ciberseguridad

Ciberseguridad: de la pantalla a nuestras manos

2021-01-15 by Hilda Saray Gómez González Leave a Comment

Lectura: 3 minutos

El término Ciberseguridad, muy frecuentemente, nos remite a las actividades que desarrollan las grandes organizaciones, empresas o instituciones en relación con Internet, el ciberespacio o la World Wide Web. Con este término vienen a nuestro pensamiento la administración de recursos financieros, la organización de procesos de trabajo en donde intervienen cientos o miles de personas y no es raro que recordemos la imagen de grandes servidores que almacenan información estratégica de gran valor. Con la palabra Ciberseguridad tendemos a pensar en protección de bases de datos gigantescos como un padrón electoral, los registros de cuentahabientes de un banco, el movimiento de acciones en la Bolsa de Valores. Y ciertamente, a esta percepción no le falta realidad. Cada día, las inversiones en seguridad informática aumentan alrededor del mundo y las agencias de consultoría e instrumentación de soluciones de seguridad cibernética presentan nuevos y más fortalecidos sistemas para prevenir ataques de hackers, espionaje industrial, extorsiones o robos de capital. Al mismo tiempo, la instrumentación de protocolos para prevenir o enfrentar una emergencia de ciberseguridad, ocupa grandes espacios en la planeación y dirección de proyectos corporativos.

A nivel mundial, iniciativas como el Convenio de Budapest –en vigor desde 2004–, son referencia para la atención de delitos informáticos, armonizar las normativas de cada país para facilitar la cooperación internacional y propiciar la actuación jurídica de las naciones ante este problema.

ciberseguridad convenio budapest — Imagen: Bits Grafía.

Organismos multilaterales han publicado estudios y métricas para impulsar el desarrollo de las mejores prácticas de ciberseguridad en todo el mundo. El Banco Interamericano de Desarrollo (BID), por ejemplo, recientemente ha dado a conocer su estudio Ciberseguridad, riesgos y avances y el camino a seguir en América Latina y el Caribe, en el cual presenta un comparativo de las naciones en el área con indicadores que dan cuenta de qué tanto se ha hecho para minimizar las amenazas informáticas.

Definida por la Unión Internacional de Telecomunicaciones (UIT), en su Recomendación UIT–T X.1205, la Ciberseguridad ha sido conceptualizada como:

El conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno. Los activos de la organización y los usuarios son los dispositivos informáticos conectados, los usuarios, los servicios/aplicaciones, los sistemas de comunicaciones, las comunicaciones multimedios, y la totalidad de la información transmitida y/o almacenada en el ciberentorno.

En nuestros días, con el acceso multiplicado a Internet no sólo las organizaciones, empresas e instituciones están expuestas a eventos en los que la seguridad informática pueda estar en riesgo. En lo individual, cada persona que utiliza una computadora para navegar en el ciberespacio o un smartphone con acceso a Internet habría de pensar en sus propias prácticas de ciberseguridad. Si aterrizamos la definición de la UIT al entorno de cada usuario, nos damos cuenta de la importancia de reflexionar, y actuar, sobre la manera en que cada cual administra, comparte y salvaguarda su información. Analizar qué plataformas utilizamos, cuáles son las medidas de seguridad que tomamos o cómo resguardamos nuestros datos personales son, cada vez más, elementos de una formación digital, que por ahora, las escuelas no están atendiendo.

El punto de partida de la Ciberseguridad está en las manos y en las pantallas de cada persona. Sucumbir a la gratuidad y a la novedad de todas las aplicaciones que nos ofrecen, suponer que cualquier intercambio en la red es igual a amistad o que ser acreedores a premios es práctica común en la WWW son apenas ejemplos de la necesidad de una formación en Alfabetización Mediática e Informacional a todos los niveles para realizar tránsitos seguros y hacer frente, por ejemplo, a extorsiones, acoso, discriminación o violencia con herramientas y habilidades que correspondan al nivel de complejidad y convergencia tecnológica y cultural que nos ha tocado vivir.

También te puede interesar: La Alfabetización Digital en la Agenda 2030 .

Ciberataques: la otra plaga

2020-12-29 by Claudia Schatan 1 Comment

Lectura: 6 minutos

“Los atacantes fueron exitosos en tomar por sorpresa al gobierno federal, que estaba desprevenido y no preparado”… “La verdad es ésta: la administración Trump ha fallado en priorizar la ciberseguridad” (traducción propia) (Biden, martes 22 de diciembre, 2020).

En los últimos días se ha descubierto el ataque de ciberespionaje más grave y probablemente más prolongado (lleva entre seis y nueve meses operando y no parece haberse detenido del todo) que hasta ahora se haya registrado en contra del gobierno estadounidense, aunque todavía no se sabe la dimensión completa de esta irrupción. El Departamento de Energía (DOE) y la Administración de Seguridad Nuclear Nacional (NNSA), esta última encargada de las reservas nucleares de Estados Unidos, fueron blanco de una ataque cibernético por hackers internacionales que pudieron haber extraído muy valiosa información de las bases de datos de estas agencias. Pero el daño es mucho más extenso, pues se calcula que alrededor de 18,000 organizaciones descargaron la engañosa actualización del software de una empresa administradora de redes (SolarWinds) incluyendo muchas dependencias gubernamentales, además de 85% de las 500 empresas listadas en Fortune. Entre estas últimas está Microsoft, que difícilmente uno hubiera imaginado vulnerable a estos ataques.

Es paradójico que el hackeo se haya hecho a través de la plataforma Orion de la empresa SolarWinds que administra redes –supervisa su desempeño, analiza el tráfico de información, monitorea el almacenaje de información, entre otras varias funciones–, lo que debería contribuir a mejorar la seguridad de dichas redes en lugar de debilitarlas. Más irónico aún es que los piratas informáticos hayan utilizado las mismas armas cibernéticas de esa compañía para penetrar los sistemas de las empresas o gobiernos que contratan sus servicios. “Los atacantes lograron acceso al software de SolarWinds antes de que hubiera una versión actualizada para sus usuarios. Sin sospecharlo, éstos bajaron una versión alterada del software, que incluía una puerta trasera que daba acceso a los piratas a la red de la víctima” (NYT, traducción propia).

ciberataques en estados unidos — Imagen: Science Photo Library.

La gravedad del asunto se refleja, por ejemplo, en que el 16 de diciembre tres agencias federales estadounidenses –Federal Bureau of Investigation (FBI), Agencia de Ciberseguridad e Infraestructura Security (CISA) y la Oficina del Director de Inteligencia Nacional (ODNI)– hicieron una declaración conjunta sobre el hackeo que se ha descubierto y que sigue aún su curso y formaron un Ciber Grupo de Coordinación Unificado (UCG) para enfrentar la situación.

Detrás del ciberataque descrito está, aparentemente, el grupo Cozy Bear (APT29), que normalmente está respaldado por la agencia de inteligencia rusa, de manera que las consecuencias de la irrupción pueden ser una sorpresa nada agradable.

Como bien se sabe, el ciberataque para el que se utilizó SolarWinds no es un hecho aislado. Los ataques de este tipo constituyen el nicho de mayor crecimiento dentro del total de crímenes en Estados Unidos y, a nivel global, se espera que el costo de estos actos llegue a 6 billones (trillions) de dólares en 2021 (el doble de lo que se registró en 2015). Los ciberataques son una amenaza cada vez mayor para las empresas, las dependencias gubernamentales y las personas.

Hay un creciente uso de lo que se llama la “red oscura”. En realidad ésta consiste en una red de comunicaciones que va superpuesta al Internet y que permite la comunicación sin que se revele la identidad de los usuarios y mantiene en secreto la información que viaja por esta red. La creación de este tipo de red (Tor, por sus siglas en inglés) fue financiada originalmente por el Laboratorio de Investigación Naval de Estados Unidos, y como muchos avances tecnológicos, tenía como propósito facilitar la comunicación en temas de defensa sin estar expuestos al escrutinio público. El proyecto Tor está manejado por una organización sin fines de lucro del mismo nombre y se dedica a la investigación y la educación.

No obstante, la darkweb o red oscura ha estado convirtiéndose en un floreciente mercado para el crimen organizado desde la cual se lanzan sendos ataques cibernéticos. Incluso se ha simplificado para los delincuentes el uso de esta vía para realizar sus trasgresiones. Originalmente se necesitaban destrezas especiales para efectuar un ataque, pero se ha estandarizado la tecnología y facilitado el acceso a las herramientas tecnológicas que ahora se pueden conseguir como un “servicio”. Así, se puede acceder al software malicioso como un servicio para llevar a cabo actos delictivos de muy diverso tipo.

En su informe reciente –Data Breach Investigations Report 2020– Verizon muestra los resultados de la investigación sobre más de 32,000 incidentes cibernéticos registrados en 2019, de los cuales más del 10% fueron ataques delictivos exitosos. La cobertura de este informe se concentra en Estados Unidos y Canadá, pero casi la mitad de los casos son del resto del mundo. Entre las trasgresiones destacan el ataque de denegación de servicio (DoS por sus siglas en inglés), que consiste en un ataque que copa la capacidad de un servidor, una red, o una computadora por lo que se vuelve inaccesible para los usuarios. Muy común es también el Phishing que son técnicas por las que un delincuente engaña a un usuario a través de una identidad falsa, induciéndolo a proveer información confidencial y a realizar acciones que le son perjudiciales. También está el ransomware o rapto digital de un sistema computacional, no tan frecuente, pero de efectos potencialmente devastadores; es la infección de un servidor que requiere el pago de un rescate para ser liberado por los secuestradores. Los botnets, por su parte, son un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática, mismos que pueden infectar computadoras o servidores y controlarlos de manera remota. Sólo para mencionar algunos de los mecanismos usados en ciberataques.

Cerca de la mitad de los casos analizados por Verizon fueron provocados por el crimen organizado y alrededor del 10% fueron autoría de Estados-Naciones, o afiliados de éstos. En 2019, 86% de los ciberataques estaban enfocados al robo financiero. Pero es difícil saber qué ciberataques son peores que otros y el número de ellos a veces no devela su importancia. Por ejemplo, no sabemos si el magno ciberataque reciente en Estados Unidos realizado a través de SolarWinds pueda tener un impacto político o bélico mucho mayor, quizá, que cualquier ciberataque financiero. Es muy difícil juzgar o poner en una balanza los efectos de distintas trasgresiones digitales.

En el período de pandemia del COVID-19, los delincuentes cibernéticos no se han tentado el corazón. A la vez que se ha expandido enormemente el uso del Internet debido al comercio digital, el trabajo a distancia y la provisión de una serie de servicios por esa vía, los ciberataques y el ciberespionaje han encontrado terreno fértil para operar. Hubo acusaciones de Estados Unidos, Gran Bretaña y Canadá en julio de este año contra los servicios secretos de Rusia por tratar de robarles a través de la web información para la generación de la vacuna contra el COVID-19. Asimismo, estafadores han utilizado como fachada la OMS para, a través de correos electrónicos u otros medios de comunicación digital, solicitar al público donaciones a fondos ficticios para supuestamente apoyar la lucha contra la pandemia. En períodos álgidos de la pandemia ha habido una ola de secuestros de los servidores hospitalarios, interrumpiendo la operación normal de esos nosocomios y poniendo en peligro las vidas de pacientes en ellos.

ciberataque y delincuencia — Imagen: Uno Cero.

La dinámica de la innovación tecnológica en el campo digital es extraordinaria y el avance de la delincuencia va pisándole los talones. Éste es el caso, por ejemplo, del uso creciente del Internet en la nube. Es sumamente atractivo trasladar todas las operaciones computacionales a la nube, pues es más eficiente, más rápida y más económica. Sin embargo, no existe suficiente experticia sobre ciberseguridad en la nube ni en los sistemas híbridos de seguridad en equipos y en la nube.

Los sistemas de seguridad contra los ciberataques son más débiles en las regiones en desarrollo, como América Latina, si se les compara con los países desarrollados. Estos países suelen tener un marco legal y regulaciones más débiles, las empresas tardan en actualizar los programas de seguridad, falta una conciencia de los usuarios y las empresas del peligro en las redes, y hay menos profesionistas especializados en seguridad digital. En el caso de México, el país es blanco de un gran número de ciberataques. Según la empresa de seguridad Kapersky, 22.8% del total de los ciberataques dirigidos a negocios en América Latina entre enero y septiembre de 2020 se enfocaron en empresas mexicanas, es decir, ocupó el segundo lugar en esa región, después de Brasil. En México los mayores delitos digitales ocurren en el sector financiero y han ido “modernizándose” al compás de la innovación de la ciberdelincuencia mundial. Aunque México cuenta con una Estrategia Nacional de Ciberseguridad (2017), se necesita reforzar mucho las políticas, y la aplicación de las que existen respecto a la protección de datos personales para personas físicas y morales. El país cuenta con una Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP, 2010) y el Instituto Nacional de Acceso a la Información y Protección de Datos (INAI), pero este marco legal-institucional es considerado más débil que aquel que tienen Estados Unidos, Canadá, la Unión Europea y Brasil. Además, es necesario crear una mayor conciencia de la importancia de este tema entre los ciudadanos y empresas y, a la vez, capacitar un mayor número de técnicos e ingenieros en seguridad digital, de lo contrario todos estamos expuestos crecientemente a la extorsión, el engaño y el robo virtual.

También te puede interesar: Elon Musk: empresario del año, una vez más (Fortune, 2020).

Seguridad de la información: del estante a la nube

2020-12-01 by Marina Alicia San Martín Rebolloso 1 Comment

Lectura: 3 minutos

Desde 1988, cada 30 de noviembre, se celebra el Día Internacional de la Seguridad de la Información, para generar conciencia sobre la importancia de su protección en los sistemas en los que obra.

Todas las personas en el mundo, para evitar los contagios de COVID-19, hemos permanecido lo más posible en aislamiento, lo cual ha llevado a desarrollar gran parte de nuestras tareas en el espacio digital.

De acuerdo con el Estudio de Cloud Computing en México 2020, del Instituto Federal de Telecomunicaciones (IFT), la contingencia sanitaria ha dado lugar a cambios en nuestros hábitos, por ejemplo, el home office aumentó el consumo de aplicaciones de video conferencia en un 230%; Skype creció en 650% al tercer día de la cuarentena, y Webex y Zoom en un 430%; asimismo, otros consumos por streaming para entretenimiento (Flow, Netflix o Youtube) tuvieron un incremento de 20%.

Ante este escenario, la adopción de servicios en la nube ha cobrado relevancia, al facilitar las actividades de quienes pueden realizar sus tareas a distancia.

Imagen: Global Media IT.

El cómputo en la nube (cloud computing) se refiere a servicios prestados por medio de internet, bajo demanda del usuario y desde una ubicación remota. Este concepto describe una red mundial de servidores remotos, que están conectados para funcionar como un único ecosistema, diseñado para almacenar y administrar datos, ejecutar aplicaciones, y entregar contenidos o servicios.

En el citado estudio del IFT, se destaca que la nube, las redes de fibra óptica y las tecnologías que habiliten los servicios de alta velocidad, serán los tres factores que permitan materializar la transformación digital y la implementación de nuevas tecnologías, como la red 5G, el Internet de las cosas y la Inteligencia Artificial.

En ese sentido, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha considerado que para que la computación en la nube logre todo su potencial debe garantizar la seguridad de la información, que implica tener la capacidad de proteger los activos sin importar su forma o medio en el que se encuentren, a través de medidas técnicas y organizativas orientadas a preservar la confidencialidad, integridad y disponibilidad de la información.

La Ley de Archivos de la Ciudad México, publicada en noviembre de este año, en concordancia con la legislación general en la materia, posibilita que las instituciones gestionen documentos de archivo electrónicos en un servicio de nube, que permita establecer altos controles de seguridad y privacidad de datos.

Imagen: VentureBeat.

Para enfrenar los problemas de seguridad asociados con la computación en la nube, como la pérdida, alteración o filtración de información, es necesario que los proveedores aseguren que la infraestructura tenga blindajes suficientes, y que los usuarios fortalezcan los métodos de autenticación.

Algunas medidas de seguridad a tener presentes para hacer un uso de la nube de forma confiable son, por ejemplo, elegir contraseñas difíciles de adivinar, descargar aplicaciones y actualizaciones de sitios verificables, cifrar datos y analizar vulnerabilidades que permitan identificar debilidades en puntos susceptibles a ataques maliciosos.

Como afirmara el economista Muhammad Yunus “la tecnología es importante, pero lo único que realmente importa es qué hacemos con ella”. Si bien el cómputo en la nube permitirá almacenar grandes cantidades de datos en muy poco espacio, en vez de invertir en estantes para su conservación en físico; también es cierto que es fundamental cuidarlos en el tiempo, para lo cual se requiere contar con políticas de seguridad de la información que involucren a reguladores, proveedores y usuarios.

También te puede interesar: Reformas “Olimpia”, freno a la ciberviolencia contra las mujeres .

Gobierno de AMLO en la mira de los hackers

2020-03-10 by Redacción Leave a Comment

Lectura: < 1 minuto

Ciberataques en México 2020 afecta a la Secretaría del Trabajo

Los ciberataques en México continúan en 2020 y buscan vulnerar el gobierno de Andrés Manuel López Obrador (AMLO), ahora el objetivo fue la información de la Secretaría del Trabajo y Previsión Social atacada el primer fin de semana de marzo.

A través de un comunicado compartido en redes sociales, la Secretaría del trabajo dijo haber sido víctima de un ataque cibernético en su infraestructura de cómputo, calificando el hecho como ‘un incidente’ que causó que algunos servidores dejaran de operar correctamente.

COMUNICADO | Incidencia de Servidores de la STPS pic.twitter.com/FTZyEKU5VC
— STPS México (@STPS_mx) March 10, 2020

La dependencia no ofreció mayores detalles sobre el percance, pero dijo en un breve comunicado que entre los servidores afectados se encontraba el de una plataforma relacionada con la gestión de contratos colectivos.

La Secretaría del Trabajo no estuvo inmediatamente disponible para hacer comentarios.

Otros ciberataques en México durante el gobierno de AMLO

Semanas previas al ciberataque a la Secretaría del Trabajo, la Secretaría de Economía dijo haber sido víctima de un ataque cibernético que afectó sus servicios de correos electrónicos y servidores de archivos.

La paraestatal Petróleos Mexicanos (Pemex), fue también fue afectada por los piratas informáticos que atacaron la red interna de la petrolera y solicitaron un millonario pago.

Patrones oscuros parte esencial de las estafas por Internet

2019-12-16 by Redacción Leave a Comment

Lectura: 4 minutos

Navegar en Internet puede ser peligroso si no se conocen las medidas básicas de seguridad para evitar ser víctima de los ciberdelincuentes.

Cuando navegamos por internet, muchas veces leemos el contenido por encima sin prestar demasiada atención a los detalles o la letra pequeña, para de esa forma evitar caer en los patrones oscuro.

Y las empresas se aprovechan de nuestros descuidos, propiciados por el exceso de información que nos brinda la red, para usarlos en su propio beneficio.

Los diseñadores web nos manipulan psicológicamente a través de distintas herramientas para que hagamos clic en una sección determinada o pasemos en su sitio mucho más tiempo del que nos gustaría.

El consultor de usabilidad en la red Harry Brignull fue uno de los primeros en identificar este tipo de fraude. “Cuando accedes a una web no lees cada palabra que pone, y las empresas se aprovechan de eso para hacer que parezca que dicen una cosa en lugar de otra”, explicó el especialista.

El británico creó una web en 2009 en la que identificó los distintos modelos que ponen en práctica los diseñadores para engañar a los usuarios.

“Los patrones oscuros están en toda la web y en muchas aplicaciones”, le contó Brignull a la BBC.

El especialista dice que existen más de una decena de trucos diferentes. Estos son algunos de ellos:

Bait and Switch (señuelo y cambio)

Consiste en hacer creer al internauta que navega por una página que lleva una determinada acción, pero que en realidad hace algo que no desearía.

“El ejemplo más famoso fue el truco de Microsoft para que sus usuarios actualizaran sus sistemas a Windows 10”, dice Brignull.

También te puede interesar: La guerra ahora es cibernética

La polémica empezó con la aparición de una ventana con el mensaje “Windows 10 es una actualización recomendada para esta computadora”. Al hacer clic en el botón rojo de la esquina superior derecha de la cajita emergente, la actualización se activaba sin ser solicitada.

“Durante 2016, a los usuarios de versiones previas de Windows les mostraron unas ventanas emergentes de manera cada vez más agresiva a medida que avanzó el año”.

“Comenzaron siendo una llamada a la acción honesta y opcional pero se convirtieron en algo cada vez más engañoso”, asegura el diseñador.

Spam amigo

Ocurre cuando nos piden nuestro email o nuestras credenciales de Twitter, Facebook y otras redes sociales que después usan para enviar spam a tus amigos de tu parte.

“El ejemplo más famoso de este patrón oscuro fue usado por LinkedIn y resultó en una multa de US$13 millones como parte de una demanda colectiva en 2015”, dice Brignull.

Avisos publicitarios encubiertos

La red está repleta de anuncios encubiertos que muchas veces se disfrazan de botones de descarga que tratan de burlar a los internautas para que hagan clics en ellos.

Brignull pone como ejemplo Softpedia, una popular web de descargas de software, que suele incluir varios enlaces de descarga que, en realidad, son publicidad encubierta.

Continuidad forzada

Se aplica cuando nos ofrecen probar un servicio gratuitamente y para ello nos piden datos de la tarjeta de crédito, para cuando el período sin costo finalice.

El problema es que muchas veces nos olvidamos de cancelarlo -o no sabemos cuándo hacerlo o no nos facilitan la forma de hacerlo- y acabamos gastando dinero en algo que no queríamos.

Algunos ejemplos habituales son en páginas web para comprar pasajes de tren y autobús que te ofrecen una suscripción y que muchas veces resulta difícil de cancelar.

“La gente se da cuenta cuando les llega el recibo bancario”, explica Brignull.

Costes ocultos

Son cargos adicionales por gestión o similares, de los que muchas veces no nos informan. El problema ocurre cuando te piden primero los datos bancarios y que realices el pago. Entonces, no hay marcha atrás.

Otras veces, cuando revelan esos costos el proceso ha sido tan largo y tedioso que anular la compra resulta más agotador y fastidioso que hacer frente al pago.

Privacidad “Zuckering”

Este patrón oscuro hace referencia al director ejecutivo de Facebook, Mark Zuckerberg, debido a los problemas iniciales que tuvo su red social respecto a los controles de privacidad que prometió a sus usuarios en 2010.

Para activar esas opciones era necesario seguir un proceso tedioso.

Con el tiempo se ha demostrado que el Big Data (grandes conjuntos de datos) es cada vez más poderoso y jugoso para las empresas.

Se trata de interfaces de usuario diseñadas para que compartamos públicamente más información sobre nosotros mismos de lo que realmente deseamos o pensamos que estamos haciendo.

Distracción

“El diseño hace a propósito que centres tu atención en una cosa para distraerte respecto a otra. La mayoría de los patrones oscuros usan este truco de alguna manera”, cuenta Brignull.

Y pone como ejemplo a la aerolínea australiana de bajo costo Jetstar. “Funciona como uno podría esperar. Haces una búsqueda y eliges los vuelos que quieres. Después puedes elegir el asiento por un coste adicional de US$5, si lo deseas”.

“Pero lo que es engañoso es que ellos ya preseleccionan un asiento por ti con el que suman ese extra y te hacen creer que estás evitando esa opción, cuando no es así”.

Simon Wissink, quien trabaja en el departamento de desarrollo empresarial de la tecnológica Sigma -y ha escrito un informe sobre los patrones oscuros- le dijo a la BBC que estos trucos se basan en “principios de psicología del comportamiento”.

“Estos patrones oscuros pueden verse en páginas web de grandes compañías, principalmente de tiendas online”.

Y cada vez hay más.

“Están en aumento. Estas cosas son muy difíciles de controlar”, dice Wissink.

¡ALERTA! Espionaje a través de Smart TV

2019-12-04 by Redacción Leave a Comment

Lectura: 2 minutos

Ser espiado mientras ves tranquilamente una serie en tu sala, es uno de los riesgos que tienen tener una televisión inteligente en casa. Así lo advierte el FBI.

Cada vez es más común que los hogares cuenten con una televisión inteligente; sin embargo, el aumento de este tipo de dispositivos viene de la mano del incremento en los riesgos que atentan contra la seguridad cibernética de los usuarios.

La advertencia viene del Buró Federal de Investigaciones (FBI, por sus siglas en inglés) que señala que las Smart tv, conectadas a Internet permiten el acceso a aplicaciones y servicios de video en streaming como si de un teléfono inteligente se tratara e incluso se pueden efectuar compras a través de distintos portales de comercio electrónico, son una puerta que los delincuentes cibernéticos pueden aprovechar para espiar a sus víctimas.

De acuerdo a Norton, una firma de ciberseguridad y famoso fabricante de antivirus, los televisores inteligentes, al estar conectados a internet, “tienen la capacidad para rastrear lo que ves y buscas. Con esta información, pueden programar la publicidad que mejor se ajuste a tu estilo de vida”.

Sin embargo, cuando se trata de un posible ciberataque, la publicidad personalizada casi que pasa a un segundo plano.

“Las cámaras de los televisores inteligentes pueden ser hackeadas y usarse para espiar, y los software maliciosos moverse de dispositivo en dispositivo. Un hacker puede fácilmente usar la cámara del televisor para averiguar si guardas objetos valiosos en casa y saber en qué momentos te tomas unas largas vacaciones”, según la empresa Norton.

El FBI también advierte sobre estos peligros.

“Los hackers pueden tomar el control de tu televisión desprotegida. En el mejor de los casos, pueden cambiar tus canales, jugar con el volumen o mostrar videos inapropiados a tus hijos. Y, en el peor escenario, pueden encender la cámara y el micrófono de la televisión en tu cuarto y espiarte en silencio”, leía el informe publicado el pasado 26 de noviembre, citado por la BBC Mundo.

Qué recomienda el FBI

Antes de realizar cualquier compra o usar un televisor inteligente nuevo, el FBI recomienda, primeramente, saber a ciencia cierta todas las prestaciones que incluye.

Es decir, si viene con cámara o micrófono, por ejemplo, y aprender cómo controlar ambas funciones.

De la misma forma, sugiere cambiar las contraseñas y aprender a desactivar el sistema de reconocimiento de voz, las cámaras y toda la recolección de información posible.

“Si no puedes apagarlos, piensa si vale la pena correr el riesgo de comprar ese modelo en específico o usar esos servicios. Y si no puedes apagar la cámara pero lo quieres hacer igualmente, prueba a pegar una cinta negra sobre el lente de la cámara“, dice el FBI.

Y añade que se revisen las condiciones de privacidad, tratamiento de datos y si el fabricante lanza parches de seguridad para actualizar el dispositivo sistemáticamente.

También te puede interesar: Ciberseguridad prioridad para los millennials cuando deciden que aplicaciones usar

Especialistas recomiendan el uso de “condones USB”

2019-12-03 by Redacción Leave a Comment

Lectura: 2 minutos

Proteger los dispositivos móviles de posibles “infecciones” debe ser una prioridad del usuario.

Que a día de hoy nos quedemos sin batería en nuestro teléfono ya no es tan dramático como podía serlo hace unos años.

En la actualidad existen puertos USB para cargar nuestros móviles por doquier. Los hay en aeropuertos, en los baños públicos, en cualquier hotel, en cada centro comercial y cada vez más en medios de transporte como aviones, autobuses y trenes.

Esto que parece tan ventajoso encierra un peligro para nuestra privacidad. La disponibilidad masiva de estos puertos es en realidad una brecha que los cibercriminales podrían utilizar para acceder a nuestros datos más sensibles.

Por esta razón, hace unos años que están en el mercado los llamados bloqueadores de datos USB, mejor conocidos como”condones USB”.

Y aunque estos “preservativos” no son de látex, son igual de efectivos.

Protegen contra los peligros del llamado juice jacking, una especie de ataque cibernético que consiste en que “los criminales instalan un programa malicioso en los puertos de carga de las estaciones que infectan teléfonos y otros dispositivos de usuarios desprevenidos”.

Así lo alertó a comienzos de noviembre Luke Sisak, asistente de la Fiscalía del Condado de Los Ángeles, en Estados Unidos.

¿Cómo funcionan?

Los “condones USB” son pequeños adaptadores USB con puerto de entrada y salida que permiten la alimentación energética del dispositivo pero bloquean el intercambio de datos.

Su precio ronda los US$10 y son pequeños y, por tanto, portables.

Según Sisak, las consecuencias de un ciberataque de esta naturaleza pueden ser “demoledoras”.

“Una carga gratuita de tu dispositivo puede vaciar tu cuenta bancaria. Si los cibercriminales consiguen instalar el malware, pueden bloquear tu teléfono, robar información muy sensible como los datos del pasaporte o la dirección domiciliaria”, alertó en un video el asistente de la Fiscalía del Condado.

Las infecciones por softwares maliciosos “secuestran la potencia informática, resultando en un mayor uso de la computadora y una ralentización de los dispositivos”, de acuerdo a un informe sobre ciberseguridad de la compañía tecnológica IBM.

El mismo reporte señala cómo se han incrementado los ataques contra la industria de transportes, el segundo sector más vulnerado en 2018 después del de los servicios financieros.

“No solo es una cuestión del volumen de los ataques, sino también del calibre de las víctimas. En 2018 vimos más brechas públicas en la industria de transporte que en años anteriores”, según el documento.

Durante una entrevista en Forbes, Caleb Barlow, vicepresidente del área de ciberseguridad X-Force en IBM avaló el uso de los condones USB para disminuir la exposición al hackeo.

Además de ese método, la Fiscalía del Condado de Los Ángeles también recomendó cargar los dispositivos directamente desde la corriente y siempre tener de emergencia un cargador portátil.

Fuente BBC.

Hackers al asecho del Black Friday

2019-11-26 by Redacción Leave a Comment

Lectura: 3 minutos

Los ciberataques incrementan por las compras en línea del Black Friday. Las compras por internet ganan popularidad, pero también riesgos de hackeos.

A medida que el Black Friday continúa ganando popularidad, los consumidores en línea son más propensos a convertirse en víctimas de los ciberataques, tal y como señala un nuevo informe de Kaspersky, en el que se revela que el número de ataques a usuarios de comercios electrónicos se ha incrementado un 15% respecto al año pasado.

Asimismo, sitios como Amazon, Shein y AliExpress han lanzado descuentos semanas antes del viernes 29 de noviembre, fecha en la que se celebra el Black Friday este año, ampliando así el panorama de amenazas.

El Black Friday se ha convertido en el mayor evento de consumo del año, y el 67% de los compradores en México es consciente de ello. Sin embargo, la tendencia de los usuarios se ha visto modificada, ya que en el pasado los consumidores acudían a los comercios físicos durante el Black Friday y a los sitios en línea durante el Cyber Monday, inaugurado en el año 2005. Las cifras globales del Black Friday actuales revelan que solamente el 12% de los consumidores hicieron sus compras única y exclusivamente en las tiendas físicas.

El constante incremento de las aplicaciones de los comercios en línea y el prematuro acceso a las ofertas desde la comodidad del hogar han propiciado que los usuarios se decidan por el comercio electrónico.

De hecho, según una encuesta realizada por Kaspersky y Corpa, el 44% de los mexicanos utiliza sus dispositivos móviles para realizar compras en línea. Este incremento en el número de compras en línea, sumado a la mayor duración del periodo de descuentos y promociones, generan una ventana más amplia para los ciberataques.

Un nuevo informe de Kaspersky destaca el creciente peligro para los consumidores durante estos días de compras, en los que la probabilidad de sufrir un ataque de phishing financiero aumenta un 24% en comparación con el promedio del resto del año.

Con la esperanza de que los consumidores bajen la guardia, los ciberdelincuentes aumentan su actividad, y casi un centenar de sitios web y apps se convierten en el blanco de estas actividades maliciosas.

Según los expertos de Kaspersky, durante los primeros nueve meses de 2019, los usuarios de algunas de las marcas más populares fueron atacados con al menos 15 familias distintas de malware financiero. Este año, además de las conocidas familias de malware financiero Zeus, Betabot o Cridex Gozi, Kaspersky ha identificado también otras dos nuevas: Anubis y Gustuff.

Los ciberdelincuentes se dirigen a las marcas de comercio en línea para conseguir las credenciales de los usuarios, como logins, contraseñas, números de tarjeta, teléfono etc. Capturan los datos de la víctima tras interceptar los registros de entrada en la página web, modificando el contenido del sitio y redirigiendo a los usuarios a otras páginas web de phishing. Por ello, los usuarios han de prestar mayor atención y las plataformas de comercio electrónico han de ayudar a mantener la seguridad de sus clientes.

‘‘A medida que se acerca días de “Hot Sale” como el Black Friday y el Cyber Monday, los usuarios deben estar aún más alerta. Se trata de una temporada de alta actividad para los ciberdelincuentes, que están al acecho para robar datos personales, el número de la tarjeta o las credenciales de las cuentas bancarias.

Con el fraude financiero en su punto más alto en toda la historia, la gente necesita estar segura de que sus datos y su información personal está a salvo, o cada vez se inclinará menos por comprar en línea. Es aquí donde las empresas también tienen un papel por desempeñar, dando un paso atrás y reevaluando su estrategia TI para garantizar que existe un plan de seguridad con un ciclo de vida completo que incluya educación para los empleados, una mejor defensa para protegerse de los ciberataques y herramientas más fiables para la detección de ataques de día cero.

También existen otros pasos sencillos para que los consumidores puedan seguir evitando que el Black Friday se convierta en la época más peligrosa del año en el e-commerce’’, señala David Emm, investigador principal de Seguridad de Kaspersky.

También te puede interesar: E-Commerce y ciberataques en México; el trigo y la cizaña del comercio