El equipo de investigación de ESET analiza una nueva tendencia muy utilizada por los ciberdelincuentes y que utiliza a diferentes marcas reconocidas a nivel mundial para engañar a los usuarios desprevenidos mediante promociones en WhatsApp.
Varias de estas falsas campañas afectaron a marcas de diversas tiendas muy populares como Zara, Starbucks, McDonald’s y finalmente el supermercado argentino COTO.
Utilizando el nombre de reconocidas tiendas o marcas de confianza, que normalmente no están ligadas a fraudes digitales ni manejan información sensible, los ciberdelincuentes despistan a los usuarios explotando la relación de confianza hacia esas marcas, que nunca antes fueron afectadas ni vinculadas a incidentes de seguridad.
Todas las plantillas utilizadas para el ataque son muy similares, personalizándolas para cada marca con sus respectivos colores y logos.
La Ingeniería Social, es decir el arte de persuadir a las personas con algún fin, es uno de los puntos fuertes en este tipo de fraudes. Complementándolas con técnicas de geolocalización, los ciberdelincuentes han logrado una potente propagación convirtiendo a un usuario distraído no solo en víctima, sino también al mismo tiempo en cómplice de la propagación de este tipo de estafa.
Al investigar los servidores involucrados se encontró que están alojados en la República de Moldavia y, en los DNS con los cuales se involucran las estafas, se encontró evidencias de que adicionalmente otras empresas han sido y podrían estar siendo afectadas.
Moldavia es un país ubicado en Europa, situado entre Rumania al oeste y Ucrania al norte, este y sur. Tiene una superficie de 33 843 km² y la mayoría de su territorio se encuentra entre sus dos ríos principales, el Dniéster y el Prut. Fuente: Wikipedia, 2016.
Dentro de ellas, se puede mencionar a grandes tiendas presentes en múltiples países que fueron elegidas de forma minuciosa bajo la premisa de ser muy populares y encontrarse en cuantas naciones sea posible.
Estafas en WhatsApp: Algunas de las empresas usadas como señuelo
IKEA
Es una corporación multinacional de origen sueco radicada en Holanda que cuenta con 238 tiendas distribuidas en 44 países. Es una de las principales campañas, debido que constó solamente para la parte inicial de la estafa, el usó de cinco subdominios asociados que involucran al nombre e imagen de la empresa:
giftcards-promo.com
ikea-jo.giftcard-promotions.com
nl-waardebonnen.com
ikea-uk.giftcards-promo.com
giftcard-promotions.com
H&M
Es otra cadena sueca que opera en 44 países desde Europa, Asia, África y América. Por este motivo los ciberdelincuentes se benefician de la gran diversidad de locaciones de sus tiendas de indumentaria, y utilizaron dos dominios para esta marca, como veremos a continuación:
hm-voucher.giftca***-***mo.com
hm-voucher.nl-wa*****en.com
Nuevamente, como vemos en las siguientes imágenes, los patrones de encuestas coinciden, personalizándose con los colores de H&M. Además, se presentan con la fecha actualizada.
KFC (Kentucky Fried Chicken)
Es una tienda de comidas con más de 18 mil restaurantes distribuidos en 144 países y, al igual que ocurrió con McDonald’s, fue víctima de esta astronómica campaña de fraude.
SPAR
Esta mega cadena de supermercados cuenta con más de 20 mil sucursales en 35 países, y así luce el engaño que utiliza su nombre:
No obstante, los ciberdelincuentes buscaron un grado mayor de penetración a nivel mundial, y es por eso que en países donde no se encuentran presentes estas tiendas buscaron la forma de reemplazarla para lograr el mismo alcance masivo.
COTO
Por ejemplo, en Argentina utilizaron la cadena de supermercados COTO, que posee alrededor de 120 sucursales en todo el país.
7-Eleven
Otra tienda utilizada para este fraude que cuenta con 52.000 establecimientos en 16 países, especializada en la venta de consumos básicos y muy presente en América del Norte y Asia.
Otra empresa del mismo rubro afectada fue la cadena de supermercados Walmart, que posee 11 mil tiendas en 28 países. El subdominio utilizado en este caso fue:
giftc*******.com
La técnica empleada
En el caso de usarse encuestas, el siguiente paso es compartir el enlace de inicio a 10 contactos a través de WhatsApp, limitando al usuario a unos pocos minutos, con el fin de no dejarlo reflexionar acerca de la acción que se está realizando.
En otras palabras, en la ansiedad del momento que se le impone, no se le da tiempo de sospechar acerca de un posible fraude.
Si bien este tipo de técnica no es tan frecuente, evidentemente es efectiva y probablemente se comenzará a ver en mayor medida en futuros casos similares.
El fin de la campaña viene acompañado de diversas actividades que engañan al usuario, ya que se encontraron fraudes de distintas naturalezas: casos de suscripción a números SMS Premium e instalación de Aplicaciones Potencialmente No Deseadas.
En otros casos, si se accede desde una PC y direcciones IP de Estados Unidos, el usuario es redirigido a páginas que advierten acerca de un virus que infectó su sistema y con un mensaje del tipo pop up y un audio muy persistente indican comunicarse a un número telefónico con el fin de recibir soporte.
En caso de no hacerlo e intentar cerrar esa página, se perderá todo el contenido de su disco rígido. Claro que esto es completamente falso; al igual que los premios de las encuestas o bonos de regalo, son solo artilugios de la Ingeniería Social con el fin de inducir al usuario a realizar algún tipo de acción.
Conclusiones
Es interesante destacar la gran cantidad de recursos utilizados en estas operaciones, teniendo en cuenta que son apuntadas a múltiples países, varias monedas e inclusive a diversos idiomas.
Con la flexibilidad y automatización de estos ataques, sumado a la naturaleza de las entidades afectadas y teniendo en cuenta que no hay muchos antecedentes de este tipo procedimientos en cuanto a incidentes de seguridad, es natural que exista una cantidad elevada de usuarios que hayan sido víctimas y que inclusive aún no se hayan dado cuenta.
