Tag Archive: phishing


Usando el método del pishing, individuos no identificados enviaron mails que les permitieron acceder a archivos secretos del gobierno.

En el gobierno de Brasil temen que un ataque informático masivo a la Cancillería de ese país desate un nuevo “WikiLeaks tropical”, es decir, una filtración y publicación de documentos clasificados como la que impulsó la organización comandada por Julian Assange pero que ponga en riesgo información privilegiada del país sudamericano y de sus relaciones internacionales.

La Cancillería brasileña confirmó ayer que “hackers” infiltraron el sistema de comunicaciones internas, archivos y correos electrónicos del Palacio de Itamaraty, donde funciona el Ministerio de Exteriores en Brasilia, y también de las embajadas en varios países. La noticia sobre el ataque cibernético fue publicada primero por la edición electrónica del diario Folha de São Paulo, donde se informa que uno de los sistemas invadidos es el llamado Intradocs, en el que circulan documentos reservados. Entre este material aparecen, por ejemplo, los textos preparatorios de la visita a Brasil del vicepresidente estadounidense Joe Biden durante el Mundial de 2014. El diario agregó que hasta ahora no se informó a qué tipo de información lograron acceder los “hackers” y cuál es el riesgo de filtraciones de comunicaciones secretas o confidenciales ni siquiera de dónde serían. Voceros de la Cancillería lo confirmaron al canal televisivo Globo News y apuntaron que el sistema fue desconectado y volvería a operar en las próximas horas.

El ataque es investigado por la Policía Federal y por el Gabinete de Seguridad Institucional de la Presidencia. Si bien no está determinada la cantidad de correos afectados, se calcula que el potencial de víctimas supera a los 1500 diplomáticos brasileños en todo el mundo. La cifra podría triplicarse si se tienen en cuenta a los empleados pertenecientes a la Cancillería y los que trabajan en las diferentes embajadas. Un documento interno de la Cancillería al que tuvo acceso Folha afirma que los ataques se iniciaron el 19 de mayo pasado, mediante el envío de falsos mensajes oficiales a las cuentas institucionales @itamaraty.gov.br, que al ser abiertos, permitían a los hackers capturar las cuentas individuales de los usuarios, en un método conocido como “phishing”. En el texto de esos e-mails se mencionaba el acto de vandalismo sufrido por la representación brasileña en Alemania, el pasado 12 de mayo, en el marco de una protesta por los gastos del Mundial. “Al abrir el archivo adjunto, se capturaba la contraseña”, indicó el diario. Un diplomático consultado afirmó, bajo condición de anonimato, que todavía se ignora el alcance de los perjuicios causados. “Y si se supiera no se divulgaría. Ese tipo de información es útil para la defensa propia y a la vez preciosa el hacker, ya que puede evaluar lo que obtuvo. No se muestran las cartas al enemigo”, subrayó.

A su vez, advirtió que “uno de los temores es el de que estemos ante un nuevo WikiLeaks”, en referencia a la organización que publicó en Internet documentos diplomáticos secretos de Estados Unidos. En el mismo medio se afirma que el sistema informático de la Cancillería era considerado “precario” por los propios funcionarios, y que recién en enero pasado se produjo la migración de cuentas personales a la extensión institucional @itamaraty.gov.br. Aquel viaje suspendido En septiembre del año pasado, la presidenta brasileña Dilma Rousseff decidió postergar una visita oficial a la Casa Blanca, programada para octubre, debido a que no estaban “dadas las condiciones” para realizar el viaje. Durante esos días, la revelación sobre el espionaje realizado por la Agencia de Seguridad Nacional (NSA) a varios gobiernos –entre ellos el de Brasil y especialmente la presidenta– sacudía a la diplomacia internacional, gracias a la filtración del ex topo de la CIA, Edward Snowden. Dilma justificó su decisión al afirmar que hasta ese momento no había recibido “explicaciones” de Estados Unidos en torno al caso de espionaje, ni tampoco “el compromiso de que cesarán las actividades de interceptación” de mensajes, llamadas y correos electrónicos. La decisión fue tomada en forma conjunta por Rousseff y el presidente estadounidense, Barack Obama. Meses después, el propio Snowden elogió la actitud tomada por la mandataria brasileña. Snowden y recordó la forma en que Brasil fue afectado por el espionaje estadounidense. “La NSA y otras agencias dicen que, por nuestra propia seguridad, en nombre de la seguridad de Rousseff y de la Petrobras, revocaron nuestro derecho a la privacidad e invadieron nuestras vidas, y lo hicieron sin pedir permiso a la población de ningún país”, dijo.
Fuente: infonews.com

Ingeniería Social es la manipulación de personas, influenciándolas a ejecutar determinada acción generando una situación creíble, de confianza, sin dejar nada libre al azar.

Ciudad de México.- En primer lugar la Ingeniería Social es la manipulación de personas, influenciándolas a ejecutar determinada acción, que las lleva a ser víctimas de un delito informático.

¿Cómo? se busca generar una situación creíble, de confianza, sin dejar nada libre al azar. Un ejemplo puede ser un scam, o sitio web modificado con fines maliciosos.

Cuando un atacante lleva a cabo una técnica de Ingeniería Social, su efectividad depende del comportamiento del usuario, que es quien en algunas ocasiones, de forma involuntaria, “contribuye” a que un ciberdelincuente se salga con la suya y logre realizar el engaño. Por lo tanto, la clave es la precaución del usuario final, que tiene el poder de frenar la propagacióm de una campaña.

¿Cómo puede esto afectar a la seguridad informática?

La respuesta es simple, con todas las herramientas informáticas disponibles y al alcance de cualquier persona, la posibilidad de realizar ataques se facilita. Un atacante puede obtener el control de un equipo, o podría robar información sensible como datos bancarios o información personal.

Una de las personas más reconocidas en el mundo informático es Kevin Mitnick, quien se caracterizó por ser uno de los pioneros en técnicas de Ingeniería Social. Mitnick considera que el factor que determina la seguridad del hardware y el software es el factor humano, es decir, el usuario. Este es quien se encargará de interpretar las políticas de seguridad correctamente y buscará que se respeten.

Considerando que es posible fallar en este aspecto y que un ataque de Ingeniería Social puede tomar desprevenido a cualquier usuario, y teniendo en cuenta también que incluso es posible que sea llevado a cabo solamente con ayuda de un teléfono, Mitnick establece 4 principios comunes que aplican a todas las personas:

Todos queremos ayudar

Siempre, el primer movimiento hacia el otro, es de confianza

Evitamos decir NO

A todos nos gusta que nos alaben

Estos métodos de manipulación, basándose en la confianza del usuario, son los que conducen a engaños como phishing, páginas con códigos maliciosos alojados esperando infectar a sus víctimas, o robo de información, entre otras cosas. Como les contábamos hace algunas semanas, 37.3 millones de usuarios reportaron ataques de phishing el año pasado.

Historia

Los comienzos de esta técnica se basaban en llamadas telefónicas, haciéndose pasar por entidades que brindan un determinado servicio. La finalidad de este llamado era recabar información sobre la víctima.

Con la llegada de Internet a cada hogar, comenzaron a aparecer técnicas de Ingeniería Social vía clientes de mensajería instantánea. Comenzó a ser muy común el famoso mensaje mediante Messenger “Fotos_para_adultos_de_alguien.rar”. Enviando código malicioso a los contactos de la cuenta, hubo muchos casos de infección mediante esta técnica.

Hoy en día, los ciberdelincuentes buscan engañar a sus víctimas para que entreguen voluntariamente su información personal. La mutación se dio no sólo hacia sitios web, sino también se ha transformado en mensajes de texto, y cualquier tipo de mensajería móvil.

La importancia de este vector de ataque radica en que estos dispositivos móviles almacenan gran cantidad de información personal, como contactos, fotos, conversaciones, usuarios y contraseñas de redes sociales, de correos electrónicos, inclusive geo localización.

También han aparecido técnicas como pharming, muy similar al phishing, pero que en vez de engañar al usuario mediante un enlace enviado por correo electrónico, busca el robo de información mediante la modificación en tiempo real de las consultas realizadas a los servidores DNS o mediante la toma de control del equipo víctima; así, modifica el archivo lmhost, que se encarga de resolver las consultas web, asociando la dirección IP al dominio.

Noticias falsas

Ahora bien, pensemos cómo un ciberdelincuente logra (o intenta lograr) que su campaña de propagación de amenazas tenga éxito.

Uno de los factores más aprovechados son las temáticas populares de actualidad. En el Laboratorio de Investigación de ESET Latinoamérica, se ha podido detectar e investigar campañas que utilizaron noticias, personas y sucesos de relevancia como gancho para captar víctimas. A continuación recordaremos 6 campañas destinadas a usuarios de Latinoamérica:

Mundial de fútbol Brasil 2014: una campaña buscaba robar información bancaria prometiendo entradas para asistir a los partidos de la Copa.

Supuesto video íntimo de la hija de Sebastián Piñera: un correo electrónico promocionaba un video de Magdalena, la hija del expresidente chileno, que sólo descargaba un troyano.

Alerta de terremoto en Ecuador: un email prometía imágenes satelitales que sólo descargaban malware.

¡Michael Jackson está vivo!: el falso archivo sólo descargaba un troyano diseñado para convertir la computadora en un zombi que formará parte de una botnet.

Romance entre Shakira y Alexis Sánchez: el falso video descargaba un troyano que modificaba los archivos hosts de la computadora afectada para hacer redirecciones.

Ricardo Martinelli acusado de abuso: nuevamente un email prometía un falso video del presidente de Panamá que descargaba un troyano.

Por eso es importante que estés atento ante sucesos de esta masividad, y que tengas en cuenta que es muy probable que los cibercriminales los utilicen para tratar de engañar a los usuarios.

Soluciones

En primer lugar, usar soluciones de seguridad como antivirus, que prevendrán infecciones mediantes exploits o códigos maliciosos, entre otros.

No aceptar en redes sociales a gente desconocida. La variedad que ofrece la tecnología permite, por ejemplo, preguntarle a un contacto mediante Whatsapp si nos agregó realmente para saber si es quien dice ser.

Ser cuidadosos con los correos electrónicos recibidos de remitentes desconocidos: pueden robar información y estar infectado con archivos maliciosos adjuntos.

Descargar aplicaciones de su fuente original. Esto evitará las infecciones en el equipo.

En conexiones libres como en bares, cafés y lugares públicos, es bueno tener en cuenta no usar servicios que requieran información sensible como usuario y contraseña. Algo que podría ayudarte si necesitaras estos servicios, es el uso de VPN, que enviará todas las comunicaciones cifradas.

La siempre mencionada política de crear contraseñas robustas y fuertes, va a prevenir ataques. Puede resultar un poco tedioso tener diferentes contraseñas para los servicios utilizados, pero se pueden usar aplicaciones gestoras de usuarios y contraseñas; información que es almacenada en un archivo cifrado.

En sitios web que requieran información de usuario y contraseña, chequear que utilizan https en lugar de http.

 

Fuente: elsemanario.com

Ciberdelincuentes están aprovechando el problema de seguridad registrado en eBay para intentar engañar a los usuarios con una campaña de ‘phishing’. Los responsables de la estafa se hacen pasar por la compañía para conseguir las contraseñas y datos de acceso al servicio de los usuarios.

Los ataques de ‘phishing’ son aquellos en los que los ciberdelincuentes utilizan la imagen de empresas o personas para engañar a otros usuarios. Este tipo de estafas suele aprovechar sucesos de actualidad para sembrar la confusión entre los usuarios y así conseguir sus objetivos.

El equipo de PandaLabs ha alertado de una nueva campaña de ‘phishing’ que está utilizando el problema de seguridad de eBay como reclamo para el engaño. Los cibercriminales se hacen pasar por eBay para ponerse en contacto con los usuarios y solicitar el cambio de su contraseña en el servicio. En realidad, su objetivo es conseguir sus datos de acceso a eBay para así hacerse con su cuenta.

Esta semana se conocía que eBay ha sufrido un problema de seguridad que comprometería la privacidad de los datos de los usuarios. La compañía se ha visto obligada a realizar una alerta para que los usuarios cambien sus contraseñas en el servicio como medida de precaución. Así, los cibercriminales aprovechan la situación para intentar conseguir engañar a los usuarios, haciéndose pasar por la compañía.

Los investigadores de PandaLab han explicado que los responsables de la estafa envían un mail a los usuarios pidiéndoles que cambien la contraseña a través de un enlace, que en realidad es una página web contaminada. “Si accedemos a dicha página e introducimos la información, estaremos dando nuestras credenciales de eBay a los ciberdelincuentes”, han explicado desde PandaLab.

La recomendación para los usuarios es que extremen las precauciones y que acudan a la página oficial de eBay para proceder al cambio de sus contraseñas. Además, también se recomienda estar alerta ante notificaciones que no procedan directamente de eBay.

 

Fuente: europapress.es

Son utilizados, de forma inconsciente, por mafias de cibercriminales para blanquear el dinero procedente del phishing. Si recibe una sugerente oferta de empleo en su correo electrónico, desconfíe.

16-04-2014 – Luz Sela – teinteresa.es .- “Trabaje como gestor de transferencias. Gane dinero fácil y rápido, trabajando desde su propia casa”. Tan fácil y tan rápido, como hacerse con 2.500 euros, trabajando apenas cuatro tardes al mes.

Un trabajo que puede ser la tentación de cualquiera. Es el anzuelo que utilizan las mafias de la red para reclutar a sus “soldados” del negocio ilegal. Se les conoce como “muleros bancarios” y, aceptando ofertas como estas, que se cuelan de forma sigilosa en su bandeja de spam del correo, se convierten en cómplices de una auténtica estructura delictiva. El delito es colaboración en blanqueo de capitales, y oculta una trama organizada de phishing, uno de los cibercrímenes más habituales, y que consiste en reventar cuentas bancarias para hacerse con un suculento botín. La Brigada de Delitos informáticos de la Guardia Civil la incluye entre las cinco principales estafas de la Red, que suponen más del 64% de los delitos cometidos en el entorno virtual, según la memoria de la fiscalía correspondiente a 2012.

[Te interesa leer: "Siete claves para que no te hackeen la cuenta del banco"]

Los autores del phishing se aprovechan de fallos de seguridad en la red bancaria para hacerse con el código de cuenta de sus víctimas o bien, consiguen que se los den de forma “voluntaria”, tomando la identidad de su propio banco o de una empresa que les requiere el número de cuenta y cierta información confidencial. Una vez conseguido este primer paso, las mafias, con frecuencia localizadas en el extranjero, necesitan a un intermediario que “lave” el dinero. Es ahí donde aparece la figura del mulero.

El trabajo es aparentemente sencillo. Sacar del país, frecuentemente, en metálico, a través de una empresa de envío o sistemas de pago como Western Unión o Money Gram, las cantidades que irá recibiendo en pequeñas transferencias en su cuenta bancaria y enviarlo a una persona localizada, generalmente, en un país del Este, en Asia o EEUU. Estas transferencias suelen ser inferiores a 3.000 euros, cantidad que no exige justificar su procedencia.

A cambio, el mulero se queda con una comisión que ronda el 15%. Estas víctimas, no saben en ningún momento el origen de ese dinero que están moviendo, o bien se les engaña haciéndoles creer que procede de operaciones comerciales totalmente legales. Además, la relación con sus empleadores se reviste de una apariencia de total profesionalidad, por medio de un contrato en el que se llega a especificar incluso los días de vacaciones remuneradas.

También las webs se han sofisticado, hasta convertirse en portales de empleo muy similares a los que podemos encontrar de forma legal en la Red. En ocasiones, incluso, se apela a la solidaridad de los muleros y se les hace creer que el destinatario final de sus transferencias es una ONG. “Suele ocurrir además que los procesos de envío de estos correos suelen ser masivos y una misma oferta puede estar rebotándose por la Red, de forma que basta que haya cinco negocios que se dedican a esto para que tenga una expansión tremenda”, advierte Rubén Sánchez, portavoz de FACUA.

De esta forma, el dinero se blanquea y el mulero se convierte en un eslabón débil y fácilmente criminalizable, porque la investigación de Policía y Guardia Civil conduce, en primer lugar, a su dirección IP, aquella en la que se ha recibido la transferencia de un dinero estafado. El destinatario final suele acabar ilocalizado y estas personas envueltas en un proceso judicial de la noche a la mañana.

Los muleros, condenados. Los estafadores, impunes.
Desde el punto de vista jurídico, son cómplices de un delito. El blanqueo de capitales por imprudencia, delito que se atribuye a estas mulas, está tipificado en el Código Penal con penas de seis meses a dos años de cárcel y sanciones económicas.

Los casos son más frecuentes de lo trasciende a los titulares. Y los importes defraudados son en muchos casos cuantiosos. Hace apenas una semana, la Policía Nacional desarticulaba en Valencia una organización que habría defraudado más de 500.000 euros con falsas ofertas en Internet. Los detenidos, doce y de nacionalidad rumana, ofertaban a través de conocidas webs de compraventa de productos o páginas ficticias creadas por ellos mismos, todo tipo de productos y servicios inexistentes. Para llevar a cabo la estafa, contactaban con muleros, que debían abrir cuentas en las que recibían los pagos por la venta de los productos o servicios. Una modalidad que aprovecha la misma estrategia operativa.

“El problema con el que nos encontramos es que los jueces eran, en un principio, más laxos, pero según va pasando el tiempo no se terminan de convencer de que estas personas no son conscientes de lo que están haciendo”, asegura Víctor Domingo, presidente de la Asociación de Internautas. Más allá de la condena, Domingo advierte de que suele suponer “un shock” para quien se descubre envuelto en una red criminal sin tener sospecha de ello, “y ve que de repente le llega una denuncia de la Policía, o el banco le bloquea las cuentas”.

“Genera un auténtico trauma”, comparte también la abogada Ofelia Tejerina, especializada en delitos en la Red. En entornos pequeños, como los pueblos, los muleros son señalados como estafadores, y quedan estigmatizados de por vida. No existe ningún perfil, afirma. “He tenido gente de nivel económico medio o nivel educativo alto, gente que necesitaba dinero rápido en un momento dado, gente de todas las edades, gente que acababa de aproximarse al correo electrónico por primera vez…” Cualquiera corre el riesgo de picar.

Y picar significa meterse en un embrollo legal. “A la policía y a la justicia misma les resulta muy dificil localizar al auténtico criminal, porque normalmente se encuentran en países de la Unión Soviética. Son mafias organizadas cada vez más sofisticadas. Al policía y al juez lo que le queda es que a este señor se le han ingresado 6.000 euros ilegales. Y lo culpables quedan completamente a salvo”, señala Domingo.

“La ley está clarísima y define lo que es la víctima de una estafa, el estafador y el que no ha hecho nada. El problema es que en los juzgados no saben cómo encajar este problema en las figuras penales que tenemos actualmente”, explica Tejerina. Por sus manos pasan cada semana “hasta cuatro casos” de muleros. Casos que están suficientemente fundados, porque los otros, son muchos más.

“Para poder ser un estafador, como dice el Código Penal, tendría que existir “dolo”, es decir, conocimiento. Pero el problema es que muchos jueces dicen, “debería sospechar de que es algo ilegal”, y eso lleva a multitud de problemas”. No es infrecuente ver en las sentencias, la consideración del juez de que “el acusado hizo las extracciones sin efectuar gestión alguna para comprobar su posible procedencia ilícita, dado el carácter inequívocamente sospechoso de la operación”. Presupone, por tanto, que no sospechar de lo ilícito se convierte en delito en sí mismo. Según esta experta, en el 90% de los casos de muleros que llegan a un juzgado, éste es condenado, cuanto menos, a devolver el dinero.

“Tengo que explicarle a un juez que estoy recibiendo un dinero que creo que procede de una operación lícita, pero estoy colaborando con estafadores. ¿Quién es entonces el principal sospechoso?”, dice esta abogada.

Otras sentencias, en cambio, sí han absuelto a los acusados por considerar que no tenían obligación de llevar a cabo una investigación para conocer la procedencia de los fondos recibidos. Es el caso de una sentencia del Supremo, que absolvió el año pasado a una mujer implicada en una estafa informática, como recoge la abogada Susana López Abella en su artículo, “Las víctimas del phishing”:

“Podrá argumentarse, como en efecto se hace, que la manera de actuar a que Olga se había comprometido, al contratar a través de Internet con la entidad de nombre Exact Building Company SA, de forma que las supuestas inversiones, también supuestamente captadas, pasarían por su cuenta o libreta, era francamente extraña al modo de operar de las entidades financieras convencionales. Pero lo cierto es que, como, con patente rigor, razona la sala, nada indica que la acusada, por su cultura y experiencia, tuviera que haber sido consciente y ni siquiera albergado una sospecha al respecto”

En 2012, una sentencia pionera también del Supremo añadió cierta seguridad jurídica a esta situación de dificil anclaje penal. En ella, el alto tribunal liberaba a dos acusados a diez meses de prisión por delito de estafa informática, por considerar que la dirección IP, por sí sola, no acredita haber cometido delito.

En la práctica, en cambio, el resultado está a merced del criterio del juez. Aunque lo que sí es habitual en la práctica totalidad de los casos es que los auténticos cabecillas se queden impunes. “Sí hay algunos casos de estafadores que han sido detenidos, como ocurrió hace tres años en la zona de Levante, pero el problema es que están en otros países y resulta muy complicado”, dice Tejerina, “Yo misma llevo un caso que empezó en el año 2007 y tengo puesto comisiones rogatorias en Tailandia, EEUU, etc. pero es muy lento y complicado”

¿Existen suficientes mecanismos de control? “ Los departamentos, tanto de Policía como de Guardia Civil son muy buenos, pero el problema es que no hay bastantes recursos materiales para trabajar y muchas veces los juzgados se ven además un poco perdidos, y no saben cómo reaccionar a estos casos”.

Cómo detectar que estamos siendo engañados
¿Se pueden detectar? La respuesta es sí. En la Red hay que ser cauto y mirar con lupa todo lo que nos envían.

En la mayoría de los casos, estos correos electrónicos entran en nuestra bandeja de spam. El remitente suele ser desconocido y, en muchos casos, la oferta viene escrita en inglés.

En el caso de estar traducido al castellano, suele estar plagado de faltas de ortografía. ADemás, generalmente, son correos breves que no proporcionan mucha información de la oferta y que apenas nos exigen requisitos para hacernos con el empleo.

“Lo importante es que la persona que lo reciba no sólo no participe, sino que lo ponga en conocimiento de la Brigada de Delitos Telemáticos de la Guardia Civil”, recomienda además Rubén Sánchez, de FACUA. “Lo primero que hay que pensar si recibimos una de estas ofertas es que es una práctica delictiva y hay muchas posibilidades de que te pillen”

 

Por Luz Sela
Fuente: teinteresa.es

Luanda, 10 may (PL) Autoridades policiales y bancarias de Angola alertaron hoy sobre la existencia y expansión de acciones informáticas, de procedencia desconocida, en un intento por adquirir de forma fraudulenta información, datos y dinero de clientes.

El diario Jornal de Angola indica que el vocero de la Dirección Nacional de Inspección e Investigación de la Policía Económica, Hélder Antonio, señaló que fueron detenidos varios individuos involucrados en esa práctica.

La publicación describe como Q. Rafael, un joven que se benefició recientemente de un monto financiero entregado por el Estado para desarrollar sus labores empresariales, recibió un mensaje electrónico en el que se le solicitaron datos personales para actualizar su registro.

A los 10 días de llenar el formulario vio desfalcada su cuenta bancaria y acabó por reconocer que resultó víctima de una burla.

Antonio refiere que, con la evolución de sistemas en los ordenadores, surgieron nuevos comportamientos de los delincuentes y como consecuencia nuevos delitos: los crímenes informáticos.

“En Angola ya tenemos comportamientos que caracterizan este tipo de delito, algunos de los cuales merecen nuestra actuación en términos del Código Penal vigente, pues todavía no tenemos una ley que tipifique el crimen informático como tal”, detalló.

El denominado phishing (suplantación de identidad) se considera un término informático que denomina un tipo de abuso virtual caracterizado por procurar obtener información personal de manera engañosa.

Conocido como phisher, el cibercriminal se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica alarmista, por lo común un email o algún sistema de mensajería instantánea, e incluso utilizando también llamadas telefónicas.

Ante estos hechos, la policía y las autoridades bancarias advierten que bajo ningún motivo se debe revelar a extraños por cualquier medio, información, datos personales, contraseña y cuentas bancarias.

Fuente: prensa-latina.cu

¿QUÉ SE CONOCE COMO PHISHING?

La técnica que consiste en el envío por parte de un delincuente de un correo electrónico a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. -con el objetivo de robarle información privada.

Los correos de tipo phishing generalmente contienen algún enlace a una página falsa que suplanta la identidad de una empresa o servicio en la que, si introducimos nuestros datos, éstos pasarán directamente a manos del estafador.

Cuando hablamos de phishing casi siempre lo relacionamos con el correo electrónico, aunque cada vez más, se están detectando casos de este fraude con el mismo objetivo, pero que redirigen a una página web falsa a través de otros medios como pueden ser los mensajes intercambiados a través de aplicaciones de mensajería instantánea, mensajes en redes sociales o SMS.

¿QUÉ CARACTERÍSTICAS TIENEN EN COMÚN LOS CORREOS DE PHISHING?

Los mensajes suplantadores utilizan todo tipo de argumentos ingeniosos relacionados con la seguridad de la entidad o el adelanto de algún trámite administrativo para justificar la necesidad de facilitar sus datos personales. Entre las excusas frecuentes nos encontramos con:

Problemas de carácter técnico.
Recientes detecciones de fraude y urgente incremento del nivel de seguridad.
Nuevas recomendaciones de seguridad para prevención del fraude.
Cambios en la política de seguridad de la entidad.
Promoción de nuevos productos.
Premios, regalos o ingresos económicos inesperados.
Accesos o usos anómalos a tu cuenta.
Inminente desactivación del servicio.
Falsas ofertas de empleo.

Además, el correo fraudulento tratará de forzar al usuario a tomar una decisión de forma casi inmediata advirtiendo de consecuencias negativas como por ejemplo la denegación de acceso al servicio correspondiente o el pago de una multa económica.

Aunque los timadores perfeccionan sus técnicas continuamente, los mensajes fraudulentos generalmente se generan a través de herramientas automáticas que integran funcionalidades de traducción y diccionarios de sinónimos por lo que suelen presentar faltas ortográficas y errores gramaticales.

¿QUÉ SERVICIOS SON LOS MÁS UTILIZADOS POR LOS CIBERDELINCUENTES PARA SUPLANTAR SU IDENTIDAD?

1. Bancos y cajas

Excusas utilizadas para engañar al usuario: cambio en la normativa del banco, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, bloqueo de la cuenta por motivos de seguridad, etc.

Objetivo: robar números de tarjetas de crédito, tarjetas de coordenadas, PIN secreto, etc.

2. Pasarelas de pago online (PayPal, Mastercard, Visa, etc.)

Excusas utilizadas para engañar al usuario: cambio en la normativa del servicio, cierre incorrecto de la sesión del usuario, mejoras en las medidas de seguridad, detectada intrusión en sus sistemas de seguridad, etc.

Objetivo: al igual que en el caso del phishing anterior, principalmente robar datos bancarios.

3. Redes sociales (Facebook, Twitter, Tuenti, Instagram, Linkedin, etc.)

Excusas utilizadas para engañar al usuario: alguien te ha enviado un mensaje privado, se han detectado conexiones extrañas en la cuenta, por motivos de seguridad es necesario que se cambien las claves, etc.

Objetivo: robar cuentas de usuarios, obtener sus datos privados y suplantar su identidad.

4. Páginas de compra/venta y subastas (Amazon, eBay, etc.)

Excusas utilizadas para engañar al usuario: problemas en la cuenta del usuario, detectados movimientos sospechosos, actualización de las condiciones del uso del servicio, etc.

Objetivo: robar cuentas de usuarios y estafar económicamente al usuario.

5. Juegos online

Excusas utilizadas para engañar al usuario: fallos de seguridad en la plataforma del juego, problemas en la cuenta del usuarios.

Objetivo: robar cuentas, datos privados, bancarios y suplantar la identidad de los usuarios.

6. Soporte técnico y de ayuda (helpdesk) de empresas y servicios (Outlook, Yahoo!, Apple, Gmail, etc.)

Excusas utilizadas para engañar al usuario: confirmación de la cuenta de usuario, eliminación de cuentas inactivas, detectada actividad sospechosa en la cuenta, se ha superado el límite de capacidad de la cuenta, etc.

Objetivo: robar cuentas y datos privados de los usuarios.

7. Servicios de almacenamiento en la nube (Google Drive, Dropbox, etc.)

Excusas utilizadas para engañar al usuario: información de un documento a compartir por parte de algún amigo.

Objetivo: Conseguir cuentas de distintos servicios de usuarios, obtener información privada.

8. Phishing a servicios o empresas públicas

Excusas utilizadas para engañar al usuario: información sobre una notificación, una multa,

Objetivo: infectar el ordenador, robar datos privados, bancarios y estafar económicamente al usuario.

9. Phishing a servicios de mensajería

Excusas utilizadas para engañar al usuario: el paquete enviado no ha podido ser entregado, tienes un paquete esperando, información sobre el seguimiento de un pedido, etc.

Objetivo: infectar ordenadores, robar datos privados y bancarios de los usuarios.

10. Falsas ofertas de empleo

Excusas utilizadas para engañar al usuario: puestos de trabajo.

Objetivo: robar datos privados que pueden ser utilizados posteriormente con distintos fines fraudulentos.

NOTA: las empresas y servicios están invirtiendo muchos esfuerzos en mejorar sus sistemas de seguridad. La práctica del phishing no se debe asociar a problemas de seguridad por su parte, se trata de una técnica que utilizan los ciberdelincuentes, empleando la imagen de empresas y servicios conocidos como gancho para propagarse. Debido a la cantidad de problemas que genera este fraude entre los usuarios, la mayoría de empresas y servicios luchan contra el phishing y alertan sobre él en su página web.

¿CÓMO PUEDES PROTEGERTE DEL PHISHING?

Usa los filtros antispam que facilitan los clientes de correo electrónico. También puedes ayudarte de herramientas específicas que bloquean el correo no deseado.
Configura la opción antiphishing que incorporan los navegadores:
El Filtro SmartScreen de Internet Explorer ayuda a identificar sitios web notificados como de suplantación de identidad (phishing) o de malware
Protección contra el Malware y el Phishing en Firefox
Protección contra phishing y software malicioso en Google Chrome
Evitar la suplantación de identidad (phishing) en Safari
Verifica la legitimidad del sitio web. Fíjate siempre en la URL para asegurarte que estás en la página web oficial en la que querías estar y no se trata de una web que la está suplantando.

 

HAS DETECTADO UN CASO DE PHISHING. ¿QUÉ DEBES HACER?

No accedas a las peticiones de solicitud de información. En caso de duda, consulta directamente a la empresa o servicio a través de los mecanismos oficiales que facilitan en su página web oficial.
No contestes en ningún caso a estos correos.
Bajo ningún concepto sigas posibles enlaces que se puedan facilitar en el correo fraudulento ni descargues ficheros que traiga adjuntos.
Elimínalo y, si lo deseas, alerta a tus contactos sobre este fraude.
Haznos llegar los correos sospechosos a http://www.osi.es/es/te-ayudamos/actua-ante-el-fraude

Fuente: revistacloudcomputing.com

Mientras todo el planeta estará concentrado en sus equipos favoritos y marcadores diarios, en la Web profunda los estafadores aprovecharán para cometer robos de identidad.

Ya casi llega el evento deportivo que se llevará a cabo en Brasil durante el cual todas las naciones del mundo pondrán sus ojos para saber quién será el nuevo campeón. Mientras tanto se librará una competencia alterna,  pero en el mundo cibercriminal subterráneo, en la cual los estafadores aprovecharán para distribuir malware y robar información personal.

Durante este evento, el uso permanente de redes sociales hará que los cibercriminales utilicen estos canales para cometer sus actos delictivos. Los usuarios deben estar muy atentos, ya que el cibercrimen utilizará las redes sociales para atacar. Solo para tener una idea, de acuerdo a Facebook más de 200 millones de acciones maliciosas son bloqueadas diariamente y 40% de los usuarios de las redes sociales son atacados por códigos maliciosos (malwares).

Según el Fraude Report de RSA – un estudio de seguridad informática- los delitos más comunes en estos tipos de eventos son robos de información personal. En un reporte creado durante los Juegos Olímpicos de Londres de 2012,  los defraudadores utilizaron la mayor parte de sus ataques para obtener números de tarjetas de crédito (21%), estafar a través de comercio electrónico (17%) y realizar transferencias no autorizadas de dinero (11%).

A continuación, comparto algunas recomendaciones para que los usuarios eviten caer en las trampas cibercriminales durante la época del Mundial:

1.    Esté atento a aplicaciones móviles falsas. Antes de descargar cualquier aplicativo, revise el “rating” de la aplicación, así como, el historial de la empresa que la desarrolló, y el número de personas que la han descargado. Entre más calificaciones buenas, menor es el riesgo.

2.    Utilice redes de Wi-Fi seguras, sobre todo mientras esté accediendo a su banco en línea, redes sociales o tiendas online.

3.    Vuélvase experto en redes sociales y correo electrónico. Evite contestar directamente correos que parezcan venir de alguna red social o de su propio banco.

4.    Compre a través de los canales legítimos las entradas para los partidos. Utilice sólo el sitio web oficial para la venta de entradas y verifique los sitios autorizados antes de comprar sus boletos en línea.

Al fin y al cabo, la herramienta más efectiva para evitar el robo de identidad es la educación de los usuarios.

Fuente: infobae.com

Carlos Bolívar Gerente Regional de Ventas para Latinoamérica y el Caribe para Sourcefire, ahora parte de Cisco analiza el nuevo panorama de los ciberdelincuentes.

A medida que los usuarios de Internet se adaptan a los ataques de spam y phishing más conocidos, los cibercriminales deben inventar nuevas maneras para seducirlos y hacerlos abrir un e-mail repleto de malware o hacer clic en un enlace que lleve a una página maliciosa. Un lector ávido de periódicos, es más probable que haga clic en uno de los titulares anunciados arriba que en un e-mail de fotos tiernas de gatitos.

Según El Informe Investigativo de Fallas de Datos Verizon 2013 encuentra que enviar apenas tres e-mails por campaña de phishing le da al atacante una posibilidad del 50 por ciento de obtener un clic.

Con seis e-mails la tasa de éxito sube al 80% y con 10 el éxito está virtualmente garantizado. Las redes sociales ayudan a estimular el éxito, al permitirles a los cibercriminales recolectar información sobre nosotros para saber cómo atraer objetivos y llevarlos a hacer clic en aquel e-mail malicioso.

Sabemos que la seguridad como problema de las personas no va a desaparecer pronto, y con el advenimiento del Internet de Todos va a convertirse esto en un problema aún peor. Los usuarios no solo podrán exponer involuntariamente sus sistemas al malware desde sus computadores portátiles y tabletas, sino que además podrán hacer clic en enlaces desde sus relojes inteligentes, automóviles, etc.

Los agresores están aprendiendo de cada ataque para aumentar sus probabilidades de éxito. Como defensores, debemos hacer lo mismo. La educación es un componente esencial de cualquier estrategia de seguridad competente. Cuando se combina con visibilidad y control, puede ayudar a minimizar ciberataques y proteger nuestras redes, aún de las acciones de los bienintencionados adictos a las noticias.

Por Carlos Bolívar
Fuente: siliconweek.com

En los dos primeros meses de 2014 se reportaron 65 mil ataques de este tipo en el mundo.

De acuerdo con RSA, la división de seguridad de EMC, en el mes de enero Colombia fue el sexto país más golpeado por ataques de robo de identidad. El país más afectado por esta modalidad de cibercrimen fue Estados Unidos, seguido por el Reino Unido, los Países Bajos, Canadá y Sudáfrica.
La firma de seguridad identificó 29.034 robos de identidad en enero y 36,883 en febrero en todo el mundo. Ello significa que se presentó un incremento de 21 por ciento de un mes a otro. En 2013, se registraron 27.463 ataques en el segundo mes del año. De ello se concluye que en 2014 se ha visto un aumento de 34 por ciento con respecto a doce meses atrás.

Según voceros de RSA, las organizaciones más afectadas por el robo de identidad fueron los bancos. Los cibercriminales suelen usar páginas web engañosas que se asemejan a las de entidades oficiales para que los usuarios introduzcan sus datos de acceso en formularios que envían la información a los atacantes. En inglés, a esta modalidad se le conoce como ‘phishing’.
Zohar Elnekave, IPV Sales Engineer para Latinoamérica de RSA le explicó a EL TIEMPO que Colombia es uno de los países más afectados porque falta educación cibernética de parte de las organizaciones y el gobierno frente a estas amenazas. “Además, faltan leyes contra los delincuentes virtuales. Las organizaciones deben invertir por igual en prevención, monitoreo y respuesta”.

“Colombia se han visto nuevas maneras de realizar los robos de identidad– no solamente a través de correos electrónicos sino, a través redes sociales”, señala el experto.

La última novedad, que está en crecimiento importante en el país, es el mismo ataque de robo de identidad pero a través buscadores. “Los defraudadores pagan para ser primeros en los resultados cunado uno busca su banco. Así el usuario final llega a una página falsa pensando que es la genuina”, concluye Elnekave.

Consejos para no ser víctima de robo de identidad

Utilizar contraseñas que sean complejas. Esto quiere decir largas, seguras, y que se cambien con frecuencia. También deben ser distintas para cada servicio utilizado en internet. En especial para los bancos, pues hay usuarios que utilizan la misma para el correo, las redes sociales y sus portales bancarios, dándole la oportunidad a los ciberdelincuentes de ingresar con la misma clave. La contraseña debe utilizar mayúsculas, minúsculas, números y símbolos.

Los usuarios deben estar muy atentos a los diferentes correos enviados por desconocidos. No deben abrir enlaces para ingresar al banco desde el correo, ya que esta práctica nunca es utilizada por estas entidades.
Siempre acceder al banco virtual directamente escribiendo el link en el navegador. Los defraudadores están pagando a diferentes buscadores como Google, Yahoo, y Bing, para que cuando el cliente busque el nombre de su banco, aparezca en primer lugar de los resultados la página maliciosa y no el banco real. Muchos usuarios buscan el link desde el navegador, y caen en la trampa.

En general evite responder cualquier correo que pida información personal, ya sea del banco o de un tercero u otra organización.

No use computadores públicos para hacer transacciones. En esto entran los café internet, las bibliotecas entre otros.

Tenga mucho cuidado al dar información personal por teléfono. Existe el voice phishing, que obtiene información por teléfono.

Limite la cantidad de información personal publicada en sus redes sociales. Evite decir, por ejemplo, dónde se encuentra ubicado, entre otros.

Desconfíe de los enlaces publicados por sus amigos en redes sociales. Pueden ser malware, phishing y diferentes tipos de publicidad maliciosa.

Asegúrese que cuando esté navegando en línea, en la dirección aparezca un candado y https://. Hay algunos defraudadores más sofisticados que pueden imitar ese patrón, pero la mayoría de ciberdelincuentes realizan ataques simples.

Tan pronto realice una transferencia, revise su saldo. Hay ciberdelincuentes muy sofisticados que son capaces de alterar en línea los montos de la cuenta, alterando completamente la transacción sin que el cliente lo note. La única manera de saber, es entrar de nuevo y revisar el saldo

Acostúmbrese al uso de alertas. Muchos de los bancos tienen servicios que alertan por mensajes de texto por cada compra o retiro que se realice. Como no solemos revisar el saldo todos los días, esto es una excelente opción para estar alertas de cosas que no estemos esperando. Muchas personas aún no conocen esta opción.

Incluya restricciones en su cuenta. Por ejemplo, poner límites de montos por transacciones en pagos PSE, o límites de número de transacciones al mes.

En cuanto a e-commerce. Compre con comerciantes reconocidos, grandes, con mucha reputación.

Si hay algo extraño tanto en la compra o en el banco en línea. No dude en llamar al comerciante o al banco, preguntar y reportar. Hay veces que algo nos parece raro, no lo entendemos, pero seguimos con la transacción y al final nos damos cuenta de que fue un fraude.

Fuente: eltiempo.com

A los ciberdelincuentes no se les escapa una. Están en busca y captura de cualquier argucia que pueda hacer daño a los internautas. Esta vez han aprovechado la polémica desatada por el contrato de Neymar, jugador del Fútbol Club Barcelona, para empezar a difundir una nueva campaña de propagación de un malware. Parece ser que el mensaje está orientado a usuarios principalmente brasileños, aunque podría levantar interés en otros países como España o Argentina debido a la pasión que ambos estados despiertan con este deporte.

El mensaje invita a los internautas a descargar un vídeo íntimo de Bruna Marquezine, la novia del conocido azulgrana. Debido al interés que este tipo de imágenes suelen generar, se teme que, por el momento, hayan sido ya bastantes personas las que han pulsado el enlace suministrado en el correo para verlo.

En realidad, esta amenaza va más allá y detrás de ella se esconde un troyano bancario cuyo objetivo es infectar el máximo número de usuarios con el mínimo esfuerzo posible, según ha alertado la empresa de seguridad ESET.

Cómo evitarlo

Un buen antivirus podrá hacer frente a este malware e impedirá que el usuario descargue el vídeo. También los internautas deberán evitar pinchar en él, que aparecerá en un archivo zip y con el nombre de Win32/TrojanDownloader.Banload.SXK. Además, al descargarlo, estemalware no utiliza un fichero con la extensión popular exe, sino cpl, es decir, archivos del Panel de Control de Windows, cuya distensión puede ser maliciosa.

Asimismo, desde la compañía de seguridad recomiendan controlar el “impulso cotilla” y estar atentos a qué tipo de archivos abrimos, ya que en más de una ocasión puede dañar gravemente nuestros dispositivos móviles y nuestro ordenador.

 

Fuente: ticbeat.com

Mientras las empresas informan de un aumento de las amenazas y vulnerabilidades tecnológicas derivadas del uso de los sistemas de información, una de cada dos planea incrementar su presupuesto de seguridad de la información para el próximo año. Esta es la principal conclusión de la decimosexta edición de la Encuesta Global de Seguridad de la Información de EY, titulada Under Cyber Attack.

A través de la opinión de cerca de 2.000 altos ejecutivos y responsables de TI de grandes compañías procedentes de 64 países, entre ellos, España, el informe analiza el grado de concienciación y la actitud de las empresas frente a amenazas informáticas. Los resultados del sondeo muestran cómo las empresas siguen invirtiendo de forma sustancial para protegerse de potenciales ataques informáticos y del llamado cibercrimen.

En España, el 44% de los directivos consultados asegura que los incidentes de seguridad dentro de su empresa han aumento un 5% durante la pasado año. Ante esta situación, muchas compañías se han dado cuenta del alcance y las consecuencias que supone para ellas sufrir un ataque sobre sus sistemas de información. Por ello, un 80% de las mismas cuenta con un alto directivo responsable de la seguridad informática: Chief Information Officer (CIO), un porcentaje que a nivel global alcanza el 70%.

Para Manuel Giralt, Socio Director de Consultoría y de Seguridad de la Información de EY, “el informe demuestra que las empresas se están moviendo en la dirección correcta, aunque todavía queda mucho por hacer. Por ejemplo, en la actualidad, un 30% de los directivos presenta al consejo de administración cuestiones relacionadas con la seguridad de la información, lo que indica que estos asuntos comienzan a ser estratégicos para la alta dirección”.
Hemos pasado de considerar si una compañía sufrirá un ataque a darlo por supuesto y empezar a evaluar cuándo se producirá. La cantidad de ataques y de intentos de violación de la seguridad que reciben las compañías han hecho replantearse su estrategia, lo que ha desembocado en mayor asignación de recursos, según se recoge en el informe de EY.

En este sentido, la mitad de los encuestados afirma que incrementará su presupuesto de TI en al menos un 5% durante el próximo año, a pesar de que la inmensa mayoría asegura que la dotación es insuficiente. De hecho, el 90% considera que un presupuesto en TI insuficiente es el principal obstáculo para seguir aportando valor a la compañía.

Además, a medida que las nuevas formas de comunicación se van consolidando, como es el caso de las redes sociales, las compañías deben ser conscientes de qué manera les puede afectar el uso de las mismas en la actividad de su empresa. Según los consultados, el 16% de los presupuestos de TI se destinará a tareas de innovación en materia de seguridad y para protegerse frente a las tecnologías emergentes.
Amenazas y vulnerabilidades

Para Francisco Javier Ferré, Socio Responsable de Consultoría TI y de Seguridad de la Información, “la sofisticación de las actuales amenazas, la adopción de nuevas tecnologías en el entorno empresarial y la globalización de las operaciones, exige a un gran número de empresas revisar su estrategia en la gestión y operación de la seguridad. Además, debe considerarse el apoyo de especialistas y sistemas automatizados que puedan ofrecer una respuesta global”.

Según los propios directivos consultados, las principales vulnerabilidades que más riesgo generan en su empresa son las procedentes de las tecnologías móviles, seguida por el uso de las redes sociales y por las posibles acciones de empleados desinformados o descuidados en el uso de las tecnologías de la información.

Por último, el informe recoge cómo el spam, el malware y el phishing son amenazas que se han incrementado en los últimos doces meses y, en menor medida, el espionaje o los ataques internos realizados por empleados descontentos.

Por su parte, Juan Luis Fernández, Socio de Consultoría de Riesgos Tecnológicos y Seguridad de la Información para el sector financiero de EY, explica que “el área de seguridad de las compañías del sector financiero tiene también el reto de transformar su modelo operativo, tradicionalmente reactivo a incidentes de seguridad, a uno donde su funcionamiento sea clave para la gestión integral de la seguridad y el control del fraude, tanto de empleados como de clientes. Es ahora cuando toma sentido la seguridad end to end, en la que no sólo se verifica si los terminales o puntos de conexión son seguros, sino que incluso se comprueba si el modo de operación de los usuarios/clientes y su ‘huella biométrica’ asociada, se corresponde con los parámetros normales de operación”.

 

Fuente: elespiadigital.com

Recientemente el Instituto Nacional de Tecnologías de la Comunicación (INTECO) de España alertó a los ciudadanos que los ciberdelincuentes iniciaron una nueva campaña de ‘phishing’ aprovechando el fallecimiento de Nelson Mandela.

El famoso ‘phishing’ es una de las tantas modalidades de robo a través de la internet. Mediante el ‘phising’ o ‘suplantación de identidad’, los delincuentes pueden obtener bastante información de cualquier incauto para luego ingresar a sus cuentas bancarias y retirar todo su dinero.

El INTECO informó que ha detectado el envío de correos electrónicos engañosos que utilizan el nombre del recién fallecido Nelson Mandela para solicitar información personal, como números telefónicos y hasta el pasaporte. 

Es fácil caer en esta trampa, pues los mensajes piden ayuda humanitaria o informan a la persona que ha sido ganadora de un premio. El INTECO recomendó a los usuarios a no contestar correos electrónicos que parezcan sospechosos.

Asimismo, esta entidad publicó un pequeño manual para enseñar a los niños como identificar el ‘phishing’ ya que ellos desde muy pequeños están en contacto con la internet y pueden ser blanco fácil de los delincuentes virtuales.

Mira la publicación “Enseña a tu hijo a identificar correos de tipo phishing” aquí.

 

Fuente: espacio360.pe

Mercedes

Ataques phising, DDos, pharmingmalwarecarding, vulnerabilidades asociadas a metadatos… esto de la seguridad siempre me ha parecido críptico, pero la semana pasada me vine con al menos seis ideas claras del Internet Security Day, organizado por Telefónica (#ISDTef):

- No hay seguridad al cien por cien  pero sí es posible hacer el mundo un poco más seguro.

- Para ello, la anticipación es clave; se pierden batallas por actuar de manera reactiva, hay que ir por delante de los ataques: ser capaces de detectarlos y prevenirlos.

- Esto requiere continuidad y constancia en la vigilancia.

- Ya no es suficiente con antivirus y cortafuegos, la seguridad de las compañías no es perimetral. Es necesario un cambio de mentalidad: una smart security

-La mejor arma es la innovación, lanzar nuevos servicios y hacer las cosas de forma diferente.

-También, por supuesto, hay que huir de las malas implementaciones.

Desde que se acuñara el término hacker en los  años 60  todo ha evolucionado mucho y lo que era ciencia ficción en 1983 en 2013 es real. El caso Snowden , el  analista externo de la Agencia de Seguridad Nacional (NSA) que provocó este  año un terremoto en el Gobierno estadounidense al revelar detalles de una poderosa red de espionaje electrónico de EE.UU., poniendo a prueba las relaciones diplomáticas internacionales, es el mejor ejemplo de que el modelo  de seguridad imperante necesita mejorar. Según la consultora Ovum, éste es el momento más difícil de la historia para mantener seguros y protegidos negocios y empresas.

La irrupción de BYOD, cloud computingbig data, las redes sociales, las compras on liney la movilidad, entre otros, suponen nuevos retos que demandan soluciones de seguridad diferentes porque los datos están en cualquier parte, y no en una fortaleza. La ciberseguridad ha saltado a la portada de los periódicos y a lista de prioridades de muchas compañías.

En este entorno, Telefónica trabaja para convertirse en un referente mundial en seguridad. Su receta incluye ser diferenciales y para ello cuenta con un producto propio, de la fábrica de Eleven Paths, la compañía que lidera Chema Alonso (@chemaalonso)un equipo de alto rendimiento: personas con conocimiento, criterio y las herramientas necesarias; y una estrategia que incluye la prevención, la detección y la respuesta.

Entre el nuevo ecosistema de servicios que se presentó, Faast consiste en un “test de penetración” 24x7x365 que automatiza las últimas técnicas para ayudar a las empresas a detectar sus propias brechas de seguridad desde el punto de vista de un atacante, para encontrar sus fallos antes de que los descubra un tercero. Y es que en seguridad no ocurre, como parodiaba el gran Gila, que el enemigo vaya a llamar a ver si estamos y acordar cuándo nos viene bien que nos asalte. Por eso es necesario ser disruptivos en el mundo de las vulnerabilidades

Faast, además de chequear, clasificar vulnerabilidades y hacer  recomendaciones en función de la urgencia, también alerta de malas configuraciones que pueden ser mejoradas. Proporciona, en definitiva, un inventario de todo lo que hay del dominio del cliente en Internet.

Fue interesante escuchar la visión del cliente  en la mesa redonda en la que participaron ING Direct, Ferrovial, Novacaixagalicia y CaixaBank. Algunos titulares fueron: “Hasta ahora el análisis de vulnerabilidades era una foto fija, que servía para adoptar medidas críticas y asumir “volúmenes de vulnerabilidades” pero cualquier pequeño fallo en seguridad puede convertirse en algo grave, por lo que es crucial un pentesting continuo y constante, y lo mejor es que esté realizado por profesionales” , “En una entidad financiera hay que contemplarlo todo de forma global y hay que convencer a Sistemas para que vea el pentesting como un proceso de negocio”, “Hay que  involucrarlos para que entiendan que hay un cambio de paradigma, trabajar con ellos  y priorizar pero deben asumir que vas a auditar siempre que quieras y cuando quieras: constantemente  porque, si no, estamos perdidos” o “El CIO debe estar involucrado en el proceso porque es valor de negocio” .

Del segundo de los servicios presentados, Vigilancia Digital, me llamó la atención el concepto de inteligencia digital. Significa que un equipo de expertos en hacking, fraude, criminología y comunidades on line trabaja rastreando un gran volumen de información procedente de fuentes públicas, redes internas cuyo uso ha sido autorizado, así como sitios underground,  y analizan toda eso para poder realizar una detección temprana, ayudando al cliente a anticiparse a posibles amenazas y tomar el control de su seguridad.  Y es que en un ataque –explicaron- hay que conocer qué, cómo, quién y por qué. Pusieron el ejemplo de la agencia de noticias estadounidense Associate Press cuya cuenta en Twitter fue hackeada  para difundir un falso atentado contra Obama. El pánico que esto provocó se reflejó en el índice Dow Jones de Wall Street, que cayó y perdió en unos segundos todo lo ganado en la sesión del día. El ataque buscaba precisamente eso: provocar una caída del mercado de manera deliberada.

La nueva familia de servicios Metashield Protector, por su parte, ofrece un conjunto de soluciones de seguridad para que las organizaciones puedan controlar los metadatos asociados a los documentos. Los metadatos son información sobre un fichero relativa al contexto en que ha sido creado, guardado y demás. Es necesario tratarlos porque sólo tienen sentido dentro de una organización (facilitan la búsqueda, la indexación…) pero conocer la suma de todos ellos vinculados a una organización y la app de los algoritmos apropiados de clusterización puede facilitar ataques críticos.

Por último, en un momento en el que la proliferación de servicios on line se ha generalizado y se requiere la creación de múltiples identidades digitales para acceder a nuestro correo electrónico, a redes sociales, realizar compras o  utilizar el servicio de banca, se hace más necesario reforzar la seguridad para protegernos de posibles ataques.

Latch es un servicio que permite gestionar de forma sencilla cuándo y qué servicioson line están disponibles, de forma que nadie pueda acceder a ellos mientras estén apagados y si alguien lo intenta la aplicación envía una alerta.

Es una aplicación que las empresas pueden  integrar en sus sistemas de seguridad.

Por tanto, aunque nos enfrentamos a un complejo entorno de riesgos, las empresas disponen de soluciones adecuadas para hacerles frente.

 

Por Mercedes Núñez

Fuente: aunclicdelastic.com

Los hacker se transforman: han pasado del reto intelectual al fin económico. Con más de 2.400 millones de internautas, el secretario de Estado de Seguridad, Martínez Vázquez, aún no confirma que lleve una estrategia definitiva al Consejo de Seguridad Nacional del próximo jueves.

(2/12/2013) – El ciberespacio ha abierto a la empresa posibilidades no imaginadas de negocio, como operadores, prestación de servicios en la red y, de forma generalizada, en la bajada de costes operativos, especialmente en la relación con el cliente y en la gestión de la información; pero también ha abierto la puerta a la ciberdelincuencia. El sector público se ha incorporado más tardíamente al proceso pero hoy caminan juntos empresa y Administración: los ciberataques, dirigidos contra empresas privadas o Estados, comparten redes y procedimientos.

Actualmente conviven en el planeta 2.400 millones de internautas y 6.000 millones de teléfonos móviles. Dos datos que reflejan la interconexión entre personas y el acceso generalizado y a distancia a estas redes.

Espionaje industrial. Robo de identidad. Infraestructuras críticas vulnerables. Impunidad y ocultación del atacante. Suplantación de personalidad. Ataques a la propiedad intelectual. No disponibilidad de la información. La red tiene también un lado oscuro.

Para los escépticos se puede recordar que en 2006 un malware –software malicioso, término al parecer más preciso que el de virus informático que utiliza el común de los mortales- se introdujo en los sistemas de Metro de Madrid y provocó la interrupción de una línea del suburbano durante dos horas y media. Otro ejemplo es que la segunda entidad financiera del país registró en 2003 su primer ataque por fishing –suplantación de identidad- y hoy afronta como su principal reto en este ámbito los ataques a sus filiales norteamericanas procedentes supuestamente del terrorismo yihadista, según palabras del director de Seguridad de la Información del BBVA, Santiago Moral.

La ciberseguridad es por tanto una realidad hoy en la empresa con más de una década de trabajo a sus espaldas, que ha pasado de una actitud reactiva –respuesta a ataques- a una disposición proactiva de puertas adentro y en colaboración con la Administración, como se puso de manifiesto el pasado jueves en Madrid en un encuentro empresarial organizado por el grupo Atenea y la consultora Kreab & Gavin Anderson.

Son muchas y espectaculares las cifras que se lanzan sobre pérdidas económicas causadas por ciberdelincuencia, ataques informáticos, interrupciones del servicio, cifras astronómicas e indemostrables porque se trata de estimaciones. Hay que distinguir entre incidentes y ataques informáticos, estos organizados con medios y finalidad económica o de otro tipo, distintos a un virus dando vueltas por la red.

En lo que coinciden la mayor parte de los actores es que el perfil del delito y del delincuente en la red se ha transformado, desde la actuación de un pirata informático normalmente aislado, el hacker que actuaba casi como un reto intelectual, a redes y ataques organizados con un fin económico o político.

Estrategia española de Ciberseguridad

A nivel nacional, el avance que todo el sector se encuentra esperando desde hace un semestre, cuando se anunció como inminente, es la Estrategia Española de Ciberseguridad.

A preguntas de ESTRELLA DIGITALel secretario de Estado de Seguridad, Francisco Martínez Vázquez, ha evitado comprometerse con una fecha sobre la esperada Estrategia, lo que hace muy improbable su anuncio en la reunión que el Consejo de Seguridad Nacional celebrará el jueves de esta misma semana en Moncloa. Sí habla Martínez de un trabajo intenso entre los diferentes ministerios implicados (Interior, Defensa, Industria, Presidencia –como coordinador y responsable del CNI-), señala que está “muy avanzado el grupo de trabajo, hay buenas perspectivas, no es habitual temas tan transversales como éste”.

Añade el secretario de Estado que “estamos muy cerca ya de encontrar un modelo para definir las prioridades, las líneas de actuación, la implicación del sector público y del sector privado en materia de ciberseguridad y, dentro del sector público, el papel que ha de jugar cada uno y su coordinación”.

Martínez sí hizo alusiones más concretas al trabajo que desarrolla el INTECO, el Instituto Nacional de Técnicas de Comunicación con sede en León, y su CERT, Centro de Respuesta a Incidentes, que tiene previsto crear a comienzos de 2014 una oficina de integración con las fuerzas de seguridad para aunar medidas técnicas y policiales.

A nivel europeo, la UE publicó el pasado mes de febrero una estrategia de ciberseguridad, acompañada de una propuesta de Directiva de la Comisión Europea sobre la seguridad de las redes y de la información, que insta a los países miembro a colaborar entre ellos, a adoptar una estrategia clara y coordinada en ciberseguridad y a contar con una autoridad competente.

En la jornada mencionada, representantes del mundo de la empresa y de la Administración pusieron de manifiesto su interés en trabajar conjuntamente, como hacen de hecho. La realidad dice que hoy la ciberdelincuencia utiliza las mismas redes y procedimientos para atacar una entidad financiera que un organismo gubernamental.

Sin embargo, y a pesar de los muchos avances recientes desde el sector público, la diferente implicación entre ambos mundos aún es grande. De los alrededor de 200.000 agentes de todos los cuerpos de seguridad del Estado –Policía, Guardia Civil y policías autonómicas- tan solo 200 se dedican a la ciberseguridad, un porcentaje mínimo y desajustado con la importancia hoy del ciberdelito.

Retos de futuro:

Internet de las cosas: Se calcula que existen 24.000 millones de dispositivos conectados a la red mundial de comunicaciones, lo que lleva a hablar del Internet de las cosas, que sucede al Internet de las personas. En esta nueva fase se pretende evitar los errores de seguridad cometidos en la primera.

Armonización legislativa: La red no tiene fronteras, pero sí está regulada por legislaciones nacionales que entorpecen el trabajo de las empresas que operan con o en ella. Grandes multinacionales españolas como BBVA, Telefónica o Indra reclaman una armonización de la normativa de España y Europa con la de EE.UU., origen hoy ya de la mayor parte de las empresas de servicios en la red. “Navegamos la mayor parte del tiempo siguiendo legislación que no es nacional”, apuntó muy gráficamente el representante del BBVA. No existe un marco jurídico armonizado que regule el ciberespacio ni coordinación entre la UE y EE.UU.

Cíber-riesgos: Algunos especialistas señalan que un peligro incluso mayor que los ciberataques es quedar fuera de la globalización. España ocupa hoy una posición de interés en este campo, es con Finlandia de los pocos países europeos que fabrica software en ciberseguridad. La normativa más favorable de EE.UU. promueve el traslado de empresas europeas hacia Silicon Valley.

Prioridades para España: El director de Seguridad de la Información y Prevención del Fraude de Telefónica, Manuel Carpio, apunta a que los modestos recursos de los que dispone nuestro país deberían destinarse a I+D, sistemas que garanticen la identidad en la red, robótica para evitar que las máquinas se vuelvan contra las personas –máquinas controlando máquinas-, desarrollo de la criptografía; inteligencia y big data; y el factor humano, recuerda que a pesar de las toneladas de dólares invertidas en tecnología por la norteamericana NSA, sus problemas proceden de las filtraciones de un técnico como Edward Snowden.

Una conclusión de todo lo anterior parece ser que en la red todos los actores son interdependientes; y que las circunstancias económicas y tecnológicas obligan a todos los agentes a perder el miedo y compartir informaciones de seguridad, lo que va en contra de la tradición.

Cíber: prefijo de moda, utilizado dieciocho veces en este artículo, que “indica relación con redes informáticas”, según la RAE. Coinciden las fuentes en su origen etimológico del griego kybernetes, que significa el arte de pilotar un navío o, en sentido amplio, el arte de dirigir a los hombres o el arte de gobernar. El término “cibernética” fue usado primero en 1834 por el físico francés André Marie Ampère para referirse a los modos de gobierno (las maneras de “timonear”), y luego, en 1948 por el matemático Norbert Wiener, profesor del MIT en su obra Cibernética: o el control y comunicación en animales y máquinas. En 1982, el escritor norteamericano de ciencia ficción William Gibson separó la partícula “cyber” de “cybernetics” y formó la palabra “cyberspace” para denominar el espacio virtual creado por las redes informáticas. Ciberespacio se introdujo en 1989 al español con la traducción de su obra Neuromante.

 

Por Carlos Penedo

Fuente: estrelladigital.es

Como todo en la vida, internet puede darnos algún problema que otro con el uso que los ‘piratas malos’ hacen de nuestros datos personales. Por eso el primer consejo es desconfiar de cualquier mensaje o correo electrónico en el que nos pidan algún dato personal. Nadie que opera ‘legalmente’ pide datos personales por mensaje o correo electrónico.

El informe de seguridad de Trend Micro (PDF en inglés) sobre el tercer trimestre de 2013 revela una “incesante proliferación” de sitios de phishing de Apple iOS (software de la compañía de la ‘manzana’), además de un repunte considerable del malware (software malicioso) para la banca online.

El término phishing proviene del inglés fishing (pesca) y alude al intento del cibercriminal de que los usuarios “muerdan el anzuelo”. El modus operandi más utilizado es el envío de correos electrónicos masivos simulando una comprobación rutinaria que puede solicitar -por ejemplo- cualquier dato: contraseñas o cuentas del banco, una oferta de empleo que obliga a rellenar un formulario, un premio de una “International Lottery” ¡Desconfíe!

La regla de oro contra el phishing

Una regla de oro para evitar ser estafado o verse involucrado en actos delictivos es no hacer click con el ‘ratón’ en ningún enlace que contenga ese correo, y eliminarlo cuanto antes. Muchas veces,  con que pinchemos un enlace les basta para saber que nuestra dirección de correo está “activa”, es decir, pertenece a alguien y es real. Por tanto pueden usarla para muchas cosas… Ninguna buena.

No hay ni un solo banco que solicite o haya solicitado jamás contraseñas ni datos personales por correo a sus clientes. Nadie que le pida sus datos financieros o personales por correo es fiable, incluso cuando le haya conocido antes en persona, aunque el mensaje recibido le haga creer que le ha tocado un premio en metálico de una lotería de la que jamás oyó hablar. Si ya es difícil que toque la lotería… ¡Imagínese si ni siquiera ha jugado!

Según el citado estudio, los consumidores se sienten atraídos por la comodidad de la banca ‘en línea’. Los cibercriminales desarrollan herramientas muy rápido para provechar la falta de concienciación general de estos usuarios.

Según los datos que aporta Trend Micro, la evolución del número de infecciones en banca online entre julio y septiembre de este año se ha reducido a algo más de la mitad, pasando de 700 infecciones de julio a 344 en septiembre.

Tengamos las fiestas en paz

Llega la Navidad. Aunque queda poco dinero en el bolsillo algunos harán uso de la tarjeta y de las compras por internet. Los comercios aprovechan también las ventajas que les ofrecen las nuevas tecnologías para darse a conocer y simplificar el proceso de compra de sus clientes.

Esto lo saben los ‘malos’, así que conviene ser aún más precavido con sus datos financieros cuando utilice el comercio electrónico, y más si lo hace desde un dispositivo móvil (teléfono, tableta u ordenador portátil). Recuerde, los dispositivos iOS son los que están sufriendo un mayor número de ataques a través de webs fraudulentas. Felices fiestas.

 

Fuente: proyectomenta.com

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 3.780 seguidores

%d personas les gusta esto: