Condusef alerta a usuarios por fraudes y extorsiones

La Comisión Permanente del Congreso de la Unión alertó a los usuarios de redes sociales y de aplicaciones móviles sobre el robo de información personal que puede ser utilizada para fraudes o extorsiones en el ámbito financiero.

Ante este panorama, el Pleno de la Comisión Permanente hizo un llamado a la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) a que impulse y fortalezca las campañas informativas que orienten a los ciudadanos sobre este tipo de riesgos.

Pidió que explique el peligro y las consecuencias que puede tener el descargar aplicaciones a teléfonos móviles sin cerciorarse de su confiablidad, ya que pueden ser objetos de delitos financieros cibernéticos.

En un dictamen, aprobado por senadores y diputados señala que el estudio Hábitos de los Usuarios en Ciberseguridad en México 2019, realizado por la Secretaría de Comunicaciones y Transportes, dio a conocer que 27% de los cibernautas han sufrido robo de identidad; en tanto, 21% fue víctimas de fraudes financieros por medios digitales.

Los legisladores advirtieron que esta situación es cada vez más común entre las personas que tienen vinculados servicios financieros a sus teléfonos móviles y que no con cuentan con un buen sistema de seguridad. “Muchos usuarios vinculan sus cuentas bancarias con el pago de todos sus servicios, como transporte, comida y entretenimiento en general”, comentaron.

Ello, con sólo aceptar sus condiciones sin haberlas leído o sin tener el conocimiento de que sea una aplicación veraz y original, se subraya.

El uso de redes sociales y de aplicaciones móviles, sin los conocimientos y la vigilancia necesarios, pueden representar un peligro para los usuarios, especialmente para aquellos que realizan operaciones bancarias desde portales de Internet. Pueden correr el riesgo de ser víctimas de fraudes financieros que comprometa su patrimonio y el de sus familias, advirtieron los legisladores.

Opinaron que el desarrollo tecnológico y la creciente penetración de servicios móviles de comunicación, así como el uso de aplicaciones asociadas a estos dispositivos proponen nuevos retos regulatorios.

Expresaron que a nivel mundial, el Internet sigue revolucionado la forma en la que se comunican e interactúan las personas. Cada vez evolucionan más rápido la amplia variedad de plataformas que ofrecen diversos productos y servicios a los internautas, convirtiéndose en una parte esencial de su vida y de sus actividades cotidianas.

En el caso de nuestro país, comentaron los legisladores, el Estudio sobre los Hábitos de los Usuarios de Internet en México 2019, elaborado• por la asociación Internet.mx, indica que hay 71 por ciento de penetración entre la población, con un total de 79.1 millones de usuarios conectados.

Se estima que en 2019 los usuarios de Internet pasan diariamente un aproximado de ocho horas con 20 minutos conectados, ocho minutos más que en 2018, siendo las redes sociales aquellas que permanecen como la principal actividad en línea.

Fuente: El Sol de México

Vulnerabilidad de Bluetooth podría exponer tus datos

Expertos en ciberseguridad descubrieron una vulnerabilidad que permite debilitar el cifrado de los dispositivos Bluetooth con el fin de espiar y manipular las comunicaciones entre éstos posteriormente. La vulnerabilidad ha sido llamada como el ataque KNOB, abreviatura de «Negociación clave de Bluetooth».

La forma de hacerlo es bastante inteligente. El hacker no irrumpe directamente en el cifrado, si no que obliga que un par de dispositivos Bluetooth usen un cifrado más débil, la cual es más fácil de romper. Cada vez que se conectan dos dispositivos Bluetooth, establecen una nueva clave de cifrado. Si un atacante se interpone entre ese proceso de configuración, podría «engañar» a los dos dispositivos de manera que establezcan una clave de cifrado con un número relativamente pequeño de caracteres. El atacante aún tendría que realizar un ataque de fuerza bruta contra uno de los dispositivos para descubrir la contraseña exacta, pero ese ataque podría ocurrir en una cantidad de tiempo alcanzable.

Por ahora, «no hay evidencia» de que la vulnerabilidad haya sido utilizada maliciosamente, y el método para vulnerar los dispositivos obligaría a un ciberatacante a estar presente durante la conexión de los dispositivos Bluetooth, bloquear la transmisión inicial de cada dispositivo al establecer la longitud de la clave de cifrado y transmitir su propio mensaje, lo cual vuelve al escenario difícil de concretar pero no imposible.