Este tipo de estafa demuestra que la educación es la primera barrera de protección; en ese sentido, nos proponemos hacer reflexionar a los usuarios y alertar sobre estas nuevas tendencias que utilizan antiguas técnicas en canales como WhatsApp.
Tarjetas de crédito: las 5 formas de estafas que más preocupan a todos
Por Vanesa Listek.
La clonación y el phishing son las estafas más frecuentes en el país
La estafa puede comenzar al responder un mail personalizado del banco que solicita al cliente determinados datos de sus cuentas.
Confiado, uno brinda toda la información y, sin darse cuenta, entra en el creciente y peligroso mercado negro de comercialización de datos. Expertos consultados por la nacion afirmaron que las cinco formas más comunes de fraude de tarjetas de crédito y de débito son clonación, robo de identidad, phishing, hacking y smishing.
El fraude puede comenzar con un mail personalizado del banco, que solicita al cliente determinados datos personales.
Uno, confiado, ingresa voluntariamente toda la información personal reclamada. Sin darse cuenta, acaba de entrar en el submundo del mercado negro de comercialización de datos.
Hoy, según expertos consultados por LA NACION, las cinco formas más comunes de fraude de tarjetas de crédito y de débito son: clonación, robo de identidad, phishing, hackingy smishing.
Estos nombres que resultan extraños, para los especialistas no lo son. De acuerdo con César López Matienzo, gerente del área de Desarrollo de Sistemas de un conocido banco local, existe fraude online y físico.
En América latina la estafa física, como la clonación de tarjetas de crédito, sigue siendo muy común a pesar de ser el método más antiguo.
«En todos los casos de fraude siempre hay mecanismos tecnológicos que permiten a los estafadores captar los datos de la tarjeta de crédito, y una vez que lo hacen, el modus operandies el mismo -dijo López Matienzo-. Para comenzar hacen operaciones pequeñas para ver si el dueño de la tarjeta lo adiverte o no.»
En online, predomina el phishing, un engaño informático para tratar de hacer caer a algún desprevenido en una trampa digital.
Santiago Vallés, ingeniero y director del Centro de Seguridad Informática (Censi) del ITBA, comentó que existen dos tipos de phishing, uno masivo y otro dirigido. El phishing masivo puede aparecer diariamente como spam, un e-mail fraudulento enviado a miles de usuarios, de los cuales un porcentaje cae en la trampa. «Los estafadores se están volviendo cada vez más expertos en saltear las barreras antispam que instrumentan los sitios como Gmail o Yahoo, por lo tanto, el phishing masivo está comenzando a aparecer en las bandejas de entrada», comentó Vallés.
El método de phishing dirigido es un engaño a una persona en particular y requiere de ingeniería social para ser efectivo. «La ingeniería social es el método de investigación previa al phishing«, especificó Vallés. Consiste en la averiguación de datos de una o más personas con el propósito de extraerle información personal y en particular los datos de la tarjeta de crédito. La ingeniería social juega un papel fundamental para un exitoso fraude con tarjetas de crédito.
La mente de los estafadores
«La ingeniería social es el arte de hackear personas,» dijo Maximiliano Bendinelli, ingeniero especializado en análisis informático forense para la compañía CySI, un estudio de informática forense. En diálogo con LA NACION, Bendinelli comentó que se puede conseguir un software, llamado exploit kit, con el propósito de hacer phishing. Se puede comprar o alquilar por un valor de 2 o más bitcoins, la moneda digital mejor cotizada en el mercado ilegal de los hackers, ya que no es rastrable. Actualmente cada bitcoin tiene un valor aproximado a los US$ 450.
Vallés explica que la venta de los exploit kits proviene de países como Rusia, donde no hay legislación contra delitos informáticos. «Es una herramienta que se usa para explotar una vulnerabilidad no conocida. El valor del exploit está asociado a la masividad, y cuanto más específico es el kit, más barato será para el estafador; por eso es importante la ingeniería social,» comentó Vallés.
Otra forma de fraude es el hacking. Se realiza a través de un software maligno, también conocido como malware, o virus troyano. Según Raúl Fiori, consultor en seguridad bancaria, los troyanos penetran en la computadora y se auto instalan para copiar datos de cuentas y todo otro dato de interés que pueda ser utilizado para cometer fraudes. El mismo troyano se encargará del envío de ésta información a la dirección del delincuente sin que pueda ser advertido por la víctima.
El smishinges similar al phishing, pero en este caso, los estafadores lo hacen a través de mensajes de texto. Según Vallés, los mensajes utilizados tienen la apariencia de los SMS oficiales de las compañías reales. «El SMS tiene dos opciones: cancelar o aceptar, sin dar mucha más información. La gente acepta y pasa meses sin darse cuenta de que hubo fraude», explicó Vallés. El «anzuelo» lleva al usuario a un sitio falso o a una aplicación sospechosa.
Por último, el ID theft, es el robo de datos personales para hacerse pasar por la víctima del fraude, o cometer delitos con su nombre. La mayoría de estos engaños se logran obteniendo datos personales por teléfono. El valor promedio de la identidad de una persona en el mercado negro es de U$S 21.35, según información de Quartz, un medio norteamericano online.
La pérdida total mundial por fraude en 2014 fue de US$ 16,31 millones, de acuerdo con The Nilson Report, uno de los boletines comerciales más importantes acerca de la industria de sistemas de pago.
En un informe publicado por el primer observatorio de delitos informáticos de la región, Odila, se pudo determinar que el 70% de los denunciantes son personas físicas, mientras que el resto son Pymes, empresas y organismos gubernamentales. Más de la mitad de las 1290 denuncias que registró esa ONG, pertenecen a la Argentina.
Leyes antifraude
En 2012 existía un proyecto de ley para penalizar la suplantación de la identidad digital. Actualmente el proyecto caducó por falta de consenso en el Congreso. Sin embargo, Marcelo Temperini, abogado especializado en derecho informático y uno de los impulsadores del proyecto, comentó a LA NACION que trabajó en 2013 y 2014 en un nuevo proyecto para sancionar penalmente la práctica de phishing, tipificándola como la captación ilegítima de datos confidenciales.
