La ingeniería social es uno de los trucos más antiguos de los hackers: manipular a una víctima para que entregue su información o instale malware. La forma más común de abordar a las víctimas es a través de un correo electrónico de phishing, un mensaje de texto o una llamada telefónica y el diseño de las campañas está potenciado y optimizado por las herramientas de la inteligencia artificial generativa (GenAI) desde que estas tecnologías se masificaron. Desde ESET, compañía líder en detección proactiva de amenazas, advierten que los cibercriminales ya convirtieron en actor malicioso a la misma GenAI. Puntualmente en X (antes Twitter), lograron engañar al chatbot Grok (la IA de X) para que difunda links de phishing en su cuenta de X.

En esta campaña, los cibercriminales eluden la prohibición de X de incluir enlaces en los mensajes promocionados (diseñada para luchar contra la publicidad maliciosa) mediante la publicación de vídeos llamativos. Es el tipo de ataque en el que los actores de amenazas dan instrucciones maliciosas disfrazadas de comandos de un usuario legítimos, incluyen su enlace malicioso en campo «from» debajo del vídeo, y preguntan a Grok de dónde procede el vídeo. Grok lee el mensaje, detecta el pequeño enlace y lo amplifica en su respuesta, dándole una falsa sensación de legitimidad, al ser replicado por la misma cuenta verificada del chatbot.

“Este caso no es solo un problema de X/Grok. Las mismas técnicas podrían aplicarse teóricamente a cualquier herramienta GenAI/LLM integrada en una plataforma de confianza. Esto pone de relieve el ingenio de los actores de las amenazas para encontrar la manera de eludir los mecanismos de seguridad. Pero también los riesgos que corren los usuarios al confiar en los resultados de la IA”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Pie de imagen: “Grok publica links maliciosos y amplifica la reputación de dominio malicioso.

Pie de imagen: Cuentas de malvertising bombardean de contenido. El valor From es el link malicioso.

Pie de imagen: Dominio malicioso amplificado por Grok.

¿Por qué es peligrosa esta técnica?

• Este truco convierte a Grok en un actor malicioso, al incitarle a volver a publicar un enlace de phishing.

• Estas publicaciones de vídeo pagadas suelen alcanzar millones de impresiones, propagando potencialmente estafas y malware por todas partes.

• Los enlaces también se amplificarán en SEO y reputación de dominio, ya que Grok es una fuente de gran confianza.

• Los equipos de investigación encontraron cientos de cuentas que repetían este proceso hasta que fueron suspendidas.

• Los propios enlaces redirigen a formularios de robo de credenciales y descargas de malware, lo que podría llevar a la toma de la cuenta de la víctima, robo de identidad y más.

“La IA es un potenciador de la ingeniería social en dos sentidos. Por un lado, los grandes modelos lingüísticos pueden ser usados para el diseño de campañas de phishing muy convincentes a gran escala, con audios y videos falsos que logran engaños más verídicos que pueden engañar al usuario más escéptico. Por otro lado, este nuevo descubrimiento del abuso del chatbot de X (grok) dio lugar a esta técnica apodada «Grokking*», que sería una forma distinta de aprovechamiento de la GenAI por los cibercriminales”, agrega Gutiérrez Amaya de ESET.

Este tipo de ataques va en aumento. La empresa de análisis Gartner afirmaba recientemente que un tercio (32%) de las organizaciones había experimentado una inyección puntual durante el año pasado. Hay muchos otros escenarios potenciales en los que podría ocurrir algo similar al caso de uso de Grok/X.

Los mensajes maliciosos pueden ocultarse a la vista, en texto en blanco, metadatos o incluso caracteres Unicode. Cualquier GenAI que busque datos disponibles públicamente para ofrecer respuestas también es vulnerable al procesamiento de datos «envenenados» para generar contenido malicioso. Hay un número ilimitado de variaciones de esta amenaza. Desde ESET comentan que lo más importante es no confiar ciegamente en los resultados de ninguna herramienta GenAI.

Desde ESET acercan las siguientes recomendaciones:

• Si un bot GenAI presenta un enlace, pasar el mouse por encima para comprobar su URL de destino real. No hacer clic si se tienen dudas de su legitimidad.

• Ser siempre escéptico con los resultados de la IA, especialmente si la respuesta/sugerencia parece incongruente.

• Utilizar contraseñas fuertes y únicas (almacenadas en un gestor de contraseñas) y autenticación multifactor (MFA) para mitigar el riesgo de robo de credenciales.