No todos los dispositivos son vulnerables. La falla solo se aplica a dispositivos Bluetooth tradicionales (no Bluetooth Low Energy, que se usa con frecuencia en dispositivos de baja potencia como dispositivos portátiles), y algunos dispositivos Bluetooth pueden tener protección contra el ataque, si tienen una contraseña mínima codificada. La organización detrás de Bluetooth no puede solucionar la falla, pero en el futuro implementará una longitud mínima de contraseña en dispositivos vulnerables.

¿Videojuegos en casa? Atención a esta vulnerabilidad

Se ha descubierto una vulnerabilidad en el popular cliente de juegos Steam para Windows, la cual permite que un ciberatacante con permisos limitados ejecute un programa como administrador.

Steam es una plataforma de distribución digital de videojuegos que provee la instalación y actualización automática de juegos y características de comunidad tales como grupos y listas de amigos, almacenamiento en la nube, voz en el juego y funcionalidades de chat.

Para poder disfrutar de todos estos servicios, es necesario estar registrado mediante la creación de una cuenta gratuita, a la que se vinculan los videojuegos comprados por el jugador. Estos juegos pueden ser tanto los que se ofrecen para la compra en la propia plataforma, como ciertos juegos comprados en tiendas físicas.

Con Steam, con más de 100 millones de usuarios registrados y millones de ellos jugando a la vez, esta vulnerabilidad supone un alto riesgo ya que podrían ser susceptibles de que realicen en sus equipos de cómputo una variedad de actividades no deseadas.

El investigador Vasily Kravets, quien descubrió la vulnerabilidad, la reportó inicialmente a la empresa pero fue rechazada sin mayores explicaciones, por lo que decidió hacer público su descubrimiento 45 días después de haberlo reportado.

¿Usuario de iPhone? ¡Actualiza de inmediato!

Seguramente tienes contemplado que puedes ser sujeto de un ciberataque en caso de que hagas clic en un enlace malicioso, descargando una aplicación fraudulenta o infectándote con algún malware. Si eres usuario de iPhone, desafortunadamente un ciberatacante puede comprometer tu smartphone sin necesidad de tu intervención.

Un grupo de investigadores de seguridad de Google Project Zero presentaron recientemente información sobre 5 vulnerabilidades en iOS que pueden ser explotadas a través del cliente de la app iMessage. Lo que se sabe hasta ahora es que estos errores permiten que un atacante ejecute código malicioso en el iPhone o iPad de la víctima sin necesidad de interacción del usuario. Lo único que debe hacer el atacante para que funcione esta vulnerabilidad es enviar un mensaje malicioso al teléfono de la víctima.

Según el portal ZDNet, al menos cuatro de las vulnerabilidades identificadas permiten ejecutar código malicioso de manera remota en un dispositivo iOS, el cual puede ser explotado por un atacante con solo enviar un mensaje malicioso a la víctima a través de iMessage.

Lo mejor y más práctico para todos y cada uno de los usuarios de iOS es instalar iOS 12.4 de inmediato. 

Apps de citas con importantes vulnerabilidades

El portal The Verge ha informado que se han encontrado importantes vulnerabilidades en la aplicación de citas grupales 3Fun. Estos huecos de seguridad permitirían ex-filtrar datos personales, chats, fotos privadas y datos de ubicación en tiempo real de cualquiera de los 1.5 millones de usuarios de la aplicación, incluso cuando los usuarios supuestamente están restringiendo el acceso a sus datos o los clasifican como privados.

Este hallazgo se produce en medio de una gran polémica de este tipo de aplicaciones, ya que enfrentan un nuevo escrutinio sobre la gran cantidad de información personal que tienen de sus usuarios, y la ausencia de controles de seguridad adecuados para resguardarla. El portal TechCrunch señala que varias aplicaciones de citas, incluida la aplicación de citas judía JCrush, la aplicación de citas conservadora Donald Daters y Coffee Meets Bagel, han reportado violaciones de datos en los últimos años.

Es muy importante, que los usuarios que hacen uso de este tipo de aplicaciones sean conscientes de los riesgos que implica compartir datos sensibles. En pruebas de seguridad que se realizaron a 3Fun, se identificó que es posible encontrar, por ejemplo, fechas de nacimiento, orientación sexual e incluso fotos comprometedoras de los usuarios. La app estaba almacenando esta información en la propia aplicación, en lugar de mantenerlos de forma segura en sus servidores. 

Falla de seguridad en teléfonos Qualcomm

Se ha detectado una vulnerabilidad que está poniendo en riesgo a millones de smartphones Qualcomm con Android.

El fallo de seguridad descubierto por un equipo de seguridad chino y al que se le ha bautizado como «QualPwn», tiene la particularidad de permitir ataques sin que los usuarios tengan que acceder a algún sitio web o abrir archivos. Los atacantes obtienen acceso al módem del equipo sin que los usuarios estén al tanto de ello.

Google ha liberado ya un parche de seguridad con el fin de mitigar la vulnerabilidad, sin embargo no hay un comunicado oficial por parte de ambas compañías.

Si usted cuenta con un móvil de esta marca, debe actualizar su equipo lo antes posible, de lo contrario será vulnerable.


El sistema de seguridad para el hogar de SimpliSafe puede verse comprometido

Si a usted le gustan los gadgets y además los utiliza para proteger su hogar debe leer esto. Según el portal de noticias The Verge, el último sistema de seguridad para el hogar de la marca SimpliSafe -una de las marcas más reconocidas en este mercado- aparentemente puede ser «engañado» por un emisor inalámbrico que imita la frecuencia de sus sensores de contacto de puertas y ventanas. Se ha publicado en Youtube un video que demuestra cómo se puede hacer, y, desafortunadamente, parece muy fácil, tan fácil como presionar un botón para asegurarse de que no se active una alarma cuando alguien entre en una casa.

SimpliSafe niega que el dispositivo sea vulnerable, y señala que su estación base no se deja engañar cuando los sensores están abrumados con interferencias inalámbricas de esta manera; la compañía dice que deberían enviar una alerta proactiva a su teléfono cuando detecte interferencias. De hecho, SimpliSafe afirma que el video muestra deliberadamente un escenario inusual e improbable. Sin embargo, el usuario que publicó el video indica que no tuvo que sintonizar el dispositivo de $ 2 USD de ninguna manera para evitar el sistema de alarma de manera confiable, lo hizo de inmediato, y aunque a veces provocó una notificación de interferencia, nunca activó una alarma.

Sin duda, los dispositivos electrónicos caseros de seguridad pueden ser una gran ayuda y un mecanismo de detección adicional pero deben ser muy bien analizados antes de instalarlos. Debe recordar que no podemos dejar todo en sus manos.

Monokle, malware que roba datos en dispositivos Android

Monokle, el malware redescubierto por la empresa de ciberseguridad Lookout, está enfocado en robar información de dispositivos móviles con sistema operativo Android. Lookout ha catalogado a Monokle como una pieza avanzada de software de vigilancia que ha implementado varias características que no hemos visto antes para capturar datos.

Este conjunto de herramientas de software dirigido a espiar se desarrolló en 2015, sin embargo se ha venido detectando actividad del malware con mayor frecuencia durante los últimos meses. La actividad hasta el día de hoy se ha mantenido restringida y limitada, lo que sugiere que Monokle se usa con moderación en campañas altamente específicas.

El malware, tiene como finalidad la extracción de datos de los usuarios, también permite la instalación de certificados de seguridad, a través de los cuales se puede interceptar el tráfico, desde páginas y aplicaciones que, al menos en apariencia, son seguras. Entre sus funcionalidades se encuentran, la recopilación de contactos, historial de llamadas, historial del navegador e información del calendario; permitir la recuperación de texto sin formato de la contraseña de un usuario capturando la sal utilizada al almacenarla en reposo; grabación de llamadas y audio ambiental; recuperar cuentas y contraseñas asociadas, recuperar correos electrónicos, tomar capturas de pantalla, rastrear la ubicación del dispositivo y recopilar información de la torre celular cercana; entre otras.

«Monokle es un gran ejemplo de la tendencia de empresas y estados-nación que desarrollan sofisticados malware móviles que hemos observado a lo largo de los años«, afirma la publicación del blog de Lookout.

Y si hay que empezar de cero… pues se empieza

Conocemos una infinidad de modelos de smartphones, pero ¿todas las generaciones están al día con su uso?

Les cuento que la generación de los nacidos en los años cincuenta del siglo pasado –los también llamados baby boomers– son ahora de las más vulnerables, ya que se enfrentan a retos y amenazas en el ciberespacio sin estar preparadas, lo cual incrementa la posibilidad de que los ciberdelincuentes se aprovechen de su situación.

