Protéjase del Robo de Identidad y los Fraudes Fiscales
mayo 23, 2014
Robo de Identidad y Fraudes Fiscales se juntan en tiempos de declaraciones de impuestos
El fin de año (en Argentina la época de Abril/Mayo) suele venir acompañado del cierre fiscal para muchos individuos y empresas. Sin embargo, el crimen organizado también dice “presente” cuando es tiempo de presentar las declaraciones anuales de impuestos sobre la renta, mediante la presentación de reclamaciones falsas de retornos de impuestos. Lamentablemente esta modalidad se está convirtiendo en una tendencia global.
Mediante el uso de sitios Web que dicen ser aprobados por las autoridades fiscales, los criminales ofrecen falsos servicios de preparación de declaraciones de impuestos en línea. De esta forma, obtienen los datos personales y la información salarial de los contribuyentes desprevenidos.
Otras veces la información no es capturada “en línea”, sino mediante la colaboración de cómplices que trabajan en ancianatos u hogares de cuidado de personas mayores, quienes suelen ser víctimas de robo de identidad y de fraude financiero.
También se han detectado casos de cómplices en escuelas o en instituciones militares que obtienen acceso a la información personal de las víctimas, con la cual pueden hacer reclamaciones fraudulentas al ente fiscal y recibir dinero sin que la víctima se entere, explicó Richard Weber, jefe de la División de Investigaciones Criminales del Servicio de Rentas Internas (IRS por sus iniciales en inglés).
Las autoridades de Estados Unidos han detectado un incremento en esta modalidad de fraude, por lo cual el IRS está orientando más recursos para investigar mejor el «alarmante» aumento de las devoluciones de impuestos* robadas.
En los últimos dos años, el esquema que combina el robo de identidad y el fraude fiscal «rápidamente pasó a ser un problema global». Los investigadores estadounidenses han detectado que organizaciones criminales de Europa del Este están involucradas.
Complicidad Bancaria
«A menudo los delincuentes consiguen cómplices en los bancos para que miren hacia otro lado cuando el criminal cobra varios cheques del [Departamento del] Tesoro con diferentes nombres o aceptando cientos de devoluciones depositadas electrónicamente en una sola cuenta», explicó Weber, en la 11ª Conferencia Anual sobre Antilavado de Dinero y Crimen financiero de ACAMS en Las Vegas.
Un oficial de cumplimiento de un banco neoyorquino indicó que el software antilavado tiene que jugar un papel vital en la detección de estos esquemas de fraude. El software de monitoreo transaccional utilizado por las instituciones financieras debe alertar a los oficiales de cumplimiento si una única cuenta está recibiendo múltiples retornos fiscales, o si el nombre del titular de la cuenta no coincide con el nombre del destinatario del reembolso del ente tributario.
Pero muchas veces «ese no es el problema. Las podemos ver [las transacciones], es sólo que casi siempre es demasiado tarde cuando lo hacemos «, dijo el empleado bancario, quien pidió no ser identificado. «No es como el cumplimiento de las sanciones que la operación se detiene en seco al ponerlas en observación. Vemos [los crímenes de identidad robada y devoluciones fraudulentas] a la mañana siguiente en un informe, y a continuación debemos presentar el reporte actividades sospechosas si es necesario».
Para entonces, los fondos generalmente han sido retirados localmente o transferidos a otra jurisdicción para la organización criminal transnacional, lo que complica los esfuerzos para investigar el fraude y recuperar los activos es improbable, aseguró Martin Ficke, ex jefe de la Fuerza de Tarea El Dorado, un grupo de investigaciones de delitos financieros liderados por agentes de Aduanas y del IRS.
Identificar rápidamente estos crímenes se ve obstaculizado por el hecho de que los bancos no requieren que las personas proporcionen información personal al hacer un depósito directo, precisó el oficial de cumplimiento de Nueva York.
Por su parte, Ficke explicó que las organizaciones criminales internacionales suelen utilizar las cuentas bancarias de cómplices locales (del país donde realizan la estafa) para recibir fondos fraudulentos de reembolsos de impuestos y luego transferir los fondos al extranjero, para eludir el cumplimiento bancario y la detección de las autoridades.
Pero las autoridades están actuando. Hemos adelantado un programa “muy agresivo para infiltrar informantes confidenciales para que podamos subir en la cadena» de mando de las organizaciones, aseguró Weber en Las Vegas. «Es como la investigación de una organización de tráfico de drogas. Si usted va sólo por las mulas de bajo nivel, sólo estás haciendo girar las rueda».
Hablando la semana pasada en una conferencia antilavado de dinero en Nueva York, Weber reiteró que la lucha contra el fraude en las devoluciones fiscales es «una de nuestras principales prioridades». Weber se negó a decir qué regiones de Estados Unidos han sido los más afectadas, pero citó Florida, Alabama y los estados en el Noreste como las áreas con más investigaciones en curso.
En relación al robo de identidad, la cifra de casos reportados es realmente astronómica, ya que en el año fiscal 2011 el número ascendió a 1.125.000, lo que refleja un considerable aumento si se compara con más de 456.000 casos notificados en 2009.
Debido a la gran acumulación de casos, muchas investigaciones no se completan antes de que se inicie la siguiente temporada de impuestos, por lo menos así sucede en Estados Unidos, según Nina Olson, jefe del Servicio de Defensoría del Contribuyente, la agencia federal que supervisa los procedimientos de reembolsos del IRS.
————————————————–
* En Estados Unidos los contribuyentes aportan al fisco durante todo el año una parte de sus salarios. Luego de presentar sus declaraciones, el IRS evalúa los ingresos de cada persona y determina si debe pagar más impuesto o si por el contrario le retorna parte de lo que ha pagado. Esto es lo que se llama “retornos” o “devoluciones” del IRS y son recibidas por la mayoría de las personas entre febrero y abril del siguiente año
Fuente: Moneylaundering.com / Lavadodinero.com -12/11/12.
—————————————————–
Descargue gratuitamente el e-Book: Cuidadado-con-el-Phishing-v2012-10
¿Sabe si le está abriendo la puerta a los hackers?
agosto 11, 2013
Si conecta su puerta a Internet, ¿le está abriendo la puerta a los hackers?
Por Danny Yadron
LAS VEGAS — Daniel Crowley puede abrir una cerradura sin siquiera ver la puerta.
Desde su computadora, Crowley también puede desarmar el sistema de seguridad de una vivienda, abrir la puerta de un garaje y apagar las luces. Sólo necesita que esos aparatos estén conectados a Internet, un paso que los consumidores dan cada vez más seguido para controlar facetas de sus vidas a través de teléfonos inteligentes y tabletas.
Crowley, un joven de 27 años del estado de Texas, con un corte de pelo moderno, no tiene pinta de ladrón. Más bien, el consultor de la firma de seguridad Trustwave Holdings Inc. es uno de los miles de investigadores informáticos —algunos los llaman piratas informáticos o hackers— que llegaron a Las Vegas la semana pasada para hacer alarde de las numerosas formas en que pueden usar la tecnología para hacer cosas terribles.
Actualmente, la piratería informática no está limitada a computadoras o teléfonos inteligentes. Cuando hace poco los hackers chinos atacaron la Cámara de Comercio de Estados Unidos en Washington, se descubrió que un termostato en un edificio de la Cámara enviaba señales a China.
A medida que más aparatos domésticos —estufas, bombillos, e incluso inodoros— pueden ser controlados en línea, ofrecen nuevos caminos para que los hackers hagan daño.
La semana pasada dos investigadores mostraron cómo pueden hacer que un nuevo televisor de Samsung Electronics Co., que cuenta con una cámara, lo observe. Una de ellas mostrará que lo puede hacer incluso su usted cree que el aparato está apagado.
«Samsung toma muy en serio todas las preocupaciones sobre la privacidad del consumidor y la seguridad de la información», indicó la empresa en una declaración escrita. Sugirió, entre otras soluciones, ajustar la cámara para que quede cubierta, o desconectar la televisión de Internet cuando no se usan sus funciones en línea.
Por diversión, Crowley hace poco también tomó el control de un inodoro automático fabricado por Lixil Corp., una firma japonesa, de forma que lo podía hacer tirar la cadena o reproducir música, una de sus funciones promocionadas, controlándolo de forma remota. Lixil no respondió a un pedido de comentarios.
La parte seria es que los llamados electrodomésticos inteligentes presentan desafíos de seguridad distintos a las computadoras. Por un lado, ofrecen una posibilidad de hacer daño físico de una forma que no es posible al leer el e-mail de otra persona. Es más, esos aparatos no suelen recibir la misma encriptación y las pruebas contra hackers que los teléfonos y computadoras.
«A medida que aumentamos la inteligencia de todo, realmente significa más superficies de ataque», indicó Aaron Grattafiori, un investigador en seguridad de iSEC Partners en San Francisco que es uno de los investigadores que hackeo un televisor Samsung.
«Muchas veces los fabricantes se preocupan por el tiempo para llevar un producto al mercado y las fechas límite, y no realizan ningún control de seguridad», sostuvo David Bryan, un consultor en seguridad de Trustware, quien trabajó para la firma estadounidense en el proyecto de ataque informático a una vivienda junto a Crowley.
Bryan y Crowley tomaron control de una variedad de aparatos conectados a una red doméstica que funcionan como centros inalámbricos que pueden usar los consumidores para controlar su casa
Una red, llamada VeraLite, fabricada por la firma de Hong Kong Mi Casa Verde, se conecta con electrodomésticos que usan tecnologías nuevas conocidas como Z-Wave e Insteon para comunicarse con electrodomésticos compatibles.
Los consumidores usan sus redes domésticas de Wi-Fi para controlar los aparatos desde sus computadoras o teléfonos. El problema: esas redes, incluso si tienen contraseñas, usan tecnología que es muy fácil de descifrar.
Crowley afirma que alertó a Mi Casa Verde pero que no arreglaron la falla.
La empresa sostiene que sus aparatos son seguros, según un vocero.
Kwikset, la empresa de cerraduras, no respondió a pedidos de comentarios.
Crowley y Bryan dijeron que depende de las empresas fabricar productos más seguros para vender.
Pero el sentido común también podría tener su papel. «Quizás podrían no conectar algo tan importante como la cerradura de una puerta a la red», indicó Crowley.
Fuente: The Wall Street Journal, 05/08/13.
Descargue gratuitamente el e-Book: Cuidadado-con-el-Phishing-v2012-10
Artículos relacionados:
Protéjase del Robo de Identidad y los Fraudes Fiscales
Sony advierte sobre los riesgos de una nueva era de cibercrimen
La Seguridad de los Datos Personales en Internet
————————————————————
Los cinco ‘hackeos’ más temibles que quizá ni siquiera imaginas
Por Heather Kelly
(CNN) — Si algo puede conectarse a una red, puede hackearse. Las computadoras y los teléfonos son blancos populares, pero también lo son los autos, los sistemas de seguridad doméstica, los televisores y hasta las refinerías petroleras.
Ese fue el mensaje que se transmitió en las conferencias anuales de seguridad para computadoras Black Hat y DefCon, celebradas la semana pasada en Las Vegas. Las conferencias anuales atraen a una mezcla de investigadores sobre computadoras y hackers que presentan los fallos y las vulnerabilidades que descubrieron recientemente. Es una combinación de servicio público, negocio y hobby.
Estos son algunos de los blancos más populares de los que se trató en las conferencias de este año. Al llamar la atención sobre ellos, los “hackers de sombrero blanco” esperan animar a los diferentes fabricantes e industrias a aumentar la seguridad y a los consumidores a prestar más atención.
Típicamente, los presentadores informan a los fabricantes sobre los fallos antes de dar sus conferencias para que las empresas puedan arreglar los problemas antes de que los criminales los aprovechen.
1. Autos a control remoto
El que alguien hackee tu computadora puede ser una molestia. El que alguien hackee tu auto puede ser letal. El viernes pasado se realizaron dos presentaciones sobre el hackeo de autos en la conferencia DefCon. El hacker australiano Zoz enumeró los problemas de seguridad a los que se enfrentarán los autos totalmente autónomos y dijo que su hackeo es inevitable.
Los vehículos autónomos como autos y drones son esencialmente robots y dependen de sensores para funcionar. Dijo que en teoría, un hacker podría apoderarse por completo del control de un auto por medio de las redes inalámbricas o engañar a los distintos sensores para que muestren al conductor datos falsos sobre ubicación, velocidad y proximidad de otros autos u objetos.
Aún faltan varios años para que existan los autos totalmente libres de conductor, pero ya es común encontrar sistemas computarizados en los vehículos que circulan actualmente. Las unidades de control electrónico pueden controlar varias funciones del auto como el frenado, la aceleración y la dirección. Manejan funciones de seguridad, indicadores dentro del auto e incluso cinturones de seguridad.
Los investigadores Charlie Miller y Chris Valasek estudiaron el daño que los hackers podrían hacer a un auto al tomar el control de un Prius, de Toyota, y de un Escape, de Ford, con apoyo de una beca de la Agencia de Investigación de Proyectos Avanzados de Defensa del Ejército de Estados Unidos (DARPA, por sus siglas en inglés).
Para acceder a los sistemas, tuvieron que conectar físicamente una computadora a los autos por medio de un puerto de diagnóstico. Escribieron un software a la medida para poder secuestrar los sistemas de los autos.
Una vez que tuvieron el control, desactivaron los frenos, cambiaron los indicadores para que mostraran velocidades o niveles de gasolina incorrectos y manipularon la dirección y los cinturones de seguridad. Pudieron apagar el motor y jugar con otras características del auto como la bocina y las luces.
Toyota minimizó la demostración y señaló que se están concentrando en las medidas de seguridad para evitar ataques inalámbricos.
2. Poner en riesgo a los smartphones
Los delincuentes cibernéticos solían ganarse la vida con ataques a computadoras personales, lo que propició un lucrativo mercado negro de malware y de los programas antivirus que lo combaten.
El siguiente gran blanco son los smartphones. Los dispositivos móviles no son inmunes a los ataques aunque las tiendas de aplicaciones bien defendidas han mantenido a raya a la mayor parte del malware.
Kevin McNamee demostró que un fragmento de malware pude transformar a un smartphone Android en un “teléfono espía” que vigile a distancia a su dueño y envíe información sobre la ubicación, comunicaciones y contenidos —como fotografías— a un tercero.
La intrusión no es nueva, pero McNamee se las arregló para inyectar el código malicioso en aplicaciones populares como Angry Birds. Una vez instalado, el usuario ignoraría que su teléfono está actuando como un dispositivo de vigilancia a distancia.