• Asegurarse de que todo el software y los sistemas operativos de los dispositivos/ordenadores están actualizados, para minimizar el riesgo de explotación de vulnerabilidades.

• Invertir en software de seguridad multicapa de un proveedor de confianza para bloquear descargas de malware, estafas de phishing y otras actividades sospechosas en su máquina.

“Las herramientas de IA integradas han abierto un nuevo frente en la larga guerra contra el phishing. Asegúrate de no caer en la trampa, cuestiona siempre y nunca des por sentado que tiene las respuestas correctas”, concluye el investigador de ESET.

ESET, compañía líder en detección proactiva de amenazas, comparte las 5 principales técnicas que se utilizan para el robo de credenciales y comparte buenas prácticas para evitar caer en engaños.

Las credenciales bancarias representan uno de los activos más valiosos para las personas: obtenerlas significa para los cibercriminales tener en sus manos la llave que abre una caja fuerte virtual, y disponer del dinero de sus víctimas. Para ello, emplean diversas técnicas que, en caso de encontrar a usuarios desprotegidos, desprevenidos o descuidados, suelen dar sus frutos. ESET, compañía líder en detección proactiva de amenazas, repasa cuáles son las 5 técnicas principales y de qué manera es posible protegerse del robo de una información tan sensible como crítica.

ESET comparte las cinco principales estrategias que utiliza el cibercrimen para robar las claves bancarias, y de qué manera es posible protegerse de estos ataques:

1. Sitios falsos: Los estafadores emplean una URL que incluye el nombre del banco y que hasta tiene una apariencia similar al oficial. El nombre del sitio suele ser casi idéntico al nombre que utiliza el banco en sus cuentas de Twitter e Instagram, con una mínima diferencia (puede ser a veces de una sola letra). De hecho, una búsqueda en Google puede llevar a estos sitios fraudulentos que logran aparecer entre los primeros resultados de búsqueda, muchas veces en forma de anuncios.

Ya en el sitio falso, la estética y el diseño son idénticos a los de la página oficial. Y para acceder al supuesto homebanking es que incluye los campos en los que las víctimas deben ingresar credenciales de inicio de sesión, que en realidad serán para ciberdelincuentes. Una vez que la persona ingresa su nombre de usuario y contraseña, el sitio suele simular que verifica los datos entregados, cuando en ese tiempo en realidad los cibercriminales inician sesión con las credenciales robadas en el sitio legítimo del banco.

Recientemente se identificaron dos sitios falsos que se hacían pasar por la web oficial del Banco Itaú (reconocida entidad con presencia en varios países de América Latina), con el objetivo de robar las credenciales bancarias de clientes en Argentina y también en Brasil. En casos como este es necesario aclarar que el banco también es víctima, ya que se utiliza su nombre para engañar a sus clientes. De hecho, en la página oficial la entidad comparte diversos consejos para evitar que las personas caigan en distintos tipos de fraudes en su nombre.

Pie de imagen: Sitio falso que suplanta la identidad de Banco Itaú apuntando a personas de Argentina.

Sitios comprometidos previamente: Otra vía utilizada por los cibercriminales es comprometer sitios previamente para desde allí obtener las credenciales bancarias de usuarios y usuarias. Los cibercriminales pueden explotar una vulnerabilidad en scripts o plugins agregados que no se encuentren actualizados, o bien aquellas fallas de seguridad que no han sido descubiertas. Así, pueden agregar una redirección desde el sitio víctima hacia el sitio del atacante, desde el cual podrán obtener las credenciales. Por otra parte, los atacantes muchas veces crean una página apócrifa dentro del sitio web oficial, que se hace pasar por entidad. Una vez que las víctimas se encuentran dentro de estas páginas falsas es muy probable que se solicite ingresar los datos bancarios.

2. Malware: El malware ha evolucionado a pasos agigantados, de hecho se comercializan diferentes tipos de códigos maliciosos. Los troyanos bancarios, con gran presencia en toda la región, han causado daños por una cifra que asciende a los 110 millones de euros. Mekotio, Casbaneiro, Amavaldo o Grandoreiro son solo algunas de las familias capaces de realizar distintas acciones maliciosas, pero que se destacan puntualmente por suplantar la identidad de bancos mediante ventanas emergentes falsas y así robar información sensible de las víctimas.

Pie de imagen: Ejemplo de un correo electrónico que contiene un enlace malicioso que descarga el troyano Mekotio.

Hay distintas maneras en que los cibercriminales pueden colocar ese tipo de malware en los equipos de sus víctimas. Por un lado, mediante correos de phishing o mensajes de texto. También a través de anuncios maliciosos, el compromiso de un sitio web que recibe muchas visitas (ciertos códigos maliciosos se descargan automáticamente y se instalan en el equipo apenas el usuario visita el sitio) y hasta puede estar oculto en aplicaciones móviles maliciosas que simulan ser legítimas.

3. Llamadas telefónicas: Dado que los estafadores son profesionales en su rubro y suelen contar historias de manera muy convincente, se valen de la ingeniería social para engañar y robar información sensible, como las claves de acceso del banco. Los atacantes pueden llegar a la víctima mediante llamadas telefónicas masivas, con el único objetivo de lograr una comunicación más personal que a través de un correo electrónico: así la manipulación es más fácil de llevar a cabo. Como excusa de llamada pueden utilizar el informar sobre algún problema puntual con la cuenta bancaria o de un movimiento fraudulento asociado a la víctima. Para la supuesta resolución es que solicitarán información personal y las claves de acceso a la cuenta.

Otra excusa utilizadas para este tipo de engaño fue el pago de un bono por parte del Ministerio de Desarrollo Social en la Argentina (que pedía los accesos del banco para entregarlo), pero también hay engaños que incluyen hacerse pasar por el servicio de atención al cliente de un banco o entidad reconocida. De hecho, son varias las entidades bancarias las que en su sitio web advierten de esta amenaza y brindan información muy útil de prevención para sus usuarios y usuarias.

4. Perfiles falsos en redes: Otra táctica común y muy eficiente es el crear perfiles falsos en las redes sociales (léase Facebook, Instagram o Twitter), y desde allí llevar a cabo el engaño que termine en la obtención de credenciales de acceso bancario de víctimas desprevenidas o desinformadas.

Hay múltiples ejemplos en Twitter e Instagram que evidencian cómo los estafadores monitorean los comentarios que hacen los usuarios con ciertas palabras clave o cuando etiquetan a un perfil verificado. Se valen de la urgencia que generalmente llevan estos mensajes (suelen ser reclamos o algún tipo de inconveniente a resolver) y a través de estos perfiles falsos (sin marca de verificación) envían mensajes directos haciéndose pasar por la cuenta oficial del banco. Tal es así que utilizan el mismo logo y una variación del nombre oficial, y hasta ofrecen el contacto del servicio de atención al cliente o bien piden un número de contacto. Finalmente, las víctimas son contactadas por falsos representantes de atención al cliente que buscarán extraer información, como claves de acceso, tokens u otros datos para poder acceder a sus cuentas y vaciarlas.

Pie de imagen: Diversos ejemplos de cómo los cibercriminales suplantan la identidad de entidades bancarias en las redes sociales.

5. Scraping: El scraping o “rascado” funciona una vez que una persona empieza a seguir la cuenta oficial de un banco en redes sociales para realizar una consulta, los ciberatacantes la contactan por privado, de manera inmediata, haciéndose pasar por el banco en cuestión. Si la víctima responde el mensaje sin verificar que se trata de una cuenta real o falsa, el supuesto asesor pedirá un número de teléfono para continuar con la consulta por esa vía. Allí utilizarán toda la información disponible en las redes sociales e internet en general para hacerle creer a la víctima de que realmente es un colaborador del banco y que está allí para darle soporte. Una vez que la víctima entra en confianza, el supuesto asesor pedirá la información bancaria, que le servirán para vaciar la cuenta.

Desde ESET comparten buenas prácticas que permiten reducir sensiblemente el riesgo de ser víctima de estafas:

• Verificar la dirección web visitada y confirmar que es la correcta.

• Comprobar que el sitio web tenga un certificado de seguridad válido, firmado por la compañía que dice ser.

• No brindar información personal o financiera, si no se cuenta con la seguridad de que el sitio web es legítimo.

• No divulgar ningún detalle por teléfono, incluso si la persona del otro lado suena convincente. Consultar de dónde están llamando y luego volver a llamar a esa organización para verificar. Es clave no utilizar los números de contacto proporcionados por esa persona.

• No hacer clic en enlaces ni descargar archivos de correos electrónicos, mensajes de redes sociales, mensajería instantánea (WhatsApp, Telegram), o de texto sospechosos o de remitentes desconocidos.

• Siempre utilizar software de seguridad para proteger el equipo contra el malware y otras amenazas, y mantenerlo actualizado.

• Descargar aplicaciones de tiendas oficiales, como la App Store o Google Play.

Los engaños de ingeniería social siguen vigentes y, en este sentido, la suplantación de identidad para obtener algún rédito monetario aumentó en redes sociales. ESET, compañía líder en detección proactiva de amenazas, explica cómo funciona la estafa y comparte consejos para evitar caer en estos engaños.

De manera de entender cómo los usuarios actuaban frente a estos engaños, el investigador de ESET, Jake Moore decidió clonar su propia cuenta, con un teléfono de repuesto y tomando cuatro capturas de pantalla de su cuenta original para imitar el accionar de los cibercriminales. La única diferencia en su nueva cuenta, además de la cantidad de seguidores, fue un cambio en la biografía en la que incluyó un texto que decía “CUENTA NUEVA DESPUÉS DE PERDER EL ACCESO A LA ORIGINAL”.

Luego, comenzó a seguir a 30 de sus amigos, 10 de cuentas privadas, por lo que requerían aceptación, y 20 cuentas públicas. “Esperaba que alguien me contactara a través de un método de comunicación diferente y cuestionara esta solicitud, particularmente debido al rol en el que me desempeño laboralmente y a la vergüenza a la que podría haber sido sometido, aunque comprendiendo también que todos somos susceptibles a un compromiso de cuenta. Pero nadie lo hizo. De hecho, los números aumentaron”, comentó Jake Moore.

Replicando el accionar de los ciberdelincuentes, les envió un mensaje a sus seguidores, agradeciendo por aceptar la nueva solicitud y mencionando el incidente, lamentándose también que habían atacado sus cuentas bancarias y que no contaba con dinero hasta que se resuelva el inconveniente. El interlocutor, al creer que está hablando con el responsable de la cuenta, la conversación le resulta más creíble y ofrece su ayuda. “Lo que encontré más desconcertante fue la rapidez con la que todo escaló y que pude engañar al blanco apuntado y lograr que pensara que era genuino, sin necesidad de verificaciones adicionales. Incluso pude hacer que la propia persona me ofreciera ayuda, lo cual le dio un pequeño giro. Esta suele ser una técnica inteligente utilizada por ingenieros sociales profesionales que hacen un juego psicológico para evitar solicitar el dinero directamente”, agregó el investigador de ESET.

En este sentido, ESET acerca algunas recomendaciones sobre cómo mantener seguras las cuentas de redes sociales:

• En la medida de lo posible, reducir la cantidad de información personal y fotos en línea. Aunque es una gran tarea, es importante enseñar a la próxima generación de usuarios de redes sociales lo importante de limitar la cantidad de información que se publica antes de que esté expuesta para siempre. Esta estafa no funcionaría de la misma manera en cuentas privadas, si bien hay cuentas privadas que aceptan personas que no necesariamente conocen.

• Chequear el contenido de lo que se publica. También aplica para aceptar seguidores, tomarse unos segundos para decidir si se está dispuesto a que ese usuario conozca más detalles sobre el día a día. A su vez, ser completamente público está sujeto a peligros como este.

• Cuando haya dinero de por medio nunca aceptar nada o brindar datos confidenciales sin analizarlo detenidamente. Es primordial solicitar validar mediante otra forma de comunicación antes de que se envíe dinero a un nuevo beneficiario, o compartir datos de cuentas o tarjetas de crédito.

“Esta estafa no se limita únicamente a Instagram, también se ha visto en Facebook, Twitter y LinkedIn, así que asegúrese de estar atento a las cuentas clonadas. Denuncie estas cuentas e informe al titular real de la misma. Desde ESET apostamos a la educación como primera herramienta de protección, conocer los riesgos a los que se está expuestos permite tomar las medidas para prevenir las amenazas: mantener actualizados nuestros sistemas, contar con una solución de seguridad en nuestros dispositivos y saber las novedades en términos de ataques, ayudan a disfrutar de la tecnología de manera segura”, menciona Luis Lubeck, Especialista en Seguridad Informática de ESET Latinoamérica.

En el contexto de aislamiento por el COVID-19, ESET comparte #MejorQuedateEnTuCasa, donde acerca protección para los dispositivos y contenidos que ayudan a aprovechar los días en casa y garantizar la seguridad de los más chicos mientras se divierten online. El mismo incluye: 90 días gratis de ESET INTERNET SECURITY para asegurar todos los dispositivos del hogar, una Guía de Teletrabajo, con buenas prácticas para trabajar desde el hogar sin riesgos, Academia ESET, para acceder a cursos online que ayudan a sacar el mayor provecho de la tecnología y Digipadres, para leer consejos sobre cómo acompañar y proteger a los niños en la Web.

ESET Latinoamérica muestra de qué manera averiguar qué información almacena Facebook sobre los usuarios y cómo administrar mejor la privacidad.

En 2019, durante el Foro Económico Mundial se afirmó que los datos son el petróleo de esta era digital. A partir de ciertos hechos donde quedó expuesto el mal uso de los datos de los usuarios que hacen algunas empresas, incrementó la sensación de desconfianza respecto a cómo cuidan la información personal. En este sentido, con la intención de contribuir a una mayor concientización, ESET Latinoamérica, compañía líder en la detección proactiva de amenazas, muestra cómo averiguar qué información almacena Facebook, una de las redes sociales más utilizadas, sobre los usuarios y cómo administrar mejor la privacidad.

Después de Google, Facebook es una de las empresas que más información almacena de sus usuarios, cuenta con 2,4 mil millones de usuarios activos al mes de los cuales 1,56 mil millones ingresan a la red social de manera diaria. Facebook se nutre mayormente de los datos que cada usuario vuelca en su plataforma, pero también ocurre que con la posibilidad de registrarse en un nuevo servicio o plataforma vinculando la cuenta de Facebook o Google, los usuarios repliquen estos datos a otras compañías, que no necesariamente son subsidiarias de Facebook.

La primera vez que se utiliza esta función la aplicación informa al usuario a qué información personal tendrá acceso el servicio o plataforma al cual se está registrando (generalmente nombre completo, correo electrónico y algún dato adicional según el servicio), pero nada puede asegurar que en un futuro, luego de haber dado el permiso a la aplicación y que se vinculen las cuentas, no pueda compartirse mayor cantidad de información. Si bien el usuario eligió confiar su información sensible a una plataforma, esto no necesariamente quiere decir que elija compartir esa misma información con cada aplicación que utiliza, ya que inclusive los estándares de seguridad de las otras compañías podrían no ser los mismos.

“Un usuario que utiliza Instagram y supone no compartir su información con Facebook está equivocado, ya que se trata de la misma empresa (que también posee WhatsApp, Face.com, Atlas, entre otras). Es importante tener presente que las redes sociales no son gratuitas, ya que se monetizan con la gestión de datos personales e información volcada por los usuarios“, comenta Luis Lubeck, Especialista en seguridad informática de ESET Latinoamérica.

Facebook ofrece la posibilidad de descargar un resumen con toda la información que maneja del usuario desde el panel de configuración.

Una vez descargada la información, se observa que incluye desde datos personales básicos hasta todo el historial de búsquedas e IP utilizadas a lo largo del tiempo. Dentro del archivo se encuentra un index.html con un menú ordenado con los siguientes datos: Publicaciones, Fotos y videos, Comentarios, Me gusta y reacciones, Amigos, Historias, Seguidores, personas y páginas que sigues, Mensajes, Grupos, Eventos, Información de perfil, Páginas, Marketplace, Historial de Pagos, Elementos guardados y colecciones, Tus lugares, Apps y sitios webs, Otra actividad, Anuncios, Historial de búsqueda, Ubicación, Información asociada a tu cuenta, Información de inicio de sesión y seguridad.

“Descargar una copia de la información almacenada sobre nuestra actividad puede servir para tomar dimensión de la cantidad y el detalle de la información que publicamos sobre nosotros. Así como ocurre en el caso de Facebook, los usuarios comparten grandes cantidades de información en Internet sin pensar en quién puede verla y cómo pueden utilizarla. Así como las redes sociales nos ofrecen publicidad de productos que según nuestro comportamiento podrían llegar a ser de nuestro interés, esta misma información en manos de cibercriminales podría ser utilizada para diseñar un ataque dirigido de ingeniería social muy convincente a través del cual podría robar nuestras credenciales de acceso y llevar adelante otras acciones maliciosas. Mantenerse protegidos permite disfrutar de la tecnología de manera segura“, concluye Luis Lubeck.

ESET aconseja tomar el control de la información y no suponer que la información va a desaparecer, sino todo lo contrario, seguirá alimentando la huella digital. En cuanto a la privacidad en línea y la posibilidad de ser rastreado en Internet, tener en cuenta la relación que existe entre privacidad y seguridad, dado que conservar fuera del alcance de terceros la información personal hará que sea más difícil identificarnos y registrar las actividades.

Desde el Laboratorio de Investigación, comentan que es clave controlar y establecer criterios claros respecto de la expectativa de privacidad de cada uno, y activar en todos los casos posibles el doble factor de autenticación para agregarle seguridad adicional al simple hecho de ingresar con usuario y contraseña. Así también, en la medida de lo posible, utilizar una VPN, sobre todo cuando se trabaje conectado a redes Wi-Fi públicas para evitar exponer las credenciales.

ESET acerca #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea. De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/02/19/descargar-copia-informacion-facebook-almacena-usuario/

Acerca de ESET

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portafolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo. Para obtener más información, visite www.eset-la.com o síganos en LinkedIn, Facebook y Twitter.

]]> 661 https://www.coquimbonoticias.cl/2020/02/18/eset-alerta-sobre-un-engao-que-roba-cuentas-de-whatsapp-con-el-cdigo-de-verificacin/615 Tue, 18 Feb 2020 20:37:36 +0000 https://www.coquimbonoticias.cl/?p=615 [...]]]> ESET Latinoamérica advierte sobre una estafa donde mediante un mensaje vía SMS o WhatsApp se solicita el reenvío de un código de seis dígitos, que supuestamente llega a la potencial víctima por error, y cuyo objetivo es robar cuentas de WhatsApp.

Hace unos días la Guardia Civil española alertó a través de su cuenta de Twitter sobre un modus operandi que usan los cibercriminales para acceder e incluso robar el acceso a cuentas personales de distintos servicios. Desde el laboratorio de ESET Latinoamérica, compañía líder en la detección proactiva de amenazas, se analizó esta nueva amenaza para evitar que los usuarios caigan en este engaño.

Se trata de una campaña de suplantación de identidad que llega a través de WhatsApp y que busca el secuestro de cuentas. Todo comienza con un mensaje a través de la aplicación de mensajería o de un SMS a través del cual un contacto (víctima del engaño también) menciona que, por error, un código de verificación de seis dígitos (que supuestamente no iba dirigido a ella) se envió a su teléfono y solicita que le reenvíen el mensaje con el código.

Mensaje de WhatsApp que la Guardia Civil publicó a modo de ejemplo.

En este caso, como la víctima a lo mejor no solicitó recientemente recuperar ningún tipo de código podría llegar a creer que el mensaje es genuino y fue realmente enviado por un contacto que sí necesita recuperar el acceso a su cuenta. Lo que en realidad están haciendo los criminales detrás de este engaño es entregar el código de verificación para registrar su cuenta de WhatsApp en otro dispositivo.

Una vez que se reenvía el mensaje con el código de verificación de seis dígitos: el ciberdelincuente detrás de este engaño registrará WhatsApp en otro teléfono con dicho código (el número telefónico aparece en el encabezado del mensaje recibido), mientras la víctima solo verá en su pantalla un mensaje a través del cual se informa que perdió el acceso a su cuenta, hasta aquí momentáneamente.

Mensaje que llega a la víctima una vez que los estafadores registran asocian su número de teléfono a una cuenta de WhatsApp en otro teléfono.

En estos casos, generalmente, el cibercriminal activa la verificación en dos pasos dentro de WhatsApp, logrando que el usuario original de la cuenta no pueda recuperarla.

“La educación es un punto clave para evitar caer en engaños, ya que la concientización permite que al conocer los riesgos se tomen las medidas necesarias para evitar ser víctimas de engaños. Irónicamente, el recurso de doble activación que lleva adelante el cibercriminal, es (si ya está implementada) el mejor aliado que tienen los usuarios para evitar caer en este tipo de engaño que buscan tomar el control del servicio de mensajería más utilizado actualmente”, comenta Luis Lubeck, Especialista en Seguridad Informática de ESET Latinoamérica.

Para activarla, primero se debe acceder a la sección ajustes en la parte superior derecha de la pantalla del dispositivo. En este momento el usuario debe elegir una contraseña de 6 dígitos, la cual será solicitada la próxima vez que quiera registrar WhatsApp en cualquier dispositivo. Es posible que, por seguridad, cada cierto tiempo la aplicación solicite el ingreso de la contraseña para evitar lecturas no autorizadas de los mensajes.

“De esta manera, la cuenta queda protegida al estar asociada no solo al número telefónico que hizo la instalación, sino a una clave numérica y a una dirección de correo electrónico. Con estas medidas adicionales, si por algún motivo el usuario desprevenido entrega la clave de registro de WhatsApp, las otras capas de seguridad impedirían que un tercero lo registrase en otro celular”, menciona Luis Lubeck. “El doble factor de autenticación (en WhatsApp denominado verificación en dos pasos) sigue siendo el método más seguro para evitar accesos no autorizados a las cuentas. Este tipo de capa de seguridad se encuentran actualmente en la mayoría de las redes sociales, como en sistemas de correo electrónico más utilizados”.

ESET acerca #quenotepase, con información útil para evitar que situaciones cotidianas afecten la privacidad en línea. De manera de conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/02/13/mensaje-solicita-reenviar-codigo-verificacion-robar-cuenta-whatsapp/

Visítanos en: @ESETLA  /company/eset-latinoamerica

Acerca de ESET

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portafolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo. Para obtener más información, visite www.eset-la.com o síganos en LinkedIn, Facebook y Twitter.

En el día de los enamorados, ESET Latinoamérica

Cada vez se suman más personas al uso de aplicaciones de citas como Tinder, Happn, Lovo, entre otras tantas. Sin embargo, muchos de los millones de usuarios que utilizan estas aplicaciones no se detienen a pensar en la información que exponen en ellas ni en las posibles consecuencias de publicar información personal al alcance de cualquier usuario. Por eso, ESET, compañía líder en la detección proactiva de amenazas, explica la importancia de evaluar qué información se publica y cuáles son los riesgos asociados para que sea una decisión consciente.

Generar un perfil en Tinder es muy sencillo, basta con vincular la cuenta con un perfil de Instagram o Facebook. Lo que hay que tener en cuenta es que tanto en Facebook como en Instagram se almacenan fotos e información personal relacionada a gustos e intereses que quizás no se quieren compartir. A esta información se suma a la que Tinder solicita, que si se completa en totalidad es mucha lo que se deja disponible.

Los usuarios deben ser conscientes de los riesgos asociados a la publicación de información personal, ya que nunca se sabe qué puede pasar con esa información o cómo la utilizan. Los datos recabados por la aplicación son suficientes para elaborar engaños como ataques de phishing dirigido o ingeniería social.

En enero de este año un estudio publicado por el organismo de defensa al consumidor de Noruega (NCC, por sus siglas en inglés) sugiere que varias aplicaciones populares de citas online, como Grind, OkCupid y Tinder, están recopilando información sensible de los usuarios, entre ellas preferencias sexuales, datos precisos de ubicación, actividad online, para comercializarlas con compañías de marketing y publicidad. Recientemente la Comisión de Protección de Datos (DPC, por sus siglas en inglés) de Irlanda abrió una investigación debido a la forma en que Tinder y otros servicios gestionan los datos personales de los usuarios.

En enero de este año se conoció también que en foros clandestinos circulan más de 70.000 imágenes de usuarios de Tinder empaquetadas junto a un archivo de texto que contenía también el ID de aproximadamente 16.000 usuarios de la aplicación. Si bien no está claro el fin con el cual estaban circulando las imágenes, se especula con que podrían ser utilizadas para extorsionar a los propios usuarios de Tinder o incluso para crear falsos perfiles en otras plataformas con la intención de realizar alguna acción maliciosa.

“Una de grandes fallas de este tipo de aplicaciones es no contar con políticas de privacidad adecuadas, ya que toda la información es pública y cualquiera puede consultarla. Por otro lado, si bien es cuestionable en el manejo de la información personal de los usuarios por parte de estas plataformas, no exime a los usuarios de responsabilidad acerca del cuidado de su información personal, ya que son ellos mismos quienes terminan proveyendo la misma. La educación y concientización son importantes para comprender valor que tiene la información, así protegerla de manera adecuada”, comenta Camilo Gutiérrez, Jefe del laboratorio de investigación de ESET Latinoamérica.

ESET presenta una serie de consejos para implementar a la hora de interactuar a través de tu perfil en aplicaciones de citas con el objetivo de proteger la privacidad en la red:

