Campañas de phishing suplantando entidades bancarias

Recursos afectados: 

Cualquier empleado, autónomo o empresa que realice habitualmente operaciones de banca electrónica.Descripción: 

Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo phishing que tratan de suplantar a la entidad financiera Banco Sabadell, aunque no se descarta que puedan suplantar a otras entidades. En dichos correos se utiliza como excusa el realizar un proceso de verificación de datos para desbloquear la cuenta y la tarjeta.Solución: 

Si tú o cualquier empleado de tu empresa habéis recibido un correo con estas características, ignoradlo. Se trata de un intento de fraude.

Si has accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberás modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Si has facilitado las credenciales de tu cuenta financiera, recopila todas las pruebas de las que dispongas (capturas de pantalla, el e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia. Como pautas generales, para evitar ser víctima de fraudes de este tipo se recomienda:

  • No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos SMS.
  • Ten precaución al seguir enlaces, aunque sean de contactos conocidos. Debemos comprobar el enlace siempre, situándonos sobre el para ver si es el de la entidad legítima o usando herramientas para expandirlo si está acortado.
  • Si el SMS tiene ficheros adjuntos, será mejor no descargarlos sin comprobar que conocemos al remitente y confirmar que nos lo ha enviado. Si los hemos descargado, debemos utilizar herramientas como VirusTotal antes de ejecutarlos.
  • Revisa la página web y sigue estas buenas prácticas y los consejos para navegar seguro (parte I y parte II). Comprueba la URL para ver si se trata de la entidad que esperas y si tienen certificado web. Si no es así, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  • En caso de duda, consulta directamente con la entidad implicada a través de sus canales oficiales.

Además, para prevenir y reforzar estos consejos es importante realizar acciones de concienciación en ciberseguridad entre los empleados:

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de Twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017, y los canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario web.Detalle: 

La campaña maliciosa detectada suplantando al Banco Sabadell tiene como asunto “Aviso Importante” aunque podría tener asuntos similares.

En el cuerpo del correo se avisa al usuario de que su cuenta y tarjeta han sido bloqueadas debido a una operación no finalizada correctamente y aludiendo a pautas de seguridad, se solicita una verificación de identidad.

correo suplantando al banco Sabadell

Aunque la URL parece ser la legítima, al hacer clic en la misma, el usuario accederá a la página web fraudulenta que suplanta a la del Banco Sabadell.

Página suplantación Agencia Tributaria

Una vez introducidas las credenciales de acceso y hacer clic en el botón «Entrar», estas pasarán a manos de los ciberdelincuentes.

Fuente: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/campanas-phishing-suplantando-entidades-bancarias

El Banco Sabadell no tiene ningún aviso importante para ti, se trata de un phishing

Se ha detectado una campaña de envío de correos electrónicos fraudulentos de tipo phishing que tratan de suplantar a la entidad financiera Banco Sabadell. En dichos correos se utiliza como excusa el realizar un proceso de verificación de datos para desbloquear la cuenta y la tarjeta.

Recursos afectados

Cualquier usuario que sea cliente del Banco Sabadell y realice, habitualmente, operaciones de banca electrónica.

Solución

Como en cualquier otro caso de phishing, extrema las precauciones y avisa a tus contactos para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o, como en este caso, enlaces externos a páginas de inicio de sesión.

Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de acceso (usuario y contraseña), contacta lo antes posible con la entidad bancaria para informarles de lo sucedido. Además, te recomendamos modificar la contraseña de todos aquellos servicios en los que utilices la misma.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.
  2. Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.
  3. Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  4. En caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

De manera adicional, ten en cuenta siempre los consejos que facilitan los bancos y entidades financieras en su sección de seguridad:

  1. Cierra todas las aplicaciones o programas antes de acceder a su web.
  2. Escribe directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
  3. Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate de que descargas la aplicación oficial.
  4. No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.
     

Detalles

La campaña maliciosa detectada suplantando al Banco Sabadell tiene como asunto “Aviso Importante” aunque podría haber otras versión con asuntos similares.

En el cuerpo del correo se avisa al usuario de que su cuenta y tarjeta han sido bloqueadas debido a una operación no finalizada correctamente y, aludiendo a pautas de seguridad, se solicita una verificación de identidad a través de un enlace.

Correo fraude

Aunque la URL aparenta ser la legítima, al hacer clic en la misma el usuario será redireccionado a una web fraudulenta que suplanta a la del Banco Sabadell.

Web fraude

Una vez introducidas las credenciales de acceso y tras hacer clic en el botón «Entrar», estas pasarán a estar en manos de los ciberdelincuentes.

Fuente : https://www.osi.es/es/actualidad/avisos/2022/05/el-banco-sabadell-no-tiene-ningun-aviso-importante-para-ti-se-trata-de-un

NUEVOS CASOS DE CORREOS CON MALWARE CENTRADO EN EL ROBO DE INFORMACIÓN DIRIGIDOS A ESPAÑA

Los ladrones de información están haciendo su agosto, o al menos intentándolo, en las empresas españolas. Eso es lo que se deduce de la gran cantidad de muestras que recibimos en nuestro laboratorio y que cada día analizamos para comprobar si hay algún cambio de tácticas por parte de los delincuentes o si, por el contrario, siguen empleando los métodos habituales que hemos observado hasta la fecha.

Suplantación de Bankia

Entre los ganchos más comunes usados por los delincuentes para atraer la atención de los usuarios, convencerles para que descarguen ficheros adjuntos maliciosos o pulsen sobre enlaces colocados estratégicamente en el cuerpo del email encontramos los que suplantan a entidades bancarias.

No es extraño ver como los criminales reciclan plantillas de correo ya vistas con anterioridad, ya sea por simple comodidad o porque es la que se incluye en el kit que compran a otros delincuentes para lanzar sus campañas de correos maliciosos. En este caso, comprobamos como la plantilla usada en el correo recibido en las últimas horas es idéntica a otra observada en un caso similar que analizamos en septiembre de 2020.

Como en aquella ocasión, el correo, además de suplantar la dirección de Bankia/Caixabank, lleva adjunto un fichero comprimido que los delincuentes han tratado de camuflar añadiendo la extensión PDF al archivo. Sin embargo, cuando un usuario trate de abrirlo, lo habitual será que se proceda a descomprimir su contenido, revelando en su interior un archivo ejecutable que contiene el código malicioso utilizado en esta ocasión.

Este archivo inicia la ejecución de una herramienta de acceso remoto (RAT por sus siglas en inglés) conocida como Ave Maria o Warzone. Se trata de un malware cuya creación se remonta al 2021 y que se ofrece en formato de malware como servicio, permitiendo a delincuentes, incluso con poca formación técnica, robar credenciales e información confidencial almacenada en el equipo comprometido.

Según la telemetría de ESET, Esta campaña estaría especialmente dirigida a usuarios españoles, algo normal viendo la plantilla de correo utilizada por los delincuentes, aunque, como vamos a ver a continuación, no es la única campaña de este estilo que se ha detectado en las últimas horas.

Pedido confirmado

Otra de las campañas de correos maliciosos detectada recientemente utiliza como gancho un supuesto pedido realizado. En esta ocasión se observa como el remitente es una empresa conocida y se utiliza su dominio español. Además, el cuerpo del mensaje está escrito en catalán y, estando la empresa ubicada en Girona nos puede hacer pensar que, o bien los delincuentes se han tomado la molestia de personalizar este correo, o bien algún equipo, cuenta de correo de usuario o servidor de correo de la empresa ha sido comprometido previamente y ahora se está usando para enviar este tipo de mensajes.

También vemos como, en esta ocasión, se adjuntan dos archivos comprimidos en lugar de uno solo, a pesar de que, en su interior, ambos contienen el mismo fichero ejecutable. Como dato curioso, se trataría de un fichero que ha sido modificado por última vez pocos minutos antes de ser enviado por correo.

En esta ocasión, nos encontraríamos ante un nuevo caso de la RAT maliciosa Formbook que ya ha protagonizado numerosos casos similares en España y otros países. Este malware tiene la capacidad de buscar y robar credenciales almacenadas en varias aplicaciones de uso común en empresas como clientes de correo, clientes FPT, navegadores de Internet y VPNs, por poner solo unos ejemplos.

Tras robar esta información, los delincuentes pueden usar las credenciales de cuentas de correo obtenidas para seguir propagándose y tratar de conseguir nuevas víctimas, como parece que ha sucedido en esta ocasión.

En lo que respecta a la detección de esta amenaza, de nuevo la telemetría de ESET nos indica que va dirigida específicamente a España, al menos en las horas iniciales tras empezar a propagarse.

Factura de pago vencida

El último caso que vamos a analizar hoy también es un correo que hace referencia a una factura o pago. Sin embargo, el mensaje es mucho más escueto que los anteriores, esta redactado de forma que se nota que ha sido traducido de forma automática o que la persona que lo escribió no tiene el español como lengua materna y, además, proviene de un dominio de correo ruso por lo que, es posible que muchos usuarios desconfíen de su contenido.

Junto al correo se adjuntan dos ficheros, siendo el primero de ellos un PDF con información acerca de un supuesto consumo energético y el siguiente, un fichero comprimido que contienen en su interior un archivo ejecutable, tal y como hemos visto también en los casos anteriores.

En esta ocasión, los delincuentes estarían tratando de propagar la amenaza conocida como Snake Keylogger, un malware que también se ofrece como modelo de suscripción a todo tipo de delincuentes y que es capaz de robar, no solo las pulsaciones del teclado o la información que se copia al portapapeles, sino también tomar capturas de pantalla. Este malware apareció por primera vez en agosto de 2019 en un foro ruso, detectándose campañas recientes también en España.

Además, este malware se caracteriza por sus variados métodos de exfiltración de información, que incluyen el correo, FTPs, servidores SMTP, Pastebin o incluso la aplicación de mensajería Telegram. En cuanto a sus niveles de detección, de nuevo la telemetría de ESET nos confirma que los usuarios españoles son el principal objetivo de esta campaña.

Conclusión

Tras revisar estas campañas recientes de propagación de infostelaers, no parece que haya nada que nos indique que este tipo de amenazas vayan a disminuir a corto plazo. Por ese motivo es importante aprender a reconocer este tipo de correos y, sobre todo, contar con soluciones de seguridad corporativas capaces de detectar estas amenazas y eliminarlas antes de que lleguen a los buzones de entrada de los usuarios.

fuente https://blogs.protegerse.com/ : https://blogs.protegerse.com/2022/05/11/nuevos-casos-de-correos-con-malware-centrado-en-el-robo-de-informacion-dirigidos-a-espana/

Cuidado con esta factura de Endesa: es en realidad un troyano bancario que roba tus datos

En España ya es relativamente común detectar campañas de phishingconsistente en hacerse pasar por organizaciones, empresas o incluso servicios como aplicaciones para colar malware a ciudadanos españoles mediante correos electrónicos y similares. La firma de ciberseguridad ESET ha publicado un detallado informe sobre la última campaña detectada, esta vez una particularmente peligrosa que distribuye un troyano bancario.

Según adelanta el director de investigación y concienciación de ESET en España, Josep Albors en su blog, se están difundiendo en España una serie de correos electrónicos que usurpan la identidad de la empresa energética Endesa, y que intenta hacer creer a sus víctimas que han recibido una factura de la compañía.

La elección de Endesa no es casualidad; el aumento de los precios de la luz en España y en el resto de Europa está provocando que los ciberdelincuentes aprovechen el sector eléctrico para difundir sus ataques phishing, aprovechando la incertidumbre de los ciudadanos y haciendo uso de técnicas de ingeniería social.

Nueva campaña de troyanos

Todo comienza, como ya es habitual, con un correo falso. Titulado «Factura Electrónica Endesa, proviene de la dirección de correo electrónico «EE-GESTION-DE-COBRO@endesa.com». Un correo muy simple, que pide descargar un archivo comprimido que se hace pasar por un archivo de texto, con una supuesta factura que el usuario tiene que descargar.

Lo primero que resalta de este mensaje es que, pese a suplantar a Endesa, es un correo extremadamente sencillo y que tiene los clásicos errores ortográficos que delatan que no es en absoluto un mensaje real. No obstante, el contexto actual respecto al precio de la luz y la opinión pública puede provocar que en este tipo de correos haya un número mayor de víctimas potenciales.Correo electrónico en cuestión, que oculta el troyano.

Correo electrónico en cuestión, que oculta el troyano. ESET Omicrono

ESET, de primeras, ya establece que ni ni el dominio que se usa en este correo es legítimo. De hecho, el identificador del mensaje no coincide con el dominio de Endesa, y aunque se ha intentado ocultar el dominio para que parezca el de la firma eléctrica, un examen rápido delata que este es un caso de email spoofing, es decir, un correo que usurpa una identidad electrónica para ocultar la suya propia.

En dicho dominio existe un script php sospechoso, ubicado en la raíz de la web. Ese archivo .php pertenece a LeafPHP Mailer, un servicio que suele ser frecuentado por delincuentes en servidores de correo poco protegidos o vulnerables contra ataques, y que se usa para enviar campañas de spam. Pero lo peligroso de verdad está en el archivo adjunto.Datos del archivo que se descarga del correo phishing.

Datos del archivo que se descarga del correo phishing. ESET Omicrono

El archivo adjunto de este correo recoge un archivo .MSI, es decir, un pack de instalación de Windows. Este se encarga de infectar el equipo, y contactar con un servidor externo controlado por los ciberdelincuentes, desde el que se descarga el payload. En el caso del correo, el archivo expone una extensión .ZIP, la cual está falseada; el formato real de este archivo es un formato de librería dinámica DLL y contiene el payload del troyano bancario en sí, el cual es una variante del troyano Grandoreiro.

Este es un troyano bancario dirigido tanto a España como otros países latinoamericanos, como Perú o México. Ataca a sus víctimas desplegando ventanas emergentes falsas que intentan hacer creer a la víctima que estas son notificaciones de entidades reales de sus bancos, y así usen aporten sus datos privados para robarlos. Recopila información de los equipos de las víctimas e incluso es capaz de robar credenciales guardadas en navegadores como Chrome.

De nuevo, es importante recordar los consejos referentes a la ciberseguridad más importantes en estos casos. Nunca descargar archivos provenientes de correos electrónicos no seguros, y no pinchar en sus enlaces salvo que el usuario esté completamente cerciorado de su veracidad. También es importante mantener actualizado el software de seguridad de nuestro equipo para que estos detecten a tiempo la amenaza.

Fuente elespanol: https://www.elespanol.com/omicrono/software/20220509/cuidado-factura-endesa-troyano-bancario-roba-datos/671183258_0.html

Continúan las campañas de smishing suplantando a entidades bancarias

Recursos afectados: 

Cualquier empresario, empleado o autónomo que haya recibido un SMS con las características descritas en este aviso.Descripción: 

Desde INCIBE se han detectado en las últimas horas varias campañas de envío de SMS fraudulentos de tipo smishing que tratan de suplantar a varias entidades bancarias.

Aunque en esta ocasión se han detectado SMS que afectan a las entidades bancarias BBVA y el Banco Santander, no se descarta que otras entidades financieras se vean afectadas.

[Actualización 09/05/2022]: Se han detectado dos nuevas campañas suplantando a las entidades Bankinter y BBVA a través de SMS fraudulentos. En la campaña contra Bankinter se han identificado dos SMS diferentes que pueden consultarse en la sección ‘Detalle’, aunque también podrían existir variaciones de textos similares con el propósito de acceder a un enlace proporcionado en el propio SMS. La campaña contra los usuarios del BBVA es similar a las anteriores, pudiendo también variar el texto del mensaje.

[Actualización 21/04/2022]: Se han detectado dos nuevas campañas suplantando al BBVA y Kutxabank a través de SMS fraudulentos. La campaña contra los usuarios del BBVA es similar a las anteriores pudiendo cambiar el texto del mensaje. La campaña contra Kutxabank indica al usuario que su cuenta ha sido inhabilitada por motivos de seguridad y que debe activarla a través de un enlace.

[Actualización 08/04/2022]: Se han detectado dos nuevas campañas suplantando a las entidades bancarias Laboral kutxa y Banco Sabadell a través de SMS fraudulentos. Ambos SMS indican al usuario que un equipo no autorizado se ha conectado a su cuenta online e instan a verificarlo a través de un enlace que proporcionan en el mismo SMS si no se reconoce el acceso.

[Actualización 05/04/2022]: Se ha detectado una nueva campaña suplantando a la entidad bancaria Abanca a través de un SMS fraudulentos, donde se avisa al usuario de que la tarjeta bancaria no está operativa y que debe activarla a través de un enlace proporcionado en el mismo mensaje.

[Actualización 31/03/2022]: Se ha detectado una nueva campaña suplantando a Caixabank a través de SMS fraudulentos, donde se avisa al usuario de una futura suspensión de su tarjeta y se le pide confirmar sus datos, accediendo a un enlace proporcionado en el mismo.Solución: 

Si recibes un SMS o cualquier notificación con estas características, omítelo o elimínalo, nunca sigas el enlace, ni descargues ninguna aplicación.

Si has accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberás modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Si has facilitado las credenciales de tu cuenta financiera, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Como pautas generales, para evitar ser víctima de fraudes de este tipo:

  • No abrir enlaces en mensajes SMS de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • No contestar en ningún caso a estos SMS.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, mensajes en aplicaciones de mensajería o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y las aplicaciones.
  • Revisa la URL de la página web. Si no contiene un certificado de seguridad o no corresponde con el sitio web, nunca facilites ningún tipo de información personal o bancaria.
  • En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Línea de ayuda en ciberseguridad.

Además, para prevenir y reforzar estos consejos, es importante que realices acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.Detalle: 

Los últimos SMS detectados contienen enlaces fraudulentos a dominios como ‘.ru’, ‘.info’, ‘.es’, ‘.com’, ‘.ly’, ‘.top’, entre otros. Además, para hacer más creíble la URL y que no parezca fraudulenta, es posible que aparezca el nombre del banco o palabras como ‘seguridad’, ‘seguro’, ‘cliente’, ‘particular’, ‘ciberseguridad’, ‘incidencia’, ‘reactivación’, ‘cuenta’, ‘verificar’, etc.

Estos SMS siempre instan al usuario a seguir una URL, por un bloqueo de su cuenta,  para una comprobación de seguridad.

SMS fraudulento

Los enlaces siempre redirigen a una página web fraudulenta que simula ser la de nuestro banco. En esta ocasión, las entidades bancarias afectadas son el BBVA y el Banco Santander.

Página fraudulenta BBVA
Página fraudulenta Santander

[Actualización 09/05/2022]: Se han detectado dos campañas de smishing que afectan a Bankinter y BBVA, aunque no se descarta que pueda haber otras entidades bancarias afectadas.Los SMS suplantando a Bankinter presentan el siguiente texto:

«Se ha detectado un acceso inusual a su cuenta online. Si no reconoce este nuevo dispositivo verifique sus datos: enlace-fraudulento»

«[BANKINTER] Por motivos de seguridad. Hemos bloqueado tu Tarjeta. Verifica tu cuenta para activar el acceso: enlace-fraudulento»

Tras acceder a los enlaces fraudulentos, el usuario es redirigido a la supuesta web de la entidad, en la cual, una vez introducidos los datos de acceso del usuario, podrían ser utilizados por el ciberdelincuente para operar desde la cuenta sustraída.

La página que suplanta a la del BBVA es la misma que la de campañas anteriores.

La web que suplanta a Bankinter puede verse en la siguiente imagen:

Web suplantando Bankinter

[Actualización 21/04/2022]: Se han detectado dos campañas de smishing que afectan al BBVA y Kutxabank, aunque no se descarta que pueda haber otras entidades bancarias afectadas.Los SMS suplantando al BBVA, además del texto de campañas anteriores, pueden tener este contenido:

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla. Actualice su informacion desde: enlace-fraudulento»

«Su cuenta ha sido bloqueada temporalmente por razones de seguridad. Para reactivarla. Actualice su informacion desde: enlace-fraudulento»

«Su cuenta ha sido temporalmente bloqueada por seguridad, Para desbloquear ingrese aqui: enlace-fraudulento»

«UN DISPOSITIVO NO AUTORIZADO se ha conectado a su cuenta online. Si no reconoce este acceso verifique inmediatamente: enlace-fraudulento»Los SMS suplantando a Kutxabank muestran el siguiente texto:

«Su cuenta ha sido inhabilitada por razones de seguridad, para activarla de nuevo siga los pasos: enlace-fraudulento»

Tras acceder a los enlaces fraudulentos, el usuario es redirigido a la supuesta web de la entidad, en la cual una vez introducidos los datos de acceso podrían ser utilizados por el ciberdelincuente para operar desde la cuenta robada.

La página que suplanta a la del BBVA es idéntica a la de anteriores campañas, la de Kutxabank es como la siguiente imagen:

Web suplantando Kutxabank

[Actualización 08/04/2022]: Se han detectado dos campañas de smishing que afectan a las entidades bancarias Laboral Kutxa y Banco Sabadell. Tras acceder a los enlaces fraudulentos del SMS, el usuario es redirigido a la respectiva supuesta web de la entidad, en la cual una vez introducidos los datos bancarios, estos podrían ser utilizados por el ciberdelincuente.

Página fraudulenta Kutxabank
Página fraudulenta Sabadell

[Actualización 05/04/2022]: Se ha detectado una campaña de smishing que afecta a la entidad bancaria Abanca. Tras acceder al enlace fraudulento del SMS, el usuario es redirigido a una supuesta web de Abanca, en la cual una vez introducidos sus datos bancarios, estos pasarán a manos de un ciberdelincuente.

Página fraudulenta Abanca

[Actualización 31/03/2022]: Desde INCIBE se ha detectado una campaña de smishing que afecta a la entidad bancaria CaixaBank, en la cual tras acceder al enlace del SMS, te redirige a una supuesta web de la entidad. Esta web fraudulenta tiene como objetivo hacer que el usuario introduzca sus datos personales y bancarios en la página, con el fin de hacer uso de ellos, para cometer un fraude financiero.