Los investigadores de seguridad de iSEC Partners penetraron en las femtoceldas de Verizon —pequeñas cajas que se usan para extender la cobertura del servicio celular— e interceptaron llamadas y otros datos que se enviaron por medio de las redes celulares, como mensajes de texto, imágenes e historiales de exploración. El proveedor de servicios inalámbricos publicó una actualización para reparar todas sus femtoceldas, pero los investigadores dicen que otras redes podrían tener el mismo problema.
Con un equipo con valor de 45 dólares (580 pesos), los investigadores Billy Lau, Yeongjin Jang y Chengyu Song transformaron un aparentemente inofensivo cargador para iPhone en una herramienta para recabar información como contraseñas; correos electrónicos y otras comunicaciones, y datos de localización directamente del smartphone. Apple agradeció a los investigadores y señaló que presentará un remedio para la falla en su actualización de software del iOS 7 que saldrá este año.
3. Un hogar demasiado inteligente
Gracias a los sensores baratos y de bajo consumo de energía, cualquier cosa en casa puede volverse un dispositivo inteligente y puede conectarse a internet para que puedas controlarlo desde una computadora o un smartphone. Los dispositivos de seguridad doméstica tienen el potencial de causar el mayor daño si se los hackea y en dos demostraciones independientes se mostró cómo entrar en una casa al abrir las cerraduras inteligentes de las puertas principales.
Otra tendencia inquietante revelada en las conferencias es la de espiar a las personas sin que se den cuenta a través de sus propias cámaras. Cualquiera que quiera entrar en la casa puede desactivar las cámaras domésticas de seguridad, o las pueden transformar en dispositivos de vigilancia remota. Un investigador demostró lo fácil que es tomar el control de la transmisión de video de un juguete infantil desde una computadora.
Los investigadores Aaron Grattafiori y Josh Yavor encontraron fallos en el modelo 2012 del televisor Samsung Smart TV que les permitió encenderlo y ver una transmisión de video desde la cámara del dispositivo. Samsung señaló que había publicado una actualización de software para reparar el problema. (Muchos expertos en seguridad sugieren que coloques un trozo de cinta sobre cualquier cámara si no quieres que te observen, solo por si acaso).
4. Los hackers se lo toman personal
Incluso tras las revelaciones que la NSA hizo este año, es perturbador pensar en un dispositivo casero de vigilancia que detecte fragmentos de datos procedentes de tus diversos dispositivos de cómputo aún cuando no estén en línea.
Brendan O’Connor, quien dirige una empresa de seguridad y está terminando la carrera de Derecho, creó ese dispositivo al que llamó CreepyDOL (DOL significa localizador de objetos distribuidos, creepy significa perturbador). Fabricar el dispositivo costó 57 dólares (730 pesos) y consiste en una computadora Raspberry Pi, un puerto USB, dos conexiones para wi-fi, una tarjeta SD y una batería USB dentro de una caja negra común.
Las computadoras y los teléfonos actúan como dispositivos de rastreo y filtran información constantemente, de acuerdo con O’Connor. Cuando se conecta, el CreepyDOL detecta a los teléfonos y computadoras cercanos y los usa para rastrear la ubicación de las personas y sus patrones, descubre quienes son, a dónde van y qué hacen en línea.
Para demostrar el dispositivo sin violar la ley, O’Connor mostró cómo uno de los dispositivos detectó su propia información. Por medio de un motor de juegos y de Open Street Maps, se colocó sobre su punto en un mapa. Surgió su nombre, su dirección de correo electrónico, una foto, el nombre del sitio de citas que usaba, detalles sobre sus dispositivos y los lugares que frecuenta en la ciudad.
En el peor de los casos —como lo imaginó O’Connor— un malhechor podría conectarse a alguno de los dispositivos que haya en cualquier Starbucks cerca de un edificio en la capital para detectar a un senador y esperarlo a que haga algo comprometedor.
“Encuentras a alguien que tenga poder y lo explotas”, dijo O’Connor.
La sencillez de la creación es notable. Es probable que otras personas tengan conocimientos y equipos similares que exploten las mismas fallas de seguridad en aplicaciones, sitios web, dispositivos y redes.
5. Complejos industriales
Lo más atemorizante fue que en la conferencia se puso énfasis en blancos totalmente diferentes a las personas.
La infraestructura estratégica, como las tuberías de petróleo y gas o las plantas de tratamiento de agua son blancos potenciales para los hackers. Muchas industrias se controlan con sistemas de control de supervisión o de adquisición de datos (SCADA).
Los sistemas son más viejos, fueron instalados en una época en la que no se temía a los ataques cibernéticos y se conectan a internet por medio de un protocolo de red no seguro.