«Lamentablemente, el phishing no es considerado un delito en la Argentina, sólo pasa a ser un delito cuando se produce una estafa con daños patrimoniales. Pero para entonces, ya es muy tarde y no se puede frenar la divulgación de la información que ha sido robada y se vende en el mercado negro», dijo Tamperini.
Actualmente existe legislación que penaliza el hacking: la Ley 26.388. Tamperini asegura que esta norma fue una especie de «parche» que modificó varios artículos y agregó otros. Es una buena ley desde el punto de vista penal material, mejorable como todas, aunque quizás con penas bajas.
Los expertos consultados coinciden en que el cliente es quien debe prestar atención a todas las advertencias emitidas por los bancos y compañías de tarjetas de crédito. Existe una fuerte «evangelización», como la llama César López Matienzo, para concientizar a los usuarios de tarjetas de crédito para que no caigan en las trampas de fraude que existen hoy.
Raúl Fiori explica que las entidades previenen los fraudes a través de múltiples herramientas informáticas, bases de datos e identificación de IP (dirección que posee la computadora que genera la información maliciosa). Por su parte, las administradoras de tarjetas, poseen software que monitorea online millones de transacciones y controlan la actividad del cliente para la detección temprana del fraude.
El futuro del antifraude es la biometría. «El cliente dejará de utilizar «lo que sabe» (por las claves) por «lo que es» (huella dactilar, cara, voz o iris). Esto impedirá la actividad de los delincuentes informáticos o los que utilizan inteligencia social directa», dijo Fiori.
Consejos para clientes distraídos
La sustracción de datos de sus tarjetas se basa mayormente en técnicas de convencimiento. Evite dar información por teléfono, e-mails, mensajes de texto (SMS), Whatsapp, cuestionarios persona a persona o en accesos a sitios de Internet
Proteja su computadora. Siempre optimice y mantenga al día sus sistemas de seguridad ya que existen métodos de captura de información de su disco rígido, teclado, pantalla y cualquier otro dispositivo que almacene sus datos
Siempre que acceda a un website desconocido, identifique los «candados» que indican que se encuentra en un entorno seguro, antes de ingresar sus datos personales. Además verifique que en el panel de dirección (URL) se vea «https», en lugar de «http»
No responda e-mails enviados desde una compañía de tarjetas de crédito o bancos, en los que se le informe que su cuenta tiene algún inconveniente y le soliciten que envíe sus datos para solucionarlo
Lea la información preventiva que le ofrece su banco o compañía de tarjeta de crédito.
Scam («estafa» en inglés) es un término anglosajón que se emplea familiarmente para referirse a una red de corrupción. Hoy también se usa para definir los intentos de estafa a través de un correo electrónico fraudulento (o páginas web fraudulentas).
Generalmente, se pretende estafar económicamente por medio del engaño presentando una supuesta donación a recibir o un premio de lotería al que se accede previo envío de dinero.
Las cadenas de correos electrónicos engañosas pueden ser scams si hay pérdida monetaria y hoax cuando sólo hay engaño.
Scam no solo se refiere a estafas por correo electrónico, también se le llama scam a sitios web que tienen como intención ofrecer un producto o servicio que en realidad es falso, por tanto una estafa.
Otra forma de Scam común es en Redes sociales en internet y páginas de encuentro, normalmente, personajes con identidades falsas, como marines que vuelven a casa o personas con algún familiar enfermo, solicitan dinero a sus víctimas después de haberse ganado su confianza.
Cómo protegerse
Para no verse afectado por estas amenazas, las personas deben evitar acceder a información cuya fuente no sea confiable. Una buena práctica es la eliminación de todo tipo de correo no solicitado para así evitar el scam.
Además, es importante no utilizar dinero en el pago de servicios o productos de los cuales no se posean referencias ni se pueda realizar el seguimiento de la transacción. El comercio electrónico y vía SMS son potenciales factores de riesgo, por lo que las transacciones por estos medios deben ser apropiadamente validadas antes de llevarse a cabo.
En los ataques llevados a cabo mediante ingeniería social, el eslabón débil al que se apunta es a las personas y su ingenuidad. Mantenerse informado sobre las nuevas metodologías y educarse en seguridad informática es la vía ideal para evitar ser víctimas de ellos.
Fuente: Wikipedia, 2016.
Los Sherlock Holmes del siglo XXI trabajan en el ciberespacio
Quienes combaten el mal debieron ampliar su área de acción a Internet, donde los hechos delictivos crecen y causan fuertes pérdidas.
Por Carlos Manzoni.
Una alta ejecutiva es obligada a depositar 50.000 euros para evitar que se publique su incursión en un sitio de citas sexuales. Al mismo tiempo, un concurso totalmente amañado premia a un hijo de un CEO con un celular último modelo; cuando el chico llegue a su casa, impregnará con un virus los dispositivos móviles de su padre. Ambos son modus operandi del ciberdelito del siglo XXI, pergeñado por malhechores que tienen como aliada a Internet.
Este flagelo, que produce 300.000 ataques por día, está en cuarto lugar de preocupación entre las empresas, algo que las lleva a invertir entre US$ 1 y 10 millones por año en prevención, según cuenta Sergi Gil, responsable de CyberSOC Academy Deloitte.
Gil, que vino a la Argentina de la mano de la Universidad Siglo 21 para entregar una beca y dar una charla sobre ciberseguridad, precisa que el 90% de lo que desembolsan las compañías se destina a máquinas y el resto, a formación de la gente para que esté preparada ante un posible ciberataque.
El hombre cuenta que las acciones de una empresa perdieron 15% en un día, luego de que los accionistas se enteraron de que sus redes habían sido infectadas y violadas por crackers (así se denomina a estos delincuentes, para diferenciarlos de los hackers). ¿Y quién es la persona más atacada? «La secretaria del alto directivo», acota. «Porque es ella la que tiene la agenda completa, guarda todos los números de cuentas bancarias de su jefe y hasta sabe si tiene una amante», explica este barcelonés, fanático de Barcelona y con butaca en el Nou Camp.
Lo peor de este panorama no son las cifras, sino el hecho de que «los buenos» están siempre por detrás de «los malos». Para Gil, una empresa debe saber anticiparse a los ataques, mediante inteligencia; luego se tiene que dar cuenta de que es atacada, y, por último, debe saber reaccionar al ataque. «No sólo a nivel técnico, sino a nivel de comunicación y jurídico», agrega.
Otra mala noticia. «No hay en las empresas recursos formados para anticipar los ataques», dice Gil. Es en ese contexto en el que llegó a la Argentina para incentivar a los alumnos de la Universidad Siglo 21 a tomar la certificación internacional (curso específico), creada entre Deloitte y Red Ilumno. Sólo en la Unión Europea hay una oferta de empleo para 700.000 personas, que no llega a cubrirse.
Sergi dice que el cibercrimen mueve más dinero que el narcotráfico, el contrabando de armas y la prostitución; por eso las mafias no se quieren quedar atrás y lo que hacen es contratar a gente que se dedique exclusivamente a hacer ataques. «Antes lo que hacían era tirar el virus en Internet y esperar la pesca de algún incauto. Pero hoy eso ha cambiado, y el 95% de los ataques es dirigido, es decir, que se ataca a una persona o una empresa con un objetivo muy concreto.»
Entre los fines específicos está robar mapas, patentes o fórmulas, espiar los mails, las fotos y las claves de la computadora, entre otros. «Esa gente se dedica sólo a eso y, si no lo consigue, harán ingeniería social para lograrlo», destaca Gil.
Hay ciertos rubros en los que es imposible estimar el daño que les puede provocar un ataque de éstos. Porque, por ejemplo, ¿cómo calcular la pérdida de confianza que produce en un cliente de un banco saber que los delincuentes tienen los códigos de todas sus tarjetas? No por nada las que más invierten en ciberseguridad son las entidades financieras.
¿Algún recaudo personal? Los ejecutivos, según Gil, tienen que hacer contraseñas largas y cambiarlas cada seis meses. El ingenio de los «malos» no tiene límite: «Un grupo montó una empresa de eventos, hizo varios y llegó a un acuerdo con un colegio, con premios y preguntas. Uno de los regalos era un celular, cuyo ganador ya estaba marcado y no era otro que el hijo de un alto ejecutivo. El chico llegó a su casa, se conectó a Wi-Fi al mismo tiempo que su padre y así habilitó a los delincuentes toda su información privada y de la firma».
El 66% de los ciberataques es por culpa o negligencia de empleados. Ese porcentaje se podría resolver en un 80% con formación. Los maleantes van tanto a empresas grandes como a pymes. En las primeras tienen grandes recompensas, pero en las últimas les es mucho más fácil acceder.
De las pymes no sólo tienen su información, sino la de sus clientes. En cuanto a geografía, Gil deja en claro que América latina está igual de «infectada» con estos delitos que Europa, África y Asia. «Quien está un poco mejor es Estados Unidos, porque allí son más conscientes e invierten antes», cuenta.
Las industrias más atacadas en la actualidad son las de manufactura, debido a la información que manejan (Apple, Google, las automotrices y las farmacéuticas, están entre ellas) y las de venta electrónica. El costo de una auditoría o consultoría sobre este tema va desde US$ 3000 hasta 100.000 por servicio.
A nivel jurídico, hay muchas lagunas y, por lo general, la ley corre por detrás de los ciberdelitos. Además, hay una especie de «paraísos para el ciberdelito», como por ejemplo Rusia y Rumania. Los delincuentes lo saben, entonces, aunque vivan en otros, lanzan los ataques desde esos lugares para que no se los pueda penar.
Será por todo esto, tal vez, que ya se habla acerca de que Internet es el quinto escenario de guerra en el mundo, luego de la tierra, el agua, el aire y el espacio.
Dramático crecimiento del robo de dinero por la Web
Por Ariel Torres.
Casi se echa de menos la época en la que los virus buscaban destruir la información en las computadoras. Ahora es mucho peor. Hoy los programas y técnicas maliciosas buscan robar dinero. El sociópata que lanzaba un software dañino a la Red ha sido reemplazado por grupos organizados que infectan computadoras y móviles para robar credenciales bancarias y de comercio electrónico. Otra de las variantes intenta -y con desoladora frecuencia consigue- explotar los recursos de nuestro sistema: la conexión con Internet y el espacio de disco, para luego usar esas redes robot (botnets, en la jerga) para distribuir otros virus y publicidad no solicitada. Ese tiempo de red se alquila a terceros.
Los virus han mutado, en sintonía con los tiempos, y la diversidad abruma. Si hace 25 años existía un puñado de modos de ataque, hoy la lista llena volúmenes y los números cortan el aliento. La compañía de seguridad Kaspersky Labs consigna, basándose en estadísticas que recoge automáticamente, que en 2014 detectó más de 6000 millones de ataques, y que el 38% de los usuarios habían sufrido al menos un incidente de seguridad en la Web el último año.
Algunas formas de ataque son particularmente escalofriantes. Tal es el caso del ransomware, que creció 165% en el mundo en el primer trimestre del año, y ya ha llegado a la Argentina, según la empresa de seguridad Intel Security (ex McAfee). Este tipo de malware llega como un adjunto por correo electrónico e insta al usuario a abrirlo con alguna excusa apremiante. Si la persona le da doble clic se dispara un programa que encripta los documentos de la computadora, para luego pedir un rescate en bitcoins (moneda virtual). La suma equivale a unos 500 dólares.
El cuento del tío virtual
Gran parte de la metodología de los ataques informáticos de la actualidad se basa en lo que se conoce como ingeniería social. Es decir, trucos para convencer a las víctimas de abrir un archivo malicioso o instalarlo. Tal fue el caso del sonado virus que infectó más de 100.000 cuentas de Facebook en febrero pasado y que hace un par de semanas volvió a ser noticia. En el muro de los usuarios de la red social aparecía una publicación de alguno de sus contactos que prometía un video pornográfico. Los que intentaban verlo se encontraban con un aviso razonable: era necesario actualizar el reproductor de Flash. Los usuarios, sometidos a actualizaciones constantes, cayeron en la trampa y obedecieron la orden del pirata informático. Descargaron la supuesta actualización y la ejecutaron.
Nunca pudieron ver ningún video. En cambio, sus navegadores quedaron infectados con una extensión que publicaba en el muro de 20 de sus amigos en Facebook el mismo post del video para adultos. Algunos cayeron a su vez en la trampa y, unos minutos después, estaban propagando el ataque, sin siquiera darse cuenta. Y no era la primera vez.
En 2011, a los usuarios de Facebook se les ofreció la posibilidad de instalar el botón No me gusta en sus cuentas. Para eso, sólo debían copiar y pegar un fragmento de código en sus navegadores. Sin entender lo que ese código decía, los que obedecieron el pedido terminaron con sus cuentas infectadas y, de nuevo, propagando el ataque.
Pero detrás de esta ingeniería social hay mucho más que el ánimo de molestar. El virus del video pornográfico esconde, en realidad, un componente que lee lo que escribimos en el teclado. Así, es capaz de robarse contraseñas, números de tarjetas de crédito y datos para suplantar la identidad del usuario.
Otra de las amenazas activas en la Argentina es el phishing(jerga por fishing, «pescar» en inglés), que funciona del siguiente modo. La víctima recibe un mensaje de correo electrónico que, supuestamente, proviene del banco con el que opera. El aspecto de la comunicación es perfecto; nadie dudaría que se originó de forma legítima. En ese mail, la supuesta entidad bancaria alerta al cliente de que sus datos podrían haber sido comprometidos (es una de las muchas excusas) y lo urge a entrar a la banca online. Para mayor comodidad (ahí viene la trampa) le ofrece un link que lo llevará directo a la página de ingreso. La persona, asustada, da clic y, en efecto, la página a la que accede es la que ve todos los días al conectarse al home banking. Idéntica hasta el último pixel. Sólo que acaba de entrar en un sitio que simula ser un banco. El resto es previsible: cuando ponga su contraseña, el sitio fraudulento se la robará.
Lamentablemente, según el mismo estudio de Intel Security citado antes, el 97% de las personas en el nivel mundial es incapaz de identificar los mensajes de correo electrónico peligrosos. Los menores de 18 años en la región Asia-Pacífico -continúa el estudio- se desempeñaron mejor que los adultos, identificando 7 de cada 10, un promedio más aventajado del que obtuvieron los jóvenes en América del Norte y América latina, con 6 de 10.
Un segundo de reflexión
Es que resulta imposible vencer la ingeniería social instalando un antivirus o intentando discernir si ese mensaje tentador o atemorizante es legítimo. Existe, no obstante, un truco que, si se aplica sistemáticamente, puede desactivar estos engaños. Para entenderlo hay que observar cuál es el punto débil del delincuente informático. Para que la trampa funcione, sus víctimas deben ejecutar una acción. Darle doble clic a un adjunto, ir a un sitio, instalar un programa en la computadora o una app en el smartphone, copiar y pegar un fragmento de código, y sigue la lista.
Sin ese pequeño, en apariencia insignificante eslabón, no podrá infectar el equipo y su estrategia fracasará. Por eso, si un mensaje -cualquiera y en cualquier servicio- solicita que se ejecute una acción en nombre de alguna urgencia que nos afecta emocionalmente, entonces es una trampa. Siempre.
Como el delincuente convencional, el que ataca computadoras va donde el público se reúne. Así, los móviles están también bajo fuego. El estudio de Kaspersky mencionado antes detectó más de 4,6 millones de paquetes de instalación de programas móviles maliciosos. Entre noviembre de 2013 y octubre del año pasado, la compañía había identificado casi 1,4 millones de ataques. En el mismo período de 2012-2013 ese número había sido de 335.000.
La buena noticia -si acaso- es que los criterios que ayudan a prevenir incidentes en las demás plataformas también es de utilidad aquí. En especial aquello que concierne a la ingeniería social.
Sólo el comienzo
Pero la batalla contra el crimen informático organizado no ha hecho sino empezar. Un documento técnico de Cristian Borghello sobre cibercrimen bancario, que la compañía de seguridad ZMA ofreció a LA NACION, es palmario. «El malware puede ser detectado y eliminado por los antivirus pero, debido a las ganancias exorbitantes de los delincuentes, la innovación y evolución del malware, el juego del gato y el ratón es cada vez más sólo el juego del ratón», dice Borghello luego de analizar nuevas técnicas usadas para robar información sensible de los usuarios.
Algunas de ellas -continúa Borghello- consiguen infectar el sistema operativo, el navegador o la aplicación móvil de la víctima y sortear de este modo el cifrado que hay entre el banco y el cliente o la autenticación en dos pasos (por ejemplo, por medio de un código enviado por SMS). Los delincuentes buscan también infectar las terminales de los puntos de venta y los cajeros automáticos. Los ingenieros de seguridad informática crean nuevas formas de defenderse y la batalla continuará, tal parece que por mucho tiempo. Entre tanto, sigue siendo aconsejable no ejecutar una acción que se nos pide con un pretexto urgente que nos tienta o nos asusta. Desde Troya para acá, este mecanismo ha permanecido inmutable.
Las técnicas más difundidas
Ransomware
El virus encripta los documentos del usuario y luego pide un rescate en bitcoins
Phishing
Un mensaje que parece ser del banco conduce a un sitio fraudulento que roba las credenciales
Botnet
La computadora es obligada, de forma subrepticia, a funcionar como parte de una red que el delincuente controla remotamente.
La mayoría de los empleados están conscientes de los riesgos cibernéticos pero no los toman en cuenta en la práctica.
La utilización inapropiada de las herramientas informáticas puede ocasionar problemas.
Una investigación mundial sobre seguridad empresarial reveló que los empleados suelen visitar sitios web inapropiados cuando están en sus trabajos, a pesar de ser conscientes de los riesgos que esto podría ocasionar a sus empresas.
Blue Coat Systems, que fue llevada a cabo por la empresa de investigación independiente Vanson Bourne, involucró a 1580 encuestados de 11 países y destacó una tendencia global a ignorar los riesgos cibernéticos en el trabajo por parte de los empleados.