Página fraudulenta Caixabank

El único objetivo de los ciberdelincuentes es obtener las claves de acceso a tu banca online para cometer acciones fraudulentas con ellas.

Fuente INCIBE: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/continuan-las-campanas-smishing-suplantando-entidades-bancarias

¿Qué hacer a la hora de contratar un empleado? Mira el caso de éxito de esta farmacia

Cultura ciberseguridad video

La tecnología a día de hoy está muy presente en nuestras vidas, sobre todo a nivel laboral. Es muy habitual el uso de teléfonos, ordenadores, redes sociales o incluso software que permita la gestión de una empresa, por lo que hay que saber utilizarlos de forma segura.

Es importante que una empresa se forme y cuente con una buena cultura de ciberseguridad. Como podemos ver en el vídeo, esta farmacéutica es consciente de ello y lo aplica desde el principio; es decir, desde la contratación de un empleado.

Como podemos observar en el vídeo, en el momento de contratación el nuevo empleado recibe los siguientes documentos:

  • Contrato de trabajo.
  • Acuerdo de confidencialidad.
  • Deber de información de la LOPD.

Una vez recibidos esos documentos, el empleado pasa un reconocimiento médico, formación en materia de prevención de riesgos laborales (obligatoria por la Ley 31/1995) y formación en materia de seguridad.

Esta formación en materia de seguridad es muy importante para la empresa, no solo por los datos de carácter personal que podría gestionar, sino también por los datos del día a día (clientes, datos de facturación, tarifas…).

Cuando el empleado ha terminado este periodo de formación y ya está trabajando en la empresa, recibirá los siguientes documentos:

  • Política de seguridad.
  • Normas de uso.
  • Procedimientos de seguridad.

La información de estos documentos es revisada y actualizada periódicamente tras cambios legislativos, organizativos o tecnológicos por un comité de seguridad,  formado por cada miembro de las diferentes áreas de la empresa, incluida la dirección. Son los encargados, además, de que sea comprendida y aplicada por todos los empleados.

Es conveniente que la empresa cada cierto tiempo convoque una jornada de concienciación para refrescar los conocimientos de todos estos principios y la cultura de seguridad, ya que con el tiempo las personas tienden a relajarse.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Fuente INCIBE: https://www.incibe.es/protege-tu-empresa/blog/hacer-hora-contratar-empleado-mira-el-caso-exito-esta-farmacia

Estafas por WhatsApp: modalidades de engaño más comunes

Repasamos algunas de las formas más comunes en que delincuentes utilizan WhatsApp para cometer delitos como el robo de cuentas, suplantación de identidad o incluso distribuir malware.

La forma en que los ciberdelincuentes utilizan WhatsApp para cometer algún tipo de fraude es muy variada y existen distintas modalidades. La mayoría de los engaños que circulan a través de la app o en su nombre utilizan la ingeniería social; es decir, el arte de manipular al usuario al hacerle creer algo que no es y convencerlo de que realice una acción que le interesa al delincuente. Si bien muchas modalidades comparten características, las ordenamos de la siguiente manera.

Engaño del falso aniversario de una marca

Este engaño comienza con un mensaje que llega a la potencial víctima y que indica que una marca o servicio conocido está celebrando su aniversario y que por ello está ofreciendo algún tipo de regalo o beneficio. El mensaje incluye un enlace para que el usuario pueda acceder a su premio, pero antes de obtenerlo suele tener que completar una encuesta. Luego, para continuar debe compartir el mensaje con determinada cantidad de contactos o grupos de WhatsApp. Sin embargo, el regalo o premio nunca se concreta y el usuario es redirigido a sitios que despliegan publicidad invasiva. En algunos casos las campañas maliciosas solicitan a la víctima que descargue aplicaciones o complementos sospechosos que generalmente terminan en la instalación de algún tipo de adware que despliega publicidad invasiva y recolecta información del usuario.

Si bien la excusa más común suele ser la celebración del aniversario de una marca conocida, también este tipo de fraude se aprovecha de fechas especiales, como BlackFriday, pascuas o simplemente una promoción única.Algunos ejemplos:

Falsas ayudas económicas

Este tipo de campañas de ingeniería social a través de WhatsApp se observaron mucho durante la pandemia, con estafadores que buscaban aprovechar las necesidades económicas de los ciudadanos para engañarlos y robar sus datos personales. Vale la pena recordar que los datos personales, como nombre, fecha de nacimiento, número de documento, nacionalidad, entre otros, además de ser comercializados en foros, son utilizados por los delincuentes para realizar otros fraudes.

El engaño de las falsas ayudas económicas suele comenzar por un mensaje sobre un programa de ayuda solidaria para determinados sectores de la población e invitan a quienes cumplan con los requisitos inscribirse para recibir la ayuda. Como parte del proceso los usuarios deben completar un formulario, pero lamentablemente esta información es la que recolectan quienes están detrás de este tipo de engaño.

Muchas de estas campañas utilizan la imagen y/o el nombre de algún organismo gubernamental o de algún programa legítimo de alguna fundación o incluso una compañía. Si bien hemos observado que el objetivo suele ser recolectar información personal, también hemos visto campañas que buscan monetizar el engaño a través de la instalación de adware o de algún mecanismo para desplegar publicidad no deseada.Algunos ejemplos de este tipo de engaños:

Engaños al azar para obtener datos personales

Este engaño comienza con un mensaje de un número desconocido (números de países como Bolivia, por ejemplo) de alguien que juega a la incógnita e intenta hacer creer al usuario desprevenido que es alguien que conoce y que está en otro país. Generalmente comienza con:—Hola, ¿cómo estás? Un saludo a la distancia. Te mando un fuerte abrazo.

Luego, continúa con algo similar a:

—Imagino que te acuerdas quien está escribiéndote desde España, ¿no?

—¿No me digas que eres Mireya?

—Pues claro que sí, ¿cómo están por ahí?

Diálogo real entre estafador y potencial víctima que decidió seguir la conversación y engañar al delincuente

La intención es ver si la víctima se acuerda de alguien que realmente esté viviendo en aquel país y le de pie al estafador de continuar con el plan. El objetivo es pedirle una ayuda por un pequeño percance. Entonces el supuesto conocido le cuenta que está regresando al país y que tuvo un problema con su pasaporte y no pudo abordar el avión, pero que las maletas sí salieron. Engonces le pregunta si podría recibirlas y en caso de que acceda, le solicita fotos de su documento de ambos lados para hacer el trámite correspondiente y que pueda recibir las maletas.

Herramientas para espiar WhatsApp

Solo basta con ver las tendencias de búsqueda en Google para corroborar que “espiar whatsapp” es un término muy buscado, lo cual delata que existe un interés que se mantiene a lo largo del tiempo de usuarios que buscan la forma de espiar las conversaciones de la cuenta de un tercero. Y esto los estafadores lo saben. Por eso aparecen indexados en Google una gran cantidad de sitios de dudosa reputación que prometen una solución para espiar. El objetivo verdadero suele ser mostrar anuncios y recolectar información de quienes deciden probar estas aplicaciones, extensiones o servicios online.

En este artículo analizamos en profundidad varios de estos servicios online, apps y extensiones para espiar WhatsApp para conocer los riesgos asociados.

Secuestro de cuenta de WhatsApp

Cuando instalamos la app de WhatsApp en un equipo nuevo debemos ingresar el número de teléfono asociado a nuestra cuenta. Luego, un mensaje vía SMS llegará con un código de verificación de seis dígitos para validar la identidad del usuario. Este proceso es aprovechado por los atacantes que buscan tomar el control de las cuentas, tanto de usuarios como de empresas.

¿Cómo? La víctima recibe en su teléfono un mensaje de texto o vía WhatsApp solicitando si por favor puede reenviar el código de seis dígitos que por error se envió a su teléfono. El mensaje puede ser de un contacto que perdió el acceso a su cuenta o de un número desconocido. Si la víctima desprevenida accede y reenvía el código que llegó inesperadamente, es probable que pierda el control de su cuenta de WhatsApp si no tenía habilitada la autenticación en dos pasos. En este artículo explicamos en detalle cómo es el modus operandi.

Ejemplo de mensaje que solicita enviar el código de verificación de seis dígitis de WhatsApp

Hemos visto también que los ciberdelincuentes se hacen pasar por la cuenta oficial de WhatsApp de organismos públicos o del sector de la salud para distintos tipos de engaño, y uno de ellos es robar el código de verificación de WhatsApp. Por ejemplo, cuando en Argentina estafadores se hicieron por el Gobierno y se contactaron con usuarios para asignar turnos para la vacuna contra el COVID-19 con el verdadero objetivo de robar el código de verificación de WhatsApp para luego estafar a sus contactos y descargar su información.

Otra forma muy recurrente que utilizan los cibercriminales para robar cuentas de WhatsApp es a través del SIM Swapping, aunque esto va más allá de WhatsApp y permite el secuestro de otras cuentas, incluso las credenciales bancarias. SIM Swapping se produce cuando los delincuentes logran engañar a la compañía telefónica y obtienen un chip con tu línea telefónica haciéndose pasar por ti. De esta manera, toman el control de tu línea telefónica y el SMS con el código de verificación llegará al atacante que tiene el control de los SMS.

Probablemente los delincuentes también cuentan con algunos datos personales de la víctima, como el número de documento, fecha de nacimiento, etc. Por eso es tan importante ser más cautos a la hora de compartir nuestros datos personales, por más que parezcan poco relevantes.

Estafas de suplantación de identidad en WhatsApp

Ya sea robando el código de verificación o mediante SIM Swapping, una vez que obtienen acceso los delincuentes utilizan las cuentas de diferentes formas. Por ejemplo, suplantando la identidad de las víctimas. Para ello suelen descargar la lista de contactos, la imagen de perfil de la cuenta y otra información relevante en caso de que quieran crear un perfil falso con otro número, pero también se comunican directamente desde la cuenta robada con familiares y amigos para solicitar dinero por una supuesta emergencia o convencerlos para realizar alguna otra acción.

En algunas campañas más sofisticadas y que sirven para entender cómo se conectan los datos robados entre los servicios, a partir del compromiso de una cuenta de correo los criminales realizan estafas de suplantación de identidad a través de WhatsApp.

Hace unos meses conocimos un caso de un usuario que sufrió el compromiso de su cuenta Outlook y los atacantes descargaron una copia con la lista de contactos del correo, fotografías y su nombre completo. Luego, con esta y otra información recolectada, crearon cuentas de WhatsApp y se contactaron con su lista de contactos suplantando la identidad de la víctima y ofreciendo dólares para vender.

Pero también es importante recordar que hay fraudes de suplantación de identidad que no involucran el robo de la cuenta de WhatsApp, ya que como mencionamos antes, los criminales contactan a las potenciales víctimas desde números desconocidos haciéndoles creer que son un contacto que cambió de número.

Por último, otro modelo similar, pero con algunas características diferentes, tiene que ver con casos en los cuales los estafadores utilizan perfiles falsos de WhatsApp haciéndose pasar por organismos gubernamentales. Los delincuentes se comunican a través del chat o llamadas de voz desde cuentas de empresa que incluyen el logo del organismo. Entonces, un falso representantes intenta hacer creer a la víctima que es elegible para recibir una ayuda económica del estado o un bono. Sin embargo, para poder acreditar la ayuda económica en su cuenta los delincuentes solicitan un código y en realidad lo que entrega la víctima confundida son las claves para acceder a la cuenta bancaria.

Te invitamos a conocer el caso de una víctima de este tipo de fraude que terminó con los cibercriminales sacando un préstamo desde la cuenta bancaria robada.

Falsas actualizaciones con nuevas funcionalidades para WhatsApp

De tanto en tanto se reactivan estas campañas fraudulentas que hacen referencia al lanzamiento de una            versión de la aplicación con funciones nuevas.  Hemos visto ejemplos de estos engaños invitando a descargar WhatsApp rosa y de otros colores, como azul o nombres como WhatsApp Plus. La de WhatsApp Rosa, por ejemplo, lejos de ser una campaña inofensiva lo que hacía era descargar un troyano en el teléfono de la víctima.

Distribución de malware vía WhatsApp

No es tan común, pero se han detectado campañas para distribuir malware a través de WhatsApp. El año pasado, por ejemplo, analizamos un malware que se propagaba a través de la aplicación y que intentaba engañar a las víctimas para que descarguen una aplicación de un sitio web que simula ser Google Play.

Una vez instalada la app maliciosa cualquier mensaje que llegaba al dispositivo de la víctima era respondido automáticamente con un mensaje personalizado que incluía un enlace para descargar la falsa app.

Si bien la amenaza aparentemente buscaba desplegar publicidad invasiva en el teléfono de la víctima, según explicó el investigador Lukas Stefanko, “este malware posiblemente podría distribuir amenazas más peligrosas ya que el texto del mensaje y el enlace a la aplicación maliciosa se reciben del servidor del atacante. Simplemente podría distribuir troyanos bancarios, ransomware o spyware”.

Por último, los atacantes también suelen recurrir a la distribución de malware a través de correos de phishing que se hacen pasar por comunicaciones oficiales de WhatsApp. En 2021, por ejemplo, una campaña de phishing que circulo principalmente en España simulando ser oficial e invitando a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación. Sin embargo, el archivo HTML adjunto que redirecciona para la descarga de un archivo comprimido ZIP, que a su vez contiene un archivo MSI que descarga el malware. En este caso era el troyano bancario Grandoreiro.

Recomendaciones

La principal recomendación es aprender a desconfiar. No hacer clic en cualquier enlace que recibimos ni completar con nuestra información personal cualquier formulario que nos llega. Lo segundo es habilitar la autenticación en dos pasos en WhatsApp, y en lo posible utilizando una app de autenticación y no el SMS. De esta manera evitamos el secuestro de cuentas.

Fuente: https://www.welivesecurity.com/la-es/2022/05/04/estafas-por-whatsapp-modalidades-engano-comunes/

¿PROBLEMAS CON TU CUENTA DE CORREO? NO CAIGAS EN LA TRAMPA DEL PHISHING QUE TRATA DE ROBAR TU CONTRASEÑA

Tal y como venimos observando desde hace meses, el robo de credenciales es una tendencia al alza, especialmente en España. Los delincuentes intentan hacerse con los usuarios y contraseñas de varios servicios para, posteriormente, venderlas o usarlas en ataques de acceso inicial a redes corporativas. Entre las credenciales más buscadas se encuentran las que permiten acceder a las cuentas de correo de empleados, algo que hemos vuelto a comprobar tras revisar tres campañas diferentes que se han estado propagando en las últimas horas.

Tres correos fraudulentos con la misma finalidad

A la hora de intentar robar credenciales, los delincuentes pueden optar por varias técnicas que van desde el envío de malware capaz de robar credenciales almacenadas en varias aplicaciones de uso frecuente en empresas hasta pedir directamente que el usuario introduzca sus contraseñas, como en los casos que vamos a revisar a continuación. Estos correos tratan de convencer al usuario de varias formas para que acceda a un enlace preparado por los delincuentes donde se solicitarán sus credenciales de correo. En uno de los casos vemos que se utiliza como gancho la necesidad de revisar un número de correos que han se han quedado en la cuarentena del buzón de correo.

Otro de los ejemplos de este tipo de correos recibidos en las últimas horas utiliza un falso aviso donde se le indica al usuario que su cuenta será desactivada próximamente si no se registra en la nueva versión de su buzón de correo. En este correo se llega incluso a mencionar la empresa para la que trabaja el empleado que recibe el correo para darle mayor veracidad.

El último de los correos de este estilo enviado en las últimas horas está escrito en español y nos alerta de que la contraseña de nuestro buzón de correo expirará en breve, pero nos da la oportunidad de seguir usando la contraseña actual si se accede al enlace proporcionado y la introducimos.

Como vemos, este tipo de correos buscan generar cierta sensación de urgencia en el receptor del mensaje para que actúe rápidamente y no se pare a pensar en si el correo ha sido enviado por un remitente legítimo, o si la web a la que se accede pertenece a su empresa. Dependiendo de la campaña, los delincuentes pueden personalizar o no la web donde se solicitan las credenciales de correo (con logos de la empresa e incluso sus colores corporativos), aunque lo habitual es que se observe una plantilla neutra en la mayoría de ocasiones.

En el caso de que el usuario muerda el anzuelo, sus credenciales de correo serán recopiladas por los delincuentes y usadas en ataques posteriores.

Uso de credenciales robadas

Una vez los delincuentes se han hecho con las credenciales de correo, estas suelen ser usadas principalmente para suplantar la identidad de la víctima y usar su email con fines maliciosos. Esto incluye el envío de correos a sus compañeros de empresa, clientes o proveedores con ficheros adjuntos o enlace a la descarga de archivos que suelen estar infectados y que, a su vez, pueden ser utilizados para continuar con el robo de credenciales o, en casos más graves, comprometer la seguridad y la información de los dispositivos que infecta.

Un uso habitual de estas cuentas de correo robadas incluye las estafas en las que los delincuentes se hacen pasar por la persona a la que han robado las credenciales, y en el caso de que este empleado se encargue de tareas de cobro y facturación, proceden a enviar emails a clientes o proveedores adjuntando facturas pendientes de pago pero incluyendo una cuenta bancaria controlada por los delincuentes o alguno de sus muleros. En ocasiones vemos como incluso se incluye una cadena de mensajes previamente contestados para dar más credibilidad a la persona que recibe el correo desde la cuenta comprometida.

Sin embargo, uno de los peores escenarios a los que se puede enfrentar una empresa donde se haya producido un robo de credenciales de correo o de otros servicios de algún empleado es aquel donde los delincuentes utilizan estas contraseñas para reconocer la red corporativa, los usuarios existentes e incluso enviar malware que sirva como cabeza de puente para ataques posteriores. Estos ataques pueden incluir movimientos laterales hasta llegar a máquinas clave como controladores de dominio o servidores de fichero que pueden facilitar el robo de información confidencial y el cifrado de sistemas de toda la red corporativa.

Conclusión

Como hemos visto, no hace falta que los delincuentes se compliquen excesivamente la vida para conseguir robar credenciales de correo. Con solo un correo enviado de forma masiva a varias empresas pueden hacer que varios empleados caigan en la trampa y eso puede ser solo el comienzo de los problemas, por lo que debemos protegernos con soluciones de seguridad que impidan que estos correos lleguen siquiera a la bandeja de entrada de los usuarios.

Fuente: https://blogs.protegerse.com/2022/05/09/problemas-con-tu-cuenta-de-correo-no-caigas-en-la-trampa-del-phishing-que-trata-de-robar-tu-contrasena/

Los otros Pegasus para espiar a cualquiera: así se venden legalmente por cinco euros en Internet

¿Me vigilan sin que yo lo sepa? Hace no tantos años, la respuesta más común sería que ni de coña, o como mínimo que probablemente no, pero ya no está tan claro. Un día te despiertas y te encuentras con que el móvil más importante del país fue infectado por un software espía, y dudas de todo. Como mínimo, dudas de ti mismo y de tu viejo smartphone chino que recargas dos veces al día y que tiene la pantalla rayada desde 2018. Es normal.

Lo que se viene a continuación no es plato de buen gusto. Espiar las conversaciones de otra persona no es del todo difícil -ni del todo ilegal- incluso para alguien sin conocimientos de informática. Una simple búsqueda en internet permite al más troglodita de la red servirse de un menú inacabable de webs, promociones y surtidos espías que cualquiera puede contratar a precio de saldo para monitorizar cualquier dispositivo. Si tú puedes hacerlo, cualquiera puede hacértelo a ti.

Sobre esta sencilla tesis se ha desarrollado un bullicioso pero discreto ecosistema de empresas aparentemente legales que ofrecen, directamente, la capacidad de espiar sin complejos ni ataduras cualquier teléfono. El negocio empezó con un par de startups en Israel a la sombra de NSO, la creadora de Pegasus, pero se ha democratizado a todos los países del mundo y para cualquiera dispuesto a contratarlas. Ahora hay docenas al alcance de cualquiera.

Marruecos encargó espiar a 200 móviles españoles, según datos de Pegasus. Manuel Fernández Omicrono

Las posibilidades son infinitas, aunque siempre con un paraguas de buenas intenciones. Algunas describen sus productos como «interceptación legal» o «inteligencia» contra delincuentes; otras, como “control parental” para vigilar a tu hijo o «vigilancia» para parejas celosas o empresarios desconfiados. En realidad valen para lo que uno quiera. Al final, todas venden herramientas que se apropian de dispositivos, se infiltran en routers WiFi o infectan altavoces inteligentes y los vuelven contra sus usuarios para espiar en secreto. Los precios oscilan desde los cinco euros al mes hasta los varios millones, dependiendo del objetivo y el programa, y son muy fáciles de usar.

Lo que no se puede discutir es que todos son legales, aparentemente. No hace falta navegar por la dark web, citarse con encapuchados en callejones oscuros ni traspasar maletines llenos de dinero negro. Dos clicks y una transferencia bancaria son suficientes para comprar un software espía, en menos de treinta segundos lo puedes instalar en otro móvil sin que la otra persona se dé cuenta y antes de que vuelva del baño la acompañarás -telemáticamente- allá donde vaya. Sus descargas aumentan a un ritmo del 50% al año y se pueden encontrar en App Store o Google Play. Es decir, al alcance de cualquiera.Un registro de llamadas de una aplicación espía 'legal'.

Un registro de llamadas de una aplicación espía ‘legal’. E.E.

De 5 euros a 55 millones

José Lancharro es director de BlackArrow, la división de servicios defensivos y ofensivos de Tarlogic Security. Hablamos por videoconferencia y le pido que me hackee en directo, que quedaría de lujo para el reportaje, pero se ríe y dice que no: “Nosotros estamos en el lado luminoso. Los malos son otros”.

‘Los malos’ son, en sus palabras, los que no entienden de ética. Puede ser desde la empresa que te cobra 30 euros por hackear a tu pareja hasta la agencia estatal extranjera que invierte millones en un programa espía remoto. También los que ofertan herramientas para asaltar cajeros automáticos o falsificar documentos. Los dos primeros son legales y los puedes contratar fácilmente en internet; los segundos llegan por contactos directos a gobiernos y grandes empresas; los terceros, por la dark web. A efectos prácticos consiguen lo mismo, pero de formas distintas.Algunos de los servicios de un software espía, según los promociona en su página web.

Algunos de los servicios de un software espía, según los promociona en su página web. E.E.

“Los software espía que puede contratar un particular por precios bajos requieren instalar una app en el dispositivo [básicamente que le robes el móvil a tu pareja y le instales la aplicación]. Los otros, como Pegasus, tienen una cadena de herramientas que se conocen como click cero: sin ninguna intervención por parte de la víctima, sin que ella pueda hacer nada, se instalan en su teléfono sólo con conocer su contacto, sin que pinche en ningún lado”, explica Lancharro. Este software, por ejemplo, tiene la capacidad de poner en peligro los terminales simplemente haciendo una llamada telefónica a su objetivo a través de WhatsApp, incluso si la llamada no era contestada. 

Este matiz, el de cómo acceder a la información, es lo que dispara el precio entre las herramientas gubernamentales (Pegasus) y las que se venden como usos de “control parental” a precio de saldo, como XNSPY, eyeZy o mSee, que ofertan desde 5 euros al mes por monitorizar un teléfono. Según el periódico israelí Haaretz, Arabia Saudí pagó 55 millones de dólares por el acceso a Pegasus en 2017; otros, como Zerodium, se venden por 2,5 millones de dólares por una cadena de infección de cero clicks. Quitando este matiz, las posibilidades son las mismas una vez se llega a infectar el teléfono.

Las conversaciones se guardan en la página web, los mensajes se registran y los movimientos bancarios quedan apuntados. Todo es accesible desde un portal (por el que realmente pagas la suscripción) que te da acceso a todo, incluso horarios y rutinas por GPS. Localizarte, saber dónde vives, dónde trabajas y qué lugares frecuentas y a qué hora, todo con tutoriales facilitados por los propios desarrolladores. Un mini Pegasus al alcance de cualquiera con una neurona.

Cómo prevenirlo

La mejor arma es el sentido común. Un SMS te advierte de que tienes una factura sin pagar, un whatsapp desconocido te escribe en inglés buscando a un amigo perdido o un correo de remitente extraño te advierte de un error en tu última nómina de trabajo. Puede que te entren dudas, pero si clickas sabes a lo que te arriesgas. En un ámbito más terrenal, aunque parezca obvio, no dejes tu móvil al alcance de nadie. El segundo paso es analizar el móvil recurrentemente.

“Da igual la orientación que tengas, la cadena de intrusión y acceso es exactamente la misma para todos: lo único que las diferencia es el objetivo, que depende del espía”, señala. Este objetivo puede ser espiar las llamadas, ver los mensajes, descargar ficheros o borrar datos, entre otros. “Lo que normalmente vemos publicado en los medios es este último paso, pero lo importante es la cadena de sucesos que lleva a controlar el dispositivo, y eso deja rastro siempre”.

El éxito de Pegasus, por tanto, no es que espíe, sino cómo consigue espiar. De hecho, aporta Lancharro, «empezó siendo parecido a este tipo de softwares: necesitaba ‘engañarte’ con una app instalada. Luego fue evolucionando y se sofisticó para ser lo que es ahora, y también borrar su persistencia”. 

Esta persistencia son los datos, carpetas o huellas que las apps dejan en los teléfonos infectados. Las herramientas más antiguas -y las más baratas- se pueden eliminar sólo con reiniciar el teléfono, pero esto no protege contra ataques posteriores. En el caso de España, por ejemplo, el Gobierno ha tomado como medida preventiva que los ministros apaguen el móvil una vez al día, «pero no es suficiente». «Más que nada porque Pegasus no deja rastros, pero entre no hacer nada y apagar el móvil pues mejor apagarlo, sí», opina Lancharro.

Si, en cambio, temes ser objetivo de uno de los programas que se reivindican como «control parental» y se pagan a cinco euros el mes, la solución es más sencilla. Además de los reinicios y el sentido común, es importante mantener el teléfono actualizado y limpio de programas integrados, como iMessage o FaceTime (en el caso de Apple). También puedes navegar por internet con un navegador alternativo (Firefox Focus) o usar una VPN que oculte tu tráfico.

Lo que esto quiere decir para ti, en realidad, es que águila no caza moscas. El ciberespionaje patrocinado por los estados-nación aporta muchos recursos, y cuando el enemigo puede permitirse gastar millones de dólares en atacarte tú no puedes pretender que tu defensa sea apagar el móvil. Dicho de otra manera: si eres el objetivo de un software como Pegasus la cuestión no es si puedes infectarte, sino cuánto tiempo tardarás en hacerlo.

Fuente elespanol.com : https://www.elespanol.com/reportajes/20220507/pegasus-espiar-venden-legalmente-euros-internet/670432961_0.html

Recomendaciones de Seguridad Digital en WhatsApp

Introducción

Seguro has escuchado de los «hackeos» de cuentas de WhatsApp: estos son accesos no autorizados que pueden vulnerarte al tomar el control de tu información personal. Para ayudarte a protegerte, creamos esta guía con recomendaciones para mejorar la seguridad digital al utilizar WhatsApp. Explicaremos las posibles amenazas a las que se expone una cuenta de WhatsApp, las recomendaciones preventivas ante estas amenazas, y algunas recomendaciones en caso de que una cuenta haya sido robada o comprometida.

¿Qué datos se vinculan a tu cuenta de WhatsApp?

Para entender las potenciales amenazas, es importante hacernos las siguientes preguntas: ¿qué datos personales le proporcioné a WhatsApp a la hora de crear mi cuenta? ¿Y cuáles son los permisos necesarios para su funcionamiento?

Los datos de usuario en los que nos enfocamos por ahora son:

  • Número de teléfono celular
  • Nombre o pseudónimo
  • Foto de perfil
  • Información o descripción (similar a un estado fijo en tu perfil)
  • Respaldo de chats (si se encuentra habilitado)
  • Estados que publicas para que otros contactos los vean

Y los permisos que solicita la aplicación son:

  • Acceso a contactos
  • Acceso a micrófono
  • Acceso a cámara
  • Acceso a Internet
  • Acceso a servicios de localización
  • Acceso a archivos
  • Acceso a SMS (mensajería)
  • Acceso a servicios de llamadas

Destacamos estos datos ya que estos son los que pueden llegar a utilizarse en algún ataque o amenaza a una cuenta. (Si quieres conocer la lista completa de datos que WhatsApp recopila de una cuenta, puedes leer su Política de Privacidad.)

¿Cuáles son las amenazas a las que se encuentra expuesta una cuenta de WhatsApp?

Suplantación de identidad

La suplantación de identidad consiste en que alguien se haga pasar por una persona o entidad de manera maliciosa. Esto se puede lograr mediante la creación de perfiles falsos o contenidos en las redes sociales en nombre de alguien más sin necesidad de acceder a cuentas personales u oficiales.

Para el caso de WhatsApp la suplantación de identidad puede suceder cuando una cuenta utiliza el nombre, foto y estado de otra persona, haciéndose pasar por esta. 

Una suplantación de identidad no representa un acceso a la cuenta, generalmente se debe a que los datos utilizados estaban configurados para ser visibles a todo público.

Acceso no autorizado

El acceso no autorizado, como su nombre lo indica, representa un acceso a la cuenta que no es legítimo o autorizado por la persona dueña de esta. En el caso de WhatsApp, estas son algunas de las formas más comunes de acceso no autorizado:

Acceso físico al dispositivo

Si el dispositivo y la aplicación no cuentan con un código de bloqueo, es posible que cualquier persona pueda tomar el celular e interactuar con los chats, así como iniciar una nueva sesión de WhatsApp Web en una computadora, u obtener el código de verificación que llega al iniciar sesión en un teléfono celular.

Phishing

El phishing es una técnica que se basa en suplantar o falsificar información para incitar a la persona a realizar una acción, como dar clic a un enlace, compartir contraseñas o abrir un archivo infectado.

En el caso de WhatsApp podemos encontrar distintas formas de presentación del phishing.

  • Cuentas que se hacen pasar por el soporte técnico de WhatsApp y solicitan un código enviado por SMS
  • Personas “conocidas” que escriben desde otro número telefónico solicitando un código que llega por SMS
  • Invitaciones para descargar “respaldos de chats”

Como se puede observar, el principal objetivo es engañar a la persona usuaria para que entregue los códigos que llegan por SMS, o que habilite algún tipo de autorización para acceder a la cuenta.

Robo de línea telefónica

Los robos de línea telefónica buscan adueñarse de un número telefónico, esto puede ser mediante estafas o SIM Swapping, en donde mediante el robo de datos personales, suplantación de identidad, o corrupción por empleados de las operadoras móviles, pueden migrar la línea telefónica a una SIM nueva. Esta SIM se utiliza en un dispositivo distintos, en donde se registra la cuenta de WhatsApp y se recibe el SMS con el código de acceso.

Intervención de dispositivos móviles

Las intervenciones son unos de los ataques más elaborados, ya que requieren un nivel técnico elevado por parte del atacante. Usualmente estas intervenciones van dirigidas a un grupo reducido de personas.

Las intervenciones de dispositivos requieren el uso de algún malware especializado, y estas no vulneran directamente a la aplicación de WhatsApp, sino a todo el dispositivo, por lo que tienen acceso directo a la aplicación. Los malwares más comunes con estas funciones son los spyware y los stalkerware. El software espía más avanzado al día de hoy es Pegasus. Los alcances de estas infecciones o intervenciones dependen de la capacidad del malware y de los permisos que puedan llegar a tener en el dispositivo.

¿Cómo se pueden prevenir estas amenazas?

Estas son algunas recomendaciones de seguridad para proteger una cuenta de WhatsApp, para detalles específicos puedes consultar la ayuda de WhatsApp o escribirnos en @socialtic en redes sociales o a seguridad@socialtic.org.

¡Verificación en dos pasos!

La verificación en dos pasos es una función opcional que añade un nivel extra de seguridad a una cuenta de WhatsApp. Esta consiste en agregar una contraseña o PIN que se debe introducir cuando se registra una cuenta en un dispositivo nuevo. Al habilitar esta medida se tiene la opción de ingresar una dirección de correo electrónico que permite a WhatsApp enviar un enlace para restablecer el PIN por correo electrónico en caso de olvidarlo. 

Consulta este artículo del centro de ayuda de WhatsApp para conocer más acerca de la verificación en dos pasos, o revisa este recurso de acá para ver cómo activarla.

Códigos de verificación

Al intentar iniciar sesión en WhatsApp con un número de teléfono se enviará una notificación con un código de verificación mediante un SMS. En caso de recibir un código de estos sin haberlo solicitado, no lo compartas con nadie, pues alguien podría estar intentando acceder a tu cuenta. Consulta más información en este enlace de ayuda de WhatsApp.

Modificar ajustes de privacidad

Te recomendamos configurar tu foto de perfil, nombre, descripción y estados para que sean visibles únicamente por tus contactos, así solo las personas que conoces pueden ver esta información y puedes evitar intentos de suplantación de identidad por personas desconocidas. Sigue estos pasos para cambiar los ajustes de privacidad de tu cuenta.

Activar mecanismo de acceso a la aplicación

En caso de que lo requieras, es posible añadir un código o huella para abrir la aplicación, de esta forma si alguien tiene acceso físico a tu dispositivo aún necesitará conocer el código de la aplicación o utilizar tu huella para acceder.

¡Cuidado con mensajes o llamadas sospechosas!

Cuando se trata de mensajes o llamadas sospechosas, o de números desconocidos, te recomendamos verificarlos antes de compartir o responder con información personal, privada o que esté vinculada al acceso de tu cuenta como son los códigos que llegan por SMS o de la verificación en dos pasos. Tambien te recomendamos activar el PIN de acceso remoto en tu buzón de voz, ya que en algunos buzones es posible acceder desde otro dispositivo para obtener el código de acceso a la aplicación que puede ser dejado como mensaje de voz. Para esto puedes buscar ayuda con tu empresa proveedora de telefonia.

Revisa sesiones abiertas en otros dispositivos

Asegúrate de revisar constantemente las sesiones que has abierto en otros dispositivos o en WhatsApp Web. Si detectas un dispositivo que no reconoces o una sesión que no es tuya, cierrala inmediatamente

Mantén tu dispositivo móvil y aplicaciones actualizadas 

Al estar al día con las actualizaciones nos aseguramos de corregir errores críticos en el sistema operativo o en las aplicaciones como WhatsApp. Estos errores pueden ser utilizados por atacantes para realizar alguna actividad como la intervención de dispositivos mediante malware o phishing.

¿Qué hacer si han robado una cuenta de WhatsApp?

Si sospechas o sabes que una cuenta ha sido comprometida te recomendamos seguir los siguientes pasos, que son listados en el centro de ayuda de WhatsApp en este enlace:

  • Si sospechas que tu cuenta está siendo usada por alguien más te recomendamos notificar a tus familiares y amigos, ya que esa persona podría hacerse pasar por ti en tus chats individuales y grupales.
  • Si tu cuenta ha sido robada inicia sesión nuevamente e ingresa el código de verificación, luego, activa la autenticación en dos pasos.
  • Si no es posible iniciar sesión nuevamente porque la autenticación en dos pasos fue activada por la/el atacante tendrás que esperar 7 días para poder acceder sin el código de verificación en dos pasos.

Si aún tienes dudas de cómo proceder puedes enviar un correo electrónico a support@whatsapp.com con tu número telefónico y detalle de qué pasó.Recuerda que WhatsApp cuenta con una sección dedicada a este tema, por lo que te recomendamos revisarla también.

Algunas consideraciones adicionales

  • En caso de que alguien acceda a tu cuenta, no podrá ver tus mensajes anteriores, ya que estos se encuentran en tu dispositivo móvil, no en el de la otra persona.
  • De igual manera sucede con los respaldos, estos se encuentran vinculados a tu cuenta de Google o iCloud, por lo que para tener acceso a ellos es necesario a su vez acceder a la cuenta de Google o iCloud en cuestión.
  • Los respaldos de tus chats no se almacenan de manera cifrada. Puedes ir a la opción de respaldos en la app y activar el cifrado de estos. Para esto tendrás que ingresar una contraseña de cifrado que deberás proporcionar la próxima vez que restaures tu cuenta en otro dispositivo. Así evitarás que puedan acceder a tus respaldos de WhatsApp en caso de robo de tu cuenta de Google o iCloud.
  • Recuerda mantener una higiene adecuada en tus chats. Puedes activar los mensajes temporales para que tus conversaciones se borren después de 7 días, o desactivar la descarga automática de archivos multimedia en tu dispositivo, además evitarás saturar el almacenamiento de tu dispositivo móvil.

Fuente Protege.LA: Recomendaciones de Seguridad Digital en WhatsApp | Protege.LA