.
  • Cuando tus hijos quieran descargar un nuevo software, dirígelos al sitio web del desarrollador original del software o a las tiendas oficiales en línea. Si te ciñes a las fuentes oficiales, se reduce la posibilidad de que te descargues accidentalmente algún extra peligroso o no deseado junto con el programa deseado.
  • El uso de una aplicación de control parental de confianza, tras un acuerdo con tu hijo, puede ayudarte a crear un marco seguro para las actividades en línea del niño y permitirte bloquear contenidos problemáticos.

Fuente saferkidsonline.eset.com: https://saferkidsonline.eset.com/es/article/aprende-a-reconocer-el-malware-y-sus-trucos-maliciosos

Suplantan a la DGT con la excusa de una multa no pagada

Se ha detectado una campaña fraudulenta a través del correo electrónico (phishing) suplantando a la Dirección General de Tráfico (DGT). El mensaje contiene un enlace a una supuesta notificación que descarga malware en el dispositivo.

Recursos afectados

Cualquier usuario que haya recibido un correo electrónico de estas características, haya pulsado sobre el enlace para consultar el supuesto archivo, y posteriormente haya abierto el fichero que se descarga.

Solución

Si has descargado y ejecutado el archivo malicioso, es posible que tu dispositivo se haya infectado. Para proteger tu equipo, debes escanearlo con un antivirus actualizado o seguir los pasos que encontrarás en la sección desinfección de dispositivos. Si necesitas soporte o asistencia para la eliminación del malware, INCIBE te ofrece su servicio de respuesta y soporte ante incidentes de seguridad.

Si no has ejecutado el archivo descargado, posiblemente tu dispositivo no se habrá infectado. Lo único que debes hacer es eliminar el archivo que encontrarás en la carpeta de descargas. También deberás enviar a la papelera el correo que has recibido.

En caso de duda sobre la legitimidad del correo, no pulses sobre ningún enlace y ponte en contacto con la empresa o el servicio que supuestamente te ha enviado el correo, siempre a través de sus canales oficiales de atención al cliente. En este caso la DGT ofrece un número de teléfono de atención al ciudadano, 060.

Recuerda que, para mayor seguridad, es recomendable realizar copias de seguridad de manera periódica con toda la información que consideres importante para que, en caso de que tu equipo se vea afectado por algún incidente de seguridad, no la pierdas. También es recomendable mantener tus dispositivos actualizados y protegidos siempre con un antivirus.

Finalmente, aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con los siguientes recursos que ponemos a tu disposición:

Detalles

Se ha detectado una campaña de correos electrónicos suplantando a la Dirección General de Tráfico (DGT) que contiene un enlace que, al pulsar sobre él, descarga malware (un fichero malicioso) en el dispositivo.

Los correos identificados contienen el siguiente asunto para provocar el interés del usuario ‘Bloqueo del Vehiculo – Multa no pagada’, aunque no se descarta que existan otros correos con asuntos diferentes, pero con el mismo objetivo: incitar al usuario a descargar un fichero bajo algún pretexto de su interés, utilizando para ello técnicas de ingeniería social.

El mensaje del correo se caracteriza por:

  • El remitente se identifica como el Ministerio del Interior.
  • Contener imágenes de logotipos oficiales que intentan dar más credibilidad al correo.
  • Facilitar un enlace que simula pertenecer la sede electrónica de la DGT, pero que al pulsar sobre él, redirige a un domino que descarga el malware.
  • Usar un dominio en el correo electrónico del remitente (la parte que va después del @) que simula pertenecer al dominio oficial de la DGT. Debemos recordar que el correo electrónico es bastante sencillo de falsificar.
Email falso DGT

Si se pulsa sobre la imagen que esconde el enlace fraudulento (Acceso Sede Electrónica), se descargará automáticamente desde el navegador web en el dispositivo un archivo .zip que contiene malware.

Fuente OSI: Suplantan a la DGT con la excusa de una multa no pagada | Oficina de Seguridad del Internauta (osi.es)