Platicando con algunos abuelos sobre cómo se sienten con el uso de las nuevas tecnologías, particularmente con los smartphones, algunos me respondieron que aún no se familiarizan con estos “chunches”, que les es muy complicado manipular estos “aparatos” y me trasladaron al pasado compartiéndome cómo realizaban una llamada telefónica, escuchaban música, mandaban cartas y llegaban al buzón, cómo usaban una calculadora para hacer cuentas y ver televisión. Al hacer su comparativa con el uso del teléfono, refieren que sólo marcaban el número –el cual ya conocían de memoria y además hacia trabajar su cerebro– y todo funcionaba, era simple. Ahora ven cómo sus hijos, nietos y algunos bisnietos manipulan un artefacto con un sinfín de funciones: cámara fotográfica, televisión, radio, reloj, calculadora, recados o mensajes y correo que, además, todo cabe en esa pequeña caja llamada smartphone.

Según el 15° Estudio sobre los Hábitos de los Usuarios de Internet en México 2019, el grupo poblacional con mayor crecimiento es el de personas mayores de 45 años –cerca del 20%–. Asimismo, el no saber utilizar esta herramienta es una característica presente en usuarios de más de 34 años, lo cual implica una barrera. Evidentemente, mientras más edad tienen las personas la brecha es más grande.

Por otro lado, esta generación es una de las principales poblaciones objetivo en la publicidad debido a su poder adquisitivo. Según la Agencia IAB México, el 80% tiene un teléfono móvil del cual 40% son smartphones.

Esto me lleva a la conclusión de que también debemos proteger a nuestros adultos mayores, es decir, que los informemos sobre los riesgos a los que se puedan enfrentar utilizando sus dispositivos móviles. No solamente es cuestión de regalarles un smartphone con teclas grandes o con aplicaciones entretenidas; recordemos que existen amenazas que van desde la ingeniería social hasta la ciberdelincuencia. Así como les enseñamos a darse de alta en alguna red social también debemos concientizarlos de qué exponer en ellas, pues sabemos que a muchos de ellos les encanta tener fotos de sus nietos y compartirlas al mundo, comentar o discutir en algún foro, darse de alta en grupos de redes sociales que no pueden ser seguros e incluso compartir información con desconocidos; visitar algunos sitios web sin saber si son seguros, inscribirse a concursos, platicar con desconocidos en la red, etc.  ¡No demos por hecho que ellos ya lo saben!

Si proteges a tus adultos mayores en el ciberespacio estás aportando a que tengan una calidad de vida. No esperes a que alguien los asuste mediante una llamada o les roben su identidad.

Te dejo algunos consejos para cuidar a nuestros adultos mayores que nos comparte Center for Cyber Safety and Education.

No dejemos a nuestras raíces en manos de exterminadores, recordemos que somos el fruto de un buen cuidado.

Por Lupita Mejía

Menores chatean con extraños con Messenger Kids, y sus padres no lo sabían

La aplicación fue diseñada por Facebook específicamente para niños de 6 a 12 años de edad, donde solo podían interactuar con personas que hayan sido aprobadas por sus padres.

Sin embargo, según el portal The Verge, una falla de diseño permitió a los usuarios eludir esa protección a través del sistema de chat grupal, permitiendo a los niños ingresar a chats con extraños no aprobados.

Durante la semana pasada, Facebook ha estado cerrando silenciosamente esos chats grupales y ha alertado a los usuarios, pero no ha hecho declaraciones públicas que revelen el problema. 

La aplicación permitió que alguien extraño se involucrara en un grupo sin ser alguien aprobado por los usuarios y así se crearán chats grupales donde prácticamente interactúan con desconocidos 

Como resultado, miles de niños se quedaron en chats con usuarios no autorizados, una violación de la promesa central de Messenger Kids.

No se sabe realmente cuanto tiempo ha estado presente el error en la aplicación, que se lanzó con características de grupo en diciembre de 2017.

La falla de privacidad es particularmente sensible a la ley porque Messenger Kids está diseñado para niños menores de 13 años y, por lo tanto, está sujeto a la Ley de Protección de la Privacidad en Línea de los Niños (COPPA). Algunos grupos de privacidad ya han acusado a Messenger Kids de violar la COPPA mediante la recopilación de datos de los usuarios, y ésta última falla de privacidad solo aumentará esas preocupaciones.