La primera razón por la que los sistemas están conectados es para que sean fáciles de monitorizar. Algunos, como las tuberías de petróleo, se encuentran en lugares remotos.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric Forner hicieron una representación de un hackeo a un pozo petrolero falso y usaron unas bombas y un contenedor lleno con un líquido color azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e hicieron que se desbordaran los contenedores al introducir datos falsos en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo industrial a 65 kilómetros de distancia por medio de un radiotransmisor, de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su demostración introdujeron medidas falsas, lo que provocó que el dispositivo que las recibió se comportara de forma extraña. Por ejemplo, alguien podría provocar que un tanque de agua desbordara al fingir una temperatura anormalmente elevada.
Las industrias y el gobierno estadounidenses están conscientes de la vulnerabilidad de los sistemas industriales, pero la lejanía y la antigüedad hacen que la actualización sea costosa y difícil. No hay un sistema integrado por medio del que se pueda transmitir software de reparación como en el caso de las computadoras personales.
En varias demostraciones en las conferencias se demostró lo sencillo que es hackear los sistemas de energía.
Los investigadores Brian Meixell y Eric Forner hicieron una representación de un hackeo a un pozo petrolero falso y usaron unas bombas y un contenedor lleno con un líquido color azul verdoso. Entraron al sistema, apagaron y encendieron las bombas e hicieron que se desbordaran los contenedores al introducir datos falsos en el sistema. Si eso ocurriera en un pozo petrolero real, el hackeo podría provocar una catástrofe ambiental, según los investigadores.
Es posible apagar todo un complejo industrial a 65 kilómetros de distancia por medio de un radiotransmisor, de acuerdo con los investigadores Carlos Penagos y Lucas Apa. En su demostración introdujeron medidas falsas, lo que provocó que el dispositivo que las recibió se comportara de forma extraña. Por ejemplo, alguien podría provocar que un tanque de agua desbordara al fingir una temperatura anormalmente elevada.
Las industrias y el gobierno estadounidenses están conscientes de la vulnerabilidad de los sistemas industriales, pero la lejanía y la antigüedad hacen que la actualización sea costosa y difícil. No hay un sistema integrado por medio del que se pueda transmitir software de reparación como en el caso de las computadoras personales.
Fuente: CNN México, 06/08/13.
————————————————————————————-
¡Cuidado!, un hacker podría abrir su puerta
Lo conocen como Cody, tiene 24 años y asegura que ha encontrado la llave maestra para abrir millones de cerraduras electrónicas de los hoteles de todo el mundo.
Su nombre es William Brocious, hacker que, con menos de $50 y un poco de programación, fue capaz de crear un sistema para tener acceso, sin dejar huella, para abrir las puertas de los hoteles, protegidas con tarjetas magnéticas.
El hackeo fue demostrado por Brocious, desarrollador de software de Mozilla, en la conferencia Black Hat Security, en Las Vegas, a inicios de agosto.
Es la reunión mundial de hackers más popular que se realiza cada año desde 1992 y a la que asisten miles de piratas informáticos interconectados, en la que se considera la red más peligrosa y hostil en cuanto a software se refiere.
Según el hacker, al menos 4 millones de cuartos de hotel protegidos por el sistema de tarjetas magnéticas de Onity han sido vulnerados con su invento.
Él asegura que el problema no se puede arreglar fácilmente. Se necesita actualizar el firmware y, para asegurarse de que no vaya a entrar un amigo de lo ajeno, hay que cambiar la cerradura electrónica de cada habitación.
El sistema desarrollado por este experto informático consiste en un dispositivo que funciona como tarjeta universal para abrir cualquier puerta con un sistema de bloqueo de la empresa Onity, líder en el sector.
El dispositivo hace las veces de ganzúa que se introduce en el cerebro de la cerradura y que lee el código magnético.
Al respecto, los directivos de Onity dijeron que estarán atentos al trabajo de Brocious y que solucionarán los posibles problemas que causen su hallazgo, debido a que la empresa tiene alrededor de 10 millones de cerraduras instaladas en hoteles de todo el mundo.
«Vamos a revisar y analizar la presentación y cualquier otra información que se publica sobre este tema», dijo la compañía a la BBC en un comunicado.
En la cita de Las Vegas, el hacker dijo que había descubierto que la memoria de cada cerradura estaba expuesta a cualquier dispositivo que intente leerlo a través de un puerto de alimentación. Pero no todas las pruebas fueron satisfactorias.
La revista Forbes lo llevó a un hotel de Nueva York para que demostrara su invento. Después de probar su dispositivo en tres puertas, solo pudo abrir una.
Según dijo, la falla se debió a un problema de sincronización porque debe hallar una ventana de escasos segundos para abrir las cerraduras.
Brocius descubrió que las cerraduras también pueden ser abiertas cuando se agota su batería y reveló que hizo sus hallazgos mientras trabajaba como director de Tecnología de la empresa Plataforma Unificada de Gestión, que busca competir con los grandes de la industria de cerraduras de hotel.
Fuente: hoy.com.ec, 03/09/12.
El hacker Cody.
Un gato peligroso: El Dr. Zaius
abril 26, 2013
No creerá lo adorable que es este gato, haga clic para ver más
Por Geoffrey A. Fowler
Empleados, tengan cuidado. No caigan en las garras de un gato llamado Dr. Zaius.
Un correo electrónico con el encabezado «¡Mire estos gatitos! :-)» y con una foto de un gato angora turco con pelo violeta ha sido enviado a casi dos millones de empleados hasta ahora. Incluye un archivo adjunto o enlace que promete más fotos de felinos. Los que hacen clic se encuentran con una sorpresa: una advertencia severa del departamento de soporte técnico de su respectiva compañía.
El e-mail de Dr. Zaius es un simulacro de ciberataque y forma parte de las estrategias que las empresas están usando para entrenar a sus empleados a no caer tan fácilmente en trampas electrónicas. La idea es que al persuadirlos para que realicen acciones no seguras aprendan a ser más cautelosos.
Muchas violaciones importantes a las redes no comienzan con un sofisticado código de hacker sino con empleados que son engañados por la llamada ingeniería social, la cual manipula a la gente para que revele información confidencial. Por lo tanto, que las compañías están intentando lograr que los trabajadores se porten mal antes que los criminales entren en acción.
«Es un servicio para atrapar a alguien con las manos en la masa», dice Tom DeSot, vicepresidente ejecutivo de Digital Defense Inc. de San Antonio, cuyos 10 mercenarios de confianza —»hackers éticos» como se los conoce en la jerga del rubro— idean ataques para explotar las debilidades humanas. Su objetivo, sostiene, no es que nadie sea despedido o se meta en problemas, sino ayudar a todos los empleados a aprender las técnicas que también usan los hackers maliciosos.
En 2005, el estado de Nueva York envió un e-mail de phishing o engañoso a 10.000 empleados y contratistas. El mensaje instaba a divulgar contraseñas en un sitio web al que los redirigía. La primera vez, 15% cayó en la trampa, pero la segunda vez, sólo 8%, explica Will Pelgrin, quien realizó la prueba en su rol de jefe de seguridad de información en ese momento y ahora es presidente ejecutivo del Centro de Seguridad en Internet en East Greenbush, estado de Nueva York.
PhishMe Inc., la empresa con sede en Chantilly, Virginia, que creó los e-mails del Dr. Zaius y otros simulacros de ataques cibernéticos que las empresas pueden usar para hacer pruebas, afirma que los clientes han usado sus servicios para enseñarles una lección a 3,8 millones de empleados.
A Ryan Jones, quien dirige media decena de hackers éticos en Trustwave Holdings Inc., una compañía de seguridad digital en Chicago, le gusta dejar memorias portátiles y CD en los baños, estacionamientos y cafés cercanos a empresas que lo contratan. A menudo, le agrega el logo de la compañía cliente o el de un competidor o una etiqueta que diga «confidencial».
Casi siempre, un empleado encuentra uno de los señuelos y lo conecta a una computadora. «Comienza por la curiosidad», dice. «Es parecido al motivo por el cual la gente mira reality TV: quieren ver qué pasa en las vidas de las personas».
Los dispositivos de Jones contienen software que se apodera de la computadora y toma control de las cámaras incorporadas para sacar fotos de los empleados.
Para identificar las debilidades de seguridad, su arsenal incluye simulacros de ataques en persona, en los que engaña a otros para ingresar a oficinas y tener acceso a sistemas sensitivos. Jones tiene una variedad de disfraces, incluyendo uniformes de mensajero y bombero. Varias veces ha usado exitosamente muletas para lograr entrar por puertas bajo llave con al ayuda de alguien demasiado atento.
Los hackers éticos sacan ventaja de los pecados virtuales de la vida en la oficina.
La envidia y la curiosidad, por ejemplo, son los factores en el corazón del atractivo de uno de los engaños por e-mail más potentes del cofundador de PshishMe, Aaron Higbee, este año. Primero, un empleado recibe un e-mail supuestamente de un alto gerente, con un archivo adjunto sobre potenciales bonificaciones para una cantidad de personas. Luego llega otro e-mail que intenta «retirar» el primero.
«Eso genera curiosidad», afirma Higbee sobre los mensajes. Abrir un archivo adjunto o enlace en el correo activa el software de PhishMe. Lo correcto ante esta situación, como en otras, es consultar con quien lo envió o con el departamento de soporte técnico de la empresa.
Fuente: The Wall Street Journal, 22/04/13.
Ryan Jones, directivo de una empresa de seguridad digital, usa muletas o se disfraza de mensajero para ganar acceso a áreas sensitivas en empresas y demostrarles a sus clientes cuan vulnerables son.
Un gato con pelo púrpura es usado como señuelo para entrenar a los empleados a no caer en trampas cibernéticas.
Sony advierte sobre los riesgos de una nueva era de cibercrimen
mayo 18, 2011
Sony advierte sobre los riesgos de una nueva era de cibercrimen
Por Daisuke Wakabayashi
TOKIO — A pesar de dedicar semanas a resolver una grave falla de seguridad en Internet, el presidente ejecutivo de Sony Corp., Howard Stringer, dijo que no puede garantizar la seguridad de la red de videojuegos de la compañía ni de ningún otro sistema en la web en «el mundo malvado» actual del cibercrimen.
Los comentarios de Stringer en una entrevista telefónica el martes con The Wall Street Journal, antes de una mesa redonda con periodistas en Nueva York, se producen luego de un mes que ha puesto a prueba a Sony. El pasado fin de semana, la compañía restauró parcialmente dos de sus sistemas de videojuegos en línea y un servicio para escuchar música y ver películas, después de que estuvieran inhabilitados durante varias semanas debido a que un ataque de piratas informáticos comprometió la información personal de más de 100 millones de usuarios.
Si bien Sony ha restaurado parte del PlayStation Network (PSN), un sistema de juegos en línea para su consola de videojuegos PlayStation 3, en Estados Unidos y Europa y ha reforzado las medidas de seguridad, Stringer, de 69 años, dijo que garantizar la seguridad del servicio es un «proceso interminable» y que no sabe si hay alguno que sea «100% seguro».
Stringer señaló que la violación de la seguridad en PSN, Sony Online Entertainment (SOE), un servicio de juegos en línea para usuarios de computadoras personales, y Qriocity, su red para ver en línea videos musicales y películas, podría traducirse en problemas más grandes más allá de Sony y la industria de los videojuegos. Advirtió que los ataques cibernéticos podrían en algún momento dirigirse contra el sistema financiero global, las redes eléctricas o los sistemas de control del tráfico aéreo. «Desafortunadamente, es el comienzo; o cómo serán las cosas en el futuro», dijo Stringer. «No es un nuevo mundo valiente, sino un nuevo mundo malvado», señaló.
En la entrevista y la mesa redonda Stringer hizo sus primeros comentarios públicos sobre los problemas de seguridad, además de la carta que difundió el 5 de mayo en el blog de Playstation, en la que pedía disculpas por los inconvenientes causados por la suspensión de los dos servicios.
Los problemas que rodean la red de videojuegos, películas y música de Sony representan un duro golpe para la estrategia de Stringer, que consiste en unir sus productos de hardware con los contenidos de su negocio de entretenimiento. Ha seguido esa visión desde que en 2005 fue nombrado como el primer presidente ejecutivo no japonés de la compañía, al considerarla esencial para la supervivencia de Sony y la competencia con la gama de productos de Apple Inc., conectados a la biblioteca y tienda iTunes.
La situación también ha desatado críticas contra Stringer, dejando en un segundo plano el repunte de las ganancias de Sony luego de dos años de pérdidas. Stringer dijo que era demasiado prematuro para evaluar el impacto financiero de la interrupción del servicio. Sony anunciará sus resultados anuales el 26 de mayo.
Kazuo Hirai, el director de las divisiones de videojuegos y de electrónicos de consumo de Sony y la opción de Stringer para sucederlo al frente de la compañía, ha estado en la primera línea tratando de restaurar los servicios e investigar el robo de datos, que incluye nombres de los titulares de cuentas, direcciones y, posiblemente, información sobre sus tarjetas de crédito.
Stringer aseguró que la experiencia de Hirai con PSN le permitió restaurar el servicio «más rápido que nadie». Stringer, cuyo apoyo a la estrategia de la red no ha disminuido, agregó que su rol consistió en plantear las preguntas difíciles y armar un equipo que consiguiera resolver la situación.
En otra entrevista, Hirai afirmó que Sony hizo todo lo posible para asegurar que sus sistemas en línea sean seguros. Si un pirata informático elude esas medidas de seguridad, hay salvaguardas instaladas para impedir que acceda a los datos de Sony.
Stringer mostró su desacuerdo con las críticas de políticos y defensores de la privacidad en Internet que sostienen que la compañía debió haber alertado antes a los suscriptores de que había una posibilidad de robo de información personal.
Sony cerró PSN el 20 de abril cuando detectó evidencias de una intrusión no autorizada y de una posible transferencia de datos desde sus servidores, pero no reveló el problema a los usuarios hasta seis días después. La compañía dijo que hasta el 25 de abril no supo en forma concluyente que los intrusos habían accedido a información personal. Stringer afirmó que hablar públicamente sobre las sospechas de la compañía sin pruebas hubiese sido «irresponsable».
Fuente: The Wall Street Journal, 17/05/11.
,l
Descargue gratuitamente el e-Book: Cuidadado-con-el-Phishing
Más información:
https://www.economiapersonal.com.ar/2011/05/03/la-seguridad-de-los-datos-personales-en-internet/
https://www.economiapersonal.com.ar/2010/06/10/evite-el-phishing/
La Seguridad de los Datos Personales en Internet
mayo 3, 2011
La Seguridad de los Datos Personales en Internet
Cada día ingresamos más información personal, de carácter confidencial, semi-confidencial o aparentemente inocua, a diversas Bases de Datos de la web. Esta información debidamente recopilada puede ser usada por criminales para cometer diversos tipos de delitos como Robo de Identidad, Robo de fondos de cuentas on-line, Lavado de Dinero, Fraudes, etc. A fin de mejorar la seguridad de nuestra información y evitar será víctima de los criminales cibernéticos le ofrecemos en forma gratuita el siguiente e-Book con recomendaciones a seguir:
Descargue gratuitamente el e-Book: Cuidadado-con-el-Phishing
– – – – – – –
Hacker roba datos de usuarios de PlayStation
Por Nick Wingfield, Ian Sherr y Ben Worthen
Los nombres, fechas de nacimiento y números de tarjetas de crédito de 77 millones de personas que juegan videojuegos en línea a través de la consola PlayStation, de Sony Corp., fueron probablemente robados por un pirata informático o hacker este mes. El caso podría convertirse en uno de los mayores hurtos de datos de la historia.
Sony, cuya red de juegos en línea no ha operado durante seis días, reveló el martes que entre el 17 y el 19 de abril se produjo «una intrusión ilegal y no autorizada» en los sistemas de la compañía y provocó la pérdida de una serie de informaciones personales que podrían ser utilizadas para el robo de identidades.
PlayStation Network es usado por los dueños de la popular consola para jugar entre sí, comunicarse en línea y mirar películas o programas de televisión transmitidos desde Internet. Sony advirtió a los usuarios que la información comprometida puede incluir direcciones, historial de compras e información sobre las cuentas de los niños.
Favorecidos por las rápidas conexiones a Internet, los servicios de juegos en línea se han transformado en centros sociales para decenas de millones de personas que pasan horas compitiendo y cooperando en búsquedas de fantasía, misiones de combate y otras actividades. La mayoría de los títulos de Playstation 3 y de Xbox 360, de Microsoft Corp., tienen componentes en línea.
Sony advirtió a los miembros del PlayStation Network y de un servicio de entretenimientos relacionado, llamado Qriocity, que deben vigilar de cerca los estados de cuenta de sus tarjetas de crédito para detectar pagos no autorizados y ponerse en guardia contra fraudes facilitados por la pérdida de información personal.
«Aunque en este momento no hay pruebas de que se hayan tomado datos de tarjetas de crédito, no podemos descartar la posibilidad», dijo Sony en un blog de la compañía. Agregó que había alertado a los usuarios que los números y fechas de vencimiento de las tarjetas de crédito podrían haber caído en las manos de los hackers.
Mientras tanto, el PlayStation Network sigue sin funcionar, generando frustración entre los jugadores que lo utilizan para embarcarse en batallas en línea con otros dueños de consolas PlayStation 3. En el blog, el portavoz de Sony, Patrick Seybold, manifestó que la compañía tiene «un camino claro» para restaurar «algunos servicios en una semana». «Estamos trabajando día y noche para asegurarnos de que esto se haga lo más pronto posible», aseveró.
El incidente supone un contratiempo mayor para el gigante japonés, que está inmerso en una dura batalla contra Microsoft, Nintendo Co. y otras compañías en el mercado de los videojuegos. La falla de seguridad también pone en evidencia la gran cantidad de información que está almacenada en los servicios de los juegos en línea.
E.J Hilbert, ex agente de la Oficina Federal de Investigaciones de Estados Unidos (FBI) y actual vicepresidente de la empresa de consultoría de Seguridad Arixmar, consideró que el riesgo para las cuentas de 77 millones de usuarios es «enorme».
Sony declinó referirse a las pistas que puede haber obtenido respecto a quiénes perpetraron el ataque informático, luego de conducir su propia investigación con la asesoría de una empresa de seguridad externa. Un portavoz de Sony no quiso revelar si la empresa está trabajando con las agencias del orden en este asunto.
Una vocera de la oficina de San Francisco del FBI dijo que podría tener información adicional en el transcurso de esta semana.
El ataque contra Sony es el más reciente de una serie de violaciones a los sistemas de seguridad de las empresas. La firma de marketing Epsilon Data Management LLC, filial de Alliance Data Systems Corp., anunció hace uno días que un grupo de hackers podría haber robado los nombres y direcciones de correo electrónico que gestiona para clientes como el banco J.P. Morgan Chase & Co.
El ataque se produce después de que Sony irritara a algunos grupos al presentar una demanda en enero contra un joven hacker, George Hotz, que había difundido maneras para que los usuarios desbloquearan su consola PlayStation. La empresa llegó posteriormente a un acuerdo extrajudicial con Hotz.
El bloqueo de PlayStation Network, en tanto, ha frustrado a sus miembros, muchos de los cuales han acudido a redes sociales como Facebook y Twitter en los últimos días para ventilar sus quejas sobre la falta de información. Sony indicó en un inicio que ciertas funciones del PlayStation Network estaban fuera de servicio y luego informó que demoraría uno o dos días en resolver el problema.
Fuente: The Wall Street Journal, 27/04/11.
