Cómo evitar estafas en línea relacionadas con COVID-19

Nuestros amigos del Center for Cyber Safety and Education nos comparten esta publicación donde nos brindan recomendaciones para no ser presa de estafadores en línea, en esta situación tan complicada que estamos viviendo.

Al igual que con cualquier crisis importante, los delincuentes solo esperan aprovecharse de una mala situación y la enfermedad de Coronavirus 2019 (COVID-19) no es diferente. Cada vez que sucede algo de esta magnitud, saca lo mejor y lo peor de las personas. Hay quienes se mueven para ayudar y hacerlo de cualquier manera pero luego están aquellos que se mueven para aumentar el caos y sacar provecho de los demás. Varias agencias de aplicación de la ley en los EEUU así como el FBI han estado advirtiendo a las personas sobre varias estafas de phishing y están pidiendo precaución al abrir correos electrónicos relacionados con el Coronavirus. Estos correos electrónicos pueden parecer correos electrónicos oficiales que provienen del Centro para el Control y la Prevención de Enfermedades ( CDC) y la Organización Mundial de la Salud (OMS).

Junto con las estafas de correo electrónico de phishing, hay informes de muchos sitios nuevos y maliciosos que se hacen pasar por legítimos para robar información personal o propagar malware. De hecho, según Check Point Threat Intelligence, se han registrado más de 4.000 dominios relacionados con el coronavirus en todo el mundo. De estos sitios, el 3% resultó ser malicioso y un 5% adicional es sospechoso. Los dominios relacionados con el coronavirus tienen un 50% más de probabilidades de ser maliciosos que otros dominios registrados en el mismo período de tiempo.

Además de los sitios web maliciosos y los correos electrónicos de phishing, también hay informes de estafas de caridad y tratamiento falso de Coronavirus. Con esto en mente, queremos asegurarnos de que tengas la información y los consejos para mantenerte seguro en línea durante este tiempo:

  • Consulta fuentes oficiales para actualizaciones sobre el Coronavirus. Le recomendamos que visite el Centro oficial para el Control y la Prevención de Enfermedades ( CDC ) y la Organización Mundial de la Salud ( OMS ) para obtener información actualizada sobre el brote. Tenga cuidado con los sitios web y los mapas de la propagación de la enfermedad cuando busque o busque en Google la pandemia.
  • Desafortunadamente, la enfermedad de Coronavirus 2019 (COVID-19) no tiene vacuna ni cura. Debemos estar particularmente atentos de correos electrónicos de esta naturaleza e informar cualquier correo electrónico falso o phishing a estas organizaciones. Puedes informar estafas a la OMS aquí y a la FTC aquí.
  • Investiga cualquier organización benéfica antes de donar dinero o proporcionar información personal. Ya hay informes de organizaciones benéficas falsas que afirman que necesitan dinero para encontrar una cura o ayudar a las víctimas. Lea los consejos de donación aquí .
  • Particularmente en este momento, ten cuidado con los falsos intentos de phishing por correo electrónico de los CDC y la OMS. No hagas clic en archivos adjuntos o hipervínculos de un correo electrónico que no esperabas o donde no puedes verificar al remitente. Mala gramática, hipervínculos que no coinciden con la URL real, errores ortográficos, archivos adjuntos extraños, amenazas, ningún logotipo o logotipo incorrecto, o un sentido extremo de urgencia son signos de phishing.

Recuerda que los delincuentes intentarán atraer tus emociones durante esta pandemia, especialmente el miedo y el pánico. Disminuye la velocidad al tomar decisiones y no te sientas presionado a hacer nada con prisa, ya sea visitar un sitio web, hacer clic en un enlace, abrir un archivo adjunto, donar a una organización benéfica o tratar de navegar a través de tratamientos no aprobados.

Si actualmente estás trabajando en forma remota, lee nuestros consejos de seguridad cibernética sobre cómo configurar una estación de trabajo cibersegura para las próximas dos semanas.