Según el estudio, los empleados no son consecuentes con su conocimiento de la cantidad cada vez mayor de amenazas cibernéticas. Y este comportamiento puede hacer que la información confidencial de la empresa y del individuo quede expuesta al robo y el uso inmediatos, al almacenamiento para su uso en el futuro, o a la venta a un mercado negro en el que las identidades vulneradas de la empresa y del individuo se comercializan globalmente.
Una fuente de amenazas cibernéticas es la práctica de phishing. Los delincuentes cibernéticos realizan extensas y continuas investigaciones de los perfiles sociales de los empleados con el objetivo de encontrar información que puedan utilizar para atacar a las organizaciones. Por ejemplo, un atacante puede crear un correo electrónico aparentemente personalizado y dirigirlo al administrador de TI de una gran empresa utilizando información obtenida de perfiles de redes sociales, como el equipo preferido del destinatario. Dicho correo electrónico puede contener malware que se descarga cuando el destinatario hace clic en el enlace incluido en el texto.
La pornografía sigue siendo uno de los métodos más populares para ocultar malware o contenido malicioso. Si bien los trabajadores son conscientes de las amenazas que suponen los sitios con contenido para adultos, siguen visitando estos sitios potencialmente peligrosos. La encuesta de Blue Coat develó que China tiene el récord más alto (19 %) de visitas a sitios con contenido para adultos desde un dispositivo de trabajo, y la siguen de cerca México (10 %) y el Reino Unido (9 %).
La mayoría de los participantes de la encuesta mundial admitió que comprende las evidentes amenazas cibernéticas que supone la descarga de adjuntos de correos electrónicos que provienen de remitentes desconocidos, o el uso sin autorización de redes sociales y aplicaciones no aprobadas en redes corporativas; pero que, aun a sabiendas, no dejaron de correr el riesgo.
También se develó que si bien el 65% de todos los encuestados considera que utilizar una aplicación nueva sin el consentimiento del departamento de TI es un riesgo importante para la seguridad cibernética de la empresa, el 26% admitió que lo hace. En México, cerca de un tercio (30%) de los encuestados reconoció que utiliza aplicaciones nuevas sin el permiso del departamento de TI, en comparación con el 26 % en Brasil.
En el trabajo aún se corren riesgos evidentes, como abrir correos electrónicos que provienen de remitentes no verificados.Entre los empleados mexicanos, casi la cuarta parte (24%) abre adjuntos de correos electrónicos que provienen de remitentes no verificados, a pesar de que la gran mayoría (71%) lo considera un riesgo importante, mientras que entre las empresas brasileñas, el 76% considera que la amenaza es un tanto más grave y solo el 16% abre correos electrónicos no solicitados.
Cerca de la mitad de los empleados (41%) utilizan sitios de redes sociales por cuestiones personales en el trabajo; esto supone un riesgo importante para las empresas, dado que los delincuentes cibernéticos ocultan el malware en enlaces abreviados y vulneran el tráfico encriptado para entregar cargas útiles.
Solo el 6% de los encuestados admitió que ve contenido para adultos desde dispositivos de trabajo. México ocupó el primer lugar: uno de cada diez empleados (10%) admitió ver contenido para adultos en el trabajo, mientras que en Brasil y los EE.UU. lo admitió el 5%.
A modo de reflexión, Ignacio Conti, gerente regionali de la empresa para el Cono Sur de América Latina, señaló que «aunque la mayoría de los empleados están conscientes de los riesgos cibernéticos, no los toman en cuenta en la práctica». Y agregó que «la tecnología orientada al consumidor de TI y las redes sociales ofrecen ventajas y desventajas a las empresas. Ya no es realista evitar que los empleados las utilicen, por lo tanto, las empresas deben encontrar maneras de admitir estas alternativas tecnológicas y a la vez mitigar los riesgos de seguridad».
Este software es recomendado por bancos prestigiosos como el Santander Río.
Esta es una época de software malicioso y fraudes bancarios.
Brindamos por una seguridad en línea dedicada en la que puede confiar.
Proteja su identidad y su cuenta contra fraudes y delincuentes cibernéticos: están allí afuera intentando entrar.
Descargue Trusteer Rapport. Confíe en que su cuenta estará protegida.
Usted no cuenta con demasiada seguridad en línea. Debería.
El software malicioso y la suplantación de identidad (phishing) permiten a los delincuentes cibernéticos obtener acceso a su computadora, números de cuenta e información personal. Es posible que tarde días o semanas en detectarlo, pero para entonces será demasiado tarde.
Trusteer Rapport se esfuerza para protegerlo.
Funciona a la par de su actual software de seguridad, incrementando su protección y reduciendo la susceptibilidad ante conductas delictivas; además, lo protege contra amenazas que su antivirus no puede detectar. Trusteer Rapport verifica que usted esté conectado al sitio Web real de su banco y crea una línea de comunicación segura.
Se ha demostrado que Trusteer Rapport es efectivo contra el software malicioso financiero avanzado
Fácil de utilizar.
No sufrirá demoras.
Puede descargar e instalar Trusteer Rapport en solo unos minutos. Se ejecuta en segundo plano, por lo que las tareas de su computadora continúan absolutamente sin interrupciones. Una vez instalado, aparecerá un pequeño ícono de Trusteer Rapport junto a la barra de dirección del explorador y cambiará de color para informarle cuando esté funcionando.
Un grupo de hackers robó millones a varios bancos, según Kaspersky
Por Danny Yadron y Emily Glazer.
SAN FRANCISCO (EFE Dow Jones) — Una banda de piratas informáticos rusoparlantes robó millones de dólares desde finales de 2013 a varios bancos en Rusia, Europa del este y Estados Unidos, según un informe de Kaspersky Lab ZAO, una firma de seguridad informática rusa.
No está claro exactamente cuántos bancos o cuáles se han visto afectados. Algunos ejecutivos del sector financiero estadounidense han recibido información sobre lo descubierto, según fuentes conocedoras de la situación. El gobierno estadounidense tuvo constancia del informe el domingo, aunque algunas fuentes gubernamentales se mostraron escépticas sobre cuánto dinero en bancos estadounidenses se habría perdido.
El informe ofrece una de las visiones más detalladas sobre cómo ha evolucionado la delincuencia en la era informática. Los ladrones capturaron en vídeo lo que ocurría en pantallas de ordenador de los bancos para aprender cómo imitar el modo en que los empleados de las entidades acceden a sus sistemas. Piratearon computadoras que controlan cajeros automáticos para que entregaran dinero cuando los delincuentes pasaban por delante de ellos. También lograron traspasar fondos de una cuenta a otra, aparentemente sin ser descubiertos.
La ubicación de los piratas informáticos no está clara. Algunos de sus servidores están en China y algunos de los dominios de sus páginas web parecen registrados a nombre de ciudadanos chinos, según el informe. Pero, como destaca Kaspersky, estas pistas podrían ser falsas, como se ha demostrado en el pasado.
El Servicio Secreto estadounidense y el FBI no respondieron inmediatamente a las solicitudes de comentarios. La noticia sobre el informe de Kaspersky la dio en primer lugar el diario New York Times.
La gran mayoría de bancos atacados parece estar en Rusia, según el informe. Los analistas de la firma lograron acceder a tres servidores de los piratas y encontraron direcciones de Protocolo de Internet de los posibles objetivos. Kaspersky halló que 178 direcciones IP de estas están vinculadas a Rusia y 37 a Estados Unidos, según el informe. Cada dirección podría no pertenecer a un banco distinto o a un banco que perdió dinero.
Según el informe, un banco perdió US$7,3 millones en el fraude en los cajeros automáticos y otro perdió US$10 millones porque los piratas atacaron su “plataforma de banca online”. Kaspersky estima que las pérdidas acumuladas podrían ascender a US$1.000 millones.
Quizá lo más preocupante del caso es que los piratas informáticos utilizaron para acceder a los bancos agujeros de seguridad ya conocidos en el software de Microsoft Corp, para los que la compañía había publicado “parches”. Si las empresas hubieran actualizado su software, los piratas habrían tenido que encontrar otro modo de acceder, según el informe.
Kaspersky rastreó al grupo de delincuentes hasta 2013 y dice que nada parece indicar que hayan dejado de robar.
Fuente: The Wall Street Journal, 16/02/15.
——————————————————–
Eso dice el jefe de la editorial Penguin Group, quien confía en que habrá mercado para los dos formatos
Por Jeffrey A. Trachtenberg. Mayo 2011.
Pocos ejecutivos de la industria editorial han podido ver de cerca cuán rápido la tecnología digital está transformando el negocio en todo el mundo como John Makinson, el presidente ejecutivo de Penguin Group, la división editorial de Pearson PLC.
La empresa publica 4.000 títulos de ficción y no ficción globalmente y hace negocios en una amplia variedad de mercados, incluyendo India. Decidir cómo y dónde vender esos libros es significativamente más complicado hoy que cuando Makinson asumió su cargo en 2002. En ese momento, los libros electrónicos eran un negocio menor y el impacto de los descuentos por las compras en línea todavía no se había sentido.
Una de las decisiones cruciales que tomó fue adoptar un sistema por el cual las editoriales establecen el precio de los libros digitales y los minoristas se quedan con 30% del ingreso. El modelo está ahora siendo analizado de cerca por las autoridades antimonopolio de Estados Unidos y Europa.
Penguin es también una de las tres grandes editoriales que está respaldando una nueva iniciativa en la red que destacará nuevos títulos y autores y venderá libros directamente a los consumidores. El sitio, Bookish.com, será lanzado a mediados de año.
Recientemente, Makinson habló con The Wall Street Journal sobre los libros electrónicos baratos, la lectura digital y las librerías independientes.
WSJ: ¿Llegará un momento en el que los libros físicos ya no sean publicados?
Makinson: No, realmente no lo creo. Hay una creciente distinción entre el lector de libros y el dueño de libros. El lector de libros simplemente quiere la experiencia de leer el libro, y esa persona es un consumidor natural de lo digital. El dueño de libros quiere dar, compartir y tener libros en sus estantes. Aman esa experiencia. A medida que agregamos valor al producto físico, el lector va a pagar un poco más por esa experiencia… Siempre va a haber un mercado para los libros físicos así como pienso que siempre va a haber librerías.
WSJ: ¿Cuál cree que va a ser la participación del mercado de los libros electrónicos en 2015 en EE.UU?
Makinson: Va a estar bien por encima de 30%. Las tasas de crecimiento en el Reino Unido y otros mercados son un poco más lentas de lo que uno esperaría mirando la experiencia estadounidense porque la penetración de aparatos de lectura digital se está produciendo mucho más lentamente.
WSJ: La lista de títulos más vendidos para el Kindle de Amazon está dominada por libros baratos, autopublicados, que a veces cuestan US$2,99 o menos. ¿Son estos títulos una amenaza para las editoriales tradicionales?
Makinson: Este es un nuevo mercado que no puede existir económicamente en el sector impreso. Uno no puede fabricar, enviar y almacenar un libro a esos precios. Pero nosotros, como editoriales, probablemente tengamos que participar. Vamos a analizar contenidos que quizás podamos popularizar de diferentes maneras.
WSJ: ¿Cuál es el desafío más significativo que enfrentan los vendedores de libros en un momento en el que hay millones de títulos físicos a la venta en línea, pero los libros electrónicos están duplicando los ingresos que generan?
Makinson: Hay un futuro para las librerías. El problema no es que haya demasiadas librerías, sino que son demasiado grandes. ¿Cómo se puede diversificar la oferta a los consumidores y a la vez lograr un uso más productivo del espacio sin perder la experiencia de estar en una librería?
WSJ: Las librerías independientes siempre han jugado un rol en el lanzamiento de títulos literarios. A medida que las ventas de libros electrónicos y en línea siguen creciendo, ¿cuántos vendedores de libros independientes sobrevivirán, asumiendo que serán afectados por las mismas fuerzas que han afectado a las grandes cadenas rivales?