SOS ingeniería social

Quizá en alguna discoteca (si eres generación X) o en algún antro (si eres más joven) entregaste información personal mientras interactuabas con otras personas. Detente un momento y busca en tus archivos mentales, seguramente encontrarás varios recuerdos. Tal vez lo hiciste con esa persona que te gustaba: le diste tu nombre, le dijiste si estudiabas o trabajabas, en dónde, tus horarios, tu teléfono o WhatsApp, tu Face, y ya más entrados en confianza, hasta tus gustos, tus creencias, tus afinidades, responsabilidades y tal vez hasta alguno que otro miedo. Esto es muy normal en una interacción humana, después de todo, somos una especie social. Ahora bien, imagina este mismo ejemplo, pero con una persona que a través del arte de la manipulación busca obtener esta información con otros fines. Puede que lo haga personalmente, o tal vez utilice alguna de tus redes sociales, lo haga vía telefónica, por correo o a través de alguna aplicación. A esta práctica se le conoce como Ingeniería Social.

Y en palabras simples, ¿qué es la ingeniería social? Según Kaspersky, es “…la ciencia y arte de hackear a seres humanos…”, “…es un conjunto de técnicas empleadas por los cibercriminales para engañar a los usuarios incautos para que les envíen datos confidenciales…”.
Con esta definición en mente y tomando en cuenta las motivaciones de los hackers, podemos concluir que esta práctica tiene como objetivo final ejecutar algún ataque a personas o a organizaciones.

¿Cómo lo hacen?
Parte fundamental es la interacción humana. Los hackers buscan el contacto con las personas para granjearse cierto nivel de credibilidad siendo empáticos, asertivos y amigables. De esta forma logran ganarse la confianza de sus víctimas. O, por el contrario, puede que se muestren coercitivos al plantear un escenario de gravedad, urgencia o algún problema que dará pauta a discursos de manipulación con los que el criminal solicitará a su víctima información útil para perpetrar el ataque. Seguramente has escuchado acerca de las famosas estafas telefónicas o por correo electrónico en donde los criminales se hacen pasar, entre otras cosas, por organizaciones como bancos, agencias o entidades gubernamentales para solicitar datos personales y confidenciales. También están aquellas en las que te piden entrar a alguna página web o descargar archivos y/o aplicaciones desde tu correo o smartphone. Algunas de las técnicas más utilizadas son el phishing y, más recientemente, el vishing.

Todo en este mundo tecnificado y conectado está en constante crecimiento, por lo que día a día observamos nuevos servicios, nuevos productos y nuevas aplicaciones que facilitan la interacción con otras personas y con nuestro trabajo. Asimismo, los hackers también crean día a día nuevas formas, técnicas y herramientas para desarrollar sus actividades ilícitas. Desde hurgar en los cestos de basura de sus posibles víctimas (Dumpster Diving) e infiltrarse físicamente al medio ambiente para ver, escuchar y obtener información confidencial (como usuarios y contraseñas de sistemas y aplicaciones), hasta usar técnicas y herramientas más sofisticadas como software malicioso o malware (acrónimo del inglés malicious software). Estos son programas desarrollados para infiltrarse en los sistemas de las victimas con el objetivo de dañar, robar o secuestrar información.

En nuestros próximos capítulos, hablaremos de algunas de las técnicas y herramientas más utilizadas por los hackers: qué son, cómo funcionan, cuáles son las más famosas y algunos consejos de prevención.

Para terminar, somos una especie social. Disfrutamos compartir momentos con otras personas. Experimentamos sorpresa, miedo, alegría, tristeza e ira. Debemos recordar que son justamente estas emociones las que son explotadas a través de la ingeniería social, por lo que nuestras recomendaciones no son el aislamiento y el miedo, sino SER conscientes de estos riesgos y amenazas latentes y actuar en consecuencia. Sé incrédulo, cuestiona, no confíes en desconocidos, pregúntate si tiene sentido esa llamada telefónica, revisa ese correo o ese mensaje antes de dar clic. Infórmate, pregunta, comparte, pide apoyo, recuerda que “más del 99 por ciento de los ciberataques dirigidos dependen de la interacción humana para tener éxito”, pues el eslabón más débil en la cadena de seguridad somos nosotros, los humanos.

Eleazar Cruz
Consultor en Ciberseguridad Estratégica

Referencias:

¡Ten cuidado con este link de WhatsApp!

WhatsApp se ha convertido sin duda, en uno de los medios de comunicación más utilizados tanto en el ámbito personal como en el laboral, y es por ello que ciberatacantes saben que es un medio propicio para acceder a información sensible de sus víctimas, y además propagar su ataque a una velocidad increíble. Al infiltrarse a través de WhatsApp, un ciberatacante puede obtener conversaciones y fotografías comprometedoras, datos bancarios, información laboral sensible, y puede incluso espiar a los usuarios a través del micrófono. Logra un control absoluto.

La manera en que la mayoría de estos estos ciberataques funcionan, es a través de un mensaje con vínculos a sitios web desconocidos. Pues bien, ahora se está presentado una modalidad donde se envía al usuario un mensaje de texto con el título «Saludos de WhatsApp«, el cual contiene un vínculo y que solicita no compartir con nadie.

¡No hagas clic! Si recibes el mensaje ignóralo y elimínalo para no poner en riesgo tu privacidad.

La recomendación es activar la verificación en dos pasos de la aplicación, ya que de esa forma cualquier intento por verificar el número requerirá de la contraseña de seis dígitos que únicamente el responsable de la cuenta conoce.

Brasil y México, países más afectados por malware en América Latina

La novena Cumbre Latinoamericana de Ciberseguridad de Kaspersky destacó que Brasil y México son los países más afectados por malware en la región, y que además se mantienen en el Top 20 mundial. En el evento llevado a cabo en Iguazú, Argentina, se señaló también que los dispositivos móviles en América Latina reciben 6 intentos de ataque de malware por minuto, y que en la clasificación mundial de ciberataques móviles, Brasil es el que más ataques registra en estas latitudes y se ubica en sexto lugar a nivel mundial, seguido por México a nivel regional y como noveno a nivel global.

Según los expertos de la empresa de ciberseguridad, esta estadística es consecuencia en gran medida por la descarga de software no licenciado, llamado comúnmente como «pirata». “La piratería ayuda al criminal porque los sistemas piratas son vulnerables. Es una cadena de hechos: primero, el usuario no quiere pagar, instala un sistema operativo pirata e instala un crack; segundo, el usuario no actualiza el programa porque identificaría que se trata de un software pirata; tercero, el software es vulnerable y cuarto, el usuario es atacado”, señaló Fabio Assolini, analista senior de Seguridad de Kaspersky.

Otra gran amenaza en la región es el phishing, “El phishing ofrece la credencial necesaria que dará al atacante la posibilidad de desarrollar las siguientes etapas de ataques más avanzados”. México se ubica en el lugar 13 en este indicador.

Precaución con correos electrónicos que soliciten confirmación de cancelación de suscripción

El portal BleepingComputer ha reportado que se ha detectado una campaña de correo electrónico fraudulento que pretende ser una solicitud de confirmación de cancelación de suscripción. Nunca se debe hacer clic o responder a estos correos electrónicos, ya que están diseñados para recopilar direcciones de correo electrónico que funcionen o para realizar algún otro tipo de estafa. Si bien parece ser que el objetivo es el público anglosajón, se debe tener precaución porque no estamos exentos de recibir este tipo de mensajes.

El portal indica que durante la semana pasada se identificó un flujo constante de correos electrónicos con títulos de asuntos como «Confirme su solicitud de cancelación de suscripción» o «Cliente # 980920318 Para_DETENER_Recibir estos correos electrónicos de nosotros Pulse respuesta y háganos saber«. Si bien esta es una estafa de correo electrónico de larga duración, esta es la primera vez que este tipo de mensaje se detecta.

A diferencia de las notificaciones normales de cancelación de suscripción, estos correos electrónicos fraudulentos no contienen ninguna indicación de lo que está cancelando e incluyen una variedad de «plantillas» que les permiten tener una imagen diferente, por ejemplo:

¿Qué debo hacer?

Algunas de las razones por las que podríamos recibir un correo electrónico de esta naturaleza es que «spammers» -personas que envían correo electrónico indiscriminado y de manera masiva- crean listas de direcciones de correo electrónico activas que pueden usarse para estafas de correo electrónico más lucrativas, a través de phishing.

Al responder estos correos, estaríamos indicando a posibles estafadores que tienen una «cuenta viva» y lo agregan a una lista de cuentas de correo electrónico activas que pueden usarse para futuras estafas. Estas listas de correo electrónico pueden venderse a otros estafadores o usarse para sus propios fines.

Sabiendo esto, nunca responda los correos electrónicos de spammers y simplemente elimínelos. Si responde, terminará recibiendo aún más spam en su bandeja de entrada.

Información personal de estudiantes robada en violación de datos de universidad

Ciberdelincuentes han robado datos personales de estudiantes de la Universidad de Lancaster en Inglaterra, luego de obtener acceso a bases de datos que contenían información personal. Entre los datos a los cuales tuvieron acceso los ciberatacantes se encuentran: nombres, direcciones, números de teléfono y direcciones de correo electrónico. La universidad tiene más de 13,000 estudiantes, pero actualmente no se cuenta con datos sobre la cantidad de personas afectadas.

La universidad ha descrito el incidente como «un ataque de phishing sofisticado y malicioso que ha provocado violaciones de datos de estudiantes y solicitantes«.

Lancaster se dio cuenta de la violación el viernes 19 de julio y creó un equipo de respuesta a incidentes para investigar, así mismo generó un informe «inmediato» de la violación emitido a la Oficina del Comisionado de Información, tal como lo exige la Ley General de Protección de Datos (GDPR) en Europa. 

Es importante reiterar que las universidades son un objetivo habitual de los ataques de phishing , ya que los ciberdelincuentes intentan engañar a los estudiantes y al personal para que compartan sus datos personales, credenciales de inicio de sesión u otra información valiosa.

Cuidado con este malware «disfrazado» de juego

El juego “Scary Granny ZOMBYE Mod: The Horror Game 2019” para Android está robando datos de Google y Facebook de sus usuarios. La aplicación maliciosa intenta desviar datos y dinero de las víctimas hacia ciberdelincuentes. Se recomienda eliminar esta aplicación inmediatamente de tus dispositivos.

Este juego pasó desapercibido para el equipo de revisión de Google Play. Google utiliza un sistema de detección de malware para verificar nuevas aplicaciones que se cargarán a su Play Store, sin embargo esta aplicación evadió la verificación ya que simulaba ser un juego totalmente funcional, sin embargo después de un período de dos días de instalarse, el malware es activado.

La aplicación, aparentemente basada en otro exitoso juego para Android llamado Granny, lanza un ataque de phishing contra el dispositivo de destino, mostrando una notificación que solicita al usuario que actualice sus servicios de seguridad de Google. Cuando el usuario está de acuerdo, presenta una página de inicio de sesión falsa para robar sus credenciales.

Falsa notificación y phishing (Fuente: https://www.bleepingcomputer.com/)

El código de phishing utiliza un navegador integrado en la aplicación para acceder a la cuenta del usuario y descargar sus correos electrónicos y números de teléfono de recuperación, además de códigos de verificación, cookies y tokens (que podrían brindar a los atacantes acceso a aplicaciones de terceros).

Ciberataques con inteligencia artificial en Twitter

Twitter está siendo utilizado como una herramienta para realizar ciberataques. Mediante el uso de modelos de inteligencia artificial, cibercriminales recaban información de sus objetivos en la plataforma social y con base en los resultados envían mensajes de phishing a dichos usuarios.

Recordemos que los ataques de phishing son aquellos en los que un cibercriminal envía un mensaje engañoso a su objetivo, ya sea a través de correo electrónico, mensajería instantánea o redes sociales, para que éste introduzca información personal o para que al hacer clic descargue algún tipo de software malicioso (malware).

En una entrevista al diario El Economista, Ladi Adefala, estratega senior de Seguridad de Fortinet, declaró que los ataques lanzados a través de Twitter mediante Inteligencia Artificial son exitosos en promedio entre 40 y 60% de las ocasiones

De acuerdo con Adefala, los cibercriminales se están también aprovechando de otro tipo de dispositivos que emplean inteligencia artificial con el fin de recabar información de sus víctimas, como es el caso de los asistentes virtuales. El especialista mostró un ejemplo de lo que se conoce como skill squatting, que aprovecha las aplicaciones de reconocimiento del lenguaje de Amazon Alexa para extraer información sensible de sus usuarios.

Adefala explicó que un ciberdelincuente puede crear una skill (aplicación de Amazon Alexa) que con el fin de engañar a los usuarios, simule las mismas funciones que las de una marca reconocida de una institución bancaria o financiera. Si el usuario descarga dicha skill en lugar de la oficial de la institución, corre el riesgo de que sus datos bancarios sean robados y utilizados para cometer fraudes.

¿Sabías que pueden secuestrar tu cuenta de WhatsApp a través de un código QR?

Increíble pero cierto. El laboratorio de investigación de la empresa de ciberseguridad ESET ha detectado casos en que cibercriminales acceden de manera deliberada a datos de cuentas de WhatsApp, logrando tener acceso a contactos, archivos y conversaciones de la víctima, todo a través de un código QR.

Primero comencemos explicando qué es un código QR.

Seguramente habrás visto una imagen similar a ésta:

Código QR

Esta imagen es un código de barras bidimensional cuadrado que almacena datos codificados. Usualmente estos datos codificados son enlaces a sitios web. Los códigos QR son muy útiles porque en lugar de de ingresar una dirección de internet (conocida como URL) en tu navegador, solo escaneas el código y automáticamente te redirige al sitio.

Los códigos QR tienen muchos usos y puedes encontrarlos en todo tipo de publicidad, por ejemplo: en revistas, sitios web o apps. A través de ellos es posible brindar información sobre productos y servicios, agregar contactos o enviar correos electrónicos.

Y si son muy útiles, ¿cómo puede afectarme un código QR?

Recordemos que este código QR es usualmente utilizado para dirigirnos a un sitio web. Si un cibercriminal utiliza esta funcionalidad, puede engañar a un usuario para que escanee su código QR y lo redirija a un sitio con contenido malicioso, es decir una ubicación donde se descargue malware en tus dispositivos o se incluya contenido ilegal.

No lo vas a creer pero es común que cibercriminales reemplacen códigos QR en posters o carteles de anuncios publicitarios, por eso debemos prestar mucha atención a los códigos que escaneamos.

¿Cómo funciona el ataque para secuestrar mi cuenta de WhatsApp?

Si utilizas WhatsApp en tu computadora, sabrás que el proceso para registrar tu cuenta es muy sencillo: desde tu Smartphone seleccionas “WhatsApp Web” y en la pantalla aparece la opción de escanear un código QR. Posteriormente abres la página web de acceso a WhatsApp en la computadora (https://web.whatsapp.com) y escaneas el código con tu aplicación. Hasta ese punto todo parece estar muy bien, sin embargo, WhatsApp no cuenta con un proceso de validación adicional, un pequeño detalle que aprovechan los cibercriminales.

Para lograr su cometido, los chicos malos utilizan un tipo de ataque de ingeniería social conocido como QRLjacking, que se enfoca en secuestrar las sesiones de las aplicaciones que utilizan códigos QR. En el caso de WhatsApp, la víctima es engañada simulando el sitio de registro de la plataforma del servicio de mensajería, y en realidad escanea un código QR del atacante, el cual secuestra su sesión y por tanto puede básicamente acceder a toda su información.

Ataque descubierto por ESET

Es importante resaltar que este tipo de ciberataque no es exclusivo de WhatsApp, por lo que puede ser utilizado para engañarte con cualquier otro medio que utilice códigos QR.

Suena mal, ¿cómo me protejo?

Además de las recomendaciones habituales que te hemos compartido con respecto al uso de dispositivos tecnológicos, presta particular atención a lo siguiente para evitar que secuestren tu cuenta de WhatsApp o que caigas en un engaño al hacer uso de un código QR:

  • De la misma manera que no debes hacer clic en un enlace de un sitio web que no es de confianza, no escanees un código QR de dudosa procedencia.
  • Utiliza lectores de códigos QR que te muestren la dirección del enlace antes de abrir el navegador de internet, y valida si la dirección de internet corresponde al sitio al que deseas dirigirte.
  • Habitualmente, las campañas de marketing de productos o servicios divulgan a través de sus canales oficiales el uso de un código QR. Comprueba que es auténtico.
  • No te conectes a Internet en redes públicas y si tienes necesidad de hacerlo utiliza una VPN.
  • Mantén tu computadora y dispositivos protegidos con un antivirus y asegúrate de que siempre esté actualizado.
  • Si tienes dudas, ¡pregunta!

Provehito in altum
Por: Juan Pablo Carsi

Invita SECESP al primer concurso de dibujo y pintura “Un like por la prevención”

Con información de El Sol de San Luis

Este certamen busca reflejar el sentir de las nuevas generaciones respecto al uso responsable de las nuevas tecnologías y redes sociales

Con el compromiso de fomentar el uso responsable de las nuevas tecnologías y redes sociales entre niños, niñas y adolescentes a través de la cultura y el arte, el Secretariado Ejecutivo del Consejo Estatal de Seguridad Pública (SECESP), a través de su área de Coordinación y Prevención del Delito, invita a participar en el Primer Concurso de Dibujo y Pintura “Un Like por la Prevención”.

El titular del SECESP, Armando Oviedo Abrego recordó que esta campaña se imparte a estudiantes de primaria, secundaria, bachillerato y universidad, con el objetivo de dar a conocer los beneficios que ofrecen el Internet y las redes sociales, pero también advertir los peligros que representan ciertas conductas que se presentan cada vez con mayor frecuencia a través de dichos medios, como son el “sexting”, “grooming”, “phishing” o “phubbing”.

Un Like por la Prevención” pretende concientizar a la niñez y juventud potosina sobre el riesgo que puede representar compartir información personal y/o familiar en Internet, a fin de prevenir que puedan ser víctimas de algún delito como abuso sexual equiparado, difusión ilícita de imágenes, robo de identidad, extorsión y/o pornografía infantil.

A través de la cultura y el arte, este certamen busca fomentar la creatividad y reflejar el sentir de las nuevas generaciones respecto al uso responsable de las nuevas tecnologías y redes sociales, por lo que algunas de las preguntas que pueden ayudar a quien desee realizar su dibujo y/o pintura son: ¿cómo podemos navegar de forma segura en Internet?, ¿qué peligros encontramos en redes sociales?, ¿cuál es la realidad de las redes sociales?, ¿qué fenómenos existen en Internet? y ¿cómo vives las redes sociales?, entre otras.

En el concurso podrán participar todas las niñas, niños, adolescentes y jóvenes de entre 8 y 20 años de edad, los cuales estarán divididos en tres categorías: de 8 a 12 años; de 13 a 16 años y de 17 a 20 años. Los trabajos deberán ser entregados en las oficinas del área de Coordinación y Prevención, las cuales están ubicadas en la calle Tres Guerras No. 100, Colonia Moderna, en un horario de lunes a viernes de 08:00 a 20:00 horas. La fecha límite para la recepción de trabajos será el 31 de agosto de 2019.

Participarán todos aquellos dibujos que se reciban en tiempo y forma. Cada participante podrá inscribir un sólo trabajo, el cual debe ser elaborado en cartulina o papel no mayor de 60 x 45 centímetros y no menor de 28 x 23 centímetros; la técnica es libre, por lo que se puede utilizar lápiz, grafito, carbón, pasteles, lápices de colores, técnicas a blanco y negro, sanguina, crayones, acuarelas, pinturas acrílicas, tintas y óleos.

Al reverso de su trabajo, los concursantes deberán anotar el título de la obra y los datos del autor: nombre completo y edad, correo electrónico, domicilio (calle, número, colonia, delegación o municipio, código postal, estado), teléfono, nombre de la escuela a la que pertenece y medio por el cual se enteró del concurso.

El jurado calificador estará integrado por representantes de la Secretaría de Educación de Gobierno del Estado (SEGE), DIF Estatal, Policía Cibernética, Centro de Justicia para las Mujeres, Comisión Ejecutiva Estatal de Atención a Víctimas, Secretaría de Cultura y del propio SECESP, cuyo fallo será inapelable.

Los resultados del concurso se darán a conocer el 9 de septiembre a través del sitio web y redes sociales del SECESP. Los primeros tres lugares de cada categoría recibirán un reconocimiento y atractivos premios, además de que sus dibujos serán publicados en las páginas oficiales de este Secretariado.

Más información en El Sol de San Luis