Makinson: Soy el dueño de una librería independiente en Inglaterra (Holt Bookshop, en Norfolk), así que tengo que declarar que tengo interés en esto. No quiero sonar idealista. Va a ser muy difícil. Cuando uno ve las ventajas competitivas estructurales que tiene Amazon.com sobre cualquier librería, son aplastantes. Pero la gente va a pagar por su propia voluntad un precio más alto en una librería independiente sabiendo que puede comprar el mismo libro por menos. Eso es porque los consumidores sienten un compromiso emocional con la librería y sienten que las librerías dan un servicio público, así como un servicio comercial. No veo evidencia de que las librerías independientes vayan a volverse obsoletas.
WSJ: ¿Lee libros digitales?
Makinson: Cuando viajo, utilizo aparatos digitales, particularmente para leer manuscritos. Si únicamente voy a leer libros, probablemente uso un Kindle. Pero si quiero viajar con un aparato que me permita usar el correo electrónico, puede que lleve un iPad. También leo libros de papel. Fuente: The Wall Street Journal, 13/05/11.
—————————————————————–
.
Ejemplos de algunos de Nuestros Libros a disposición:
Cómo la búsqueda de una contraseña perfecta se puede volver una paranoia.
Por Lisa Pollack.
Después de un largo período de incubación, me temo que la paranoia digital de mi novio me ha infectado totalmente. Todo comenzó cuando empecé a sufrir de una persistente sensación de incompetencia con respecto a cuántas veces había reutilizado la misma contraseña de ocho caracteres en múltiples sitios web. Mi novio es un desarrollador de software y la seguridad en línea es una de sus especialidades, así como sorber el mismo café durante varias horas mientras leo en un bar es mi especialidad. Sabía que el utilizar la misma débil contraseña una y otra vez era un riesgo de seguridad, pero era tan práctico y tentador como almorzar todos los días en un restaurante en lugar de llevar comida preparada de mi casa a la oficina.
Junto con estos sentimientos yo tenía sensaciones de duda con respecto a los permisos que había concedido a las aplicaciones descargadas desde la tienda de Google Play a mi teléfono inteligente. Enviar mensajes SMS no parece ser algo que tenga que hacerse por medio de un juego y, al permitirle a la aplicación hacerlo por mí, podría haberle abierto la puerta a ladrones virtuales. Los programadores de la aplicación podrían hacer que mi teléfono enviara mensajes a números de tarificación adicional que ellos habían programado. Debí limitarme a descargar el Sudoku y nada más.
El malestar por compartir demasiado en Facebook es, me he dado cuenta, el más fácil de los problemas de paranoia digital de sanar. Al ver cuán inexactos son los anuncios “personalizados” en Facebook la sensación de persecución se evapora al instante: no bebo Starbucks ni loca, no quiero una tarjeta de crédito y yo no voy a adoptar un niño. Es simplemente ridículo imaginar que quiera tomar un café que sabe como si lo hubieran hervido 10 veces.
Pero es la insuficiencia en materia de contraseñas lo que me estaba causando la mayor molestia, así que decidí hacer algo al respecto. Gracias a las investigaciones de mi novio, descargué un gestor de contraseñas que almacena todas tus contraseñas en una bóveda en línea. La bóveda sólo se puede acceder por medio de una única contraseña maestra que, si se establece correctamente, es tan larga y complicada que memorizar tractos de Los Cuentos de Canterbury parece cosa de niños. Y aunque yo no quiero dar la impresión de que la longitud es una medida importante para todo en la vida, me he dado cuenta que mi contraseña maestra es más larga que la de mi novio.
Lo que hace que esta solución sea efectiva es que el tener contraseñas almacenadas estimula a restablecerlas aleatoriamente en los distintos sitios web. De esa manera, mi novio explicó, si la seguridad de un sitio determinado se ve comprometida, el daño es limitado. Los criminales cibernéticos no podrán tener acceso a mi cuenta de PayPal porque comprometieron la base de datos de AirBnB, a pesar de que podrán cancelar nuestra estancia en un ático encantador durante nuestras vacaciones, pero realmente dudo que exista gente tan malvada …
Los gerentes de contraseñas también ofrecen la posibilidad de “añadir accesorios”, y como detesto hacer las cosas a medias, me interesé en ello. Mi novio pidió un “dongle” – llamado un “YubiKey” – para poner en su llavero, mientras yo opté por descargar una aplicación en mi teléfono llamado “Google Authenticator». Ambas metodologías permiten una medida de seguridad adicional conocida como «autenticación de dos factores», pero mi accesorio me permite aparentar ser un agente de la CIA en lugar de un conserje. Los códigos generados por la aplicación de Google, los cuales se registran periódicamente en el administrador de contraseñas, se autodestruyen cada 30 segundos, así que se ve aún más intrigante.
A pesar de que todo esto ha aliviado mi sensación de inseguridad con respecto a las contraseñas, también ha tenido un efecto secundario inesperado. Cuando veo a un colega entrar una contraseña de siete caracteres de memoria, no puedo evitar pensar cuán pintoresco luce. Todas mis contraseñas, excepto la contraseña maestra, tienen entre 12 y 15 caracteres y se generan aleatoriamente. Hasta saber de memoria más de varias contraseñas parece algo anticuado. Mi nivel de esnobismo digital ha crecido tanto y tan rápidamente, que mi obsesión por un buen café parece algo pueril.
El virus “Heartbleed Bug”, que comprometió el método de cifrado utilizado en aproximadamente dos tercios de todos los sitios web, empeoró aún más las cosas. La vulnerabilidad, descubierta en abril, permitió a los “hackers” robar información de un número incalculable de sitios web. Yo había almacenado alimentos antes de la hambruna y agua antes de la sequía – ¡y estaba lista cuando el Apocalipsis digital llegó!
Esto ha fortalecido mi determinación por protegerme digitalmente aún más. ¿Debería quizás pensar en una instalación de almacenamiento en la nube más segura? O instalar un sistema operativo diferente en mi teléfono que me permita descargar una nueva aplicación para tener opciones de privacidad todavía más granulares? Fue entonces que me di cuenta: mi paranoia digital se había convertido en una enfermedad crónica. Y me temo que pueda ser contagiosa.
Fuente: The Financial Times, 2014.
——————————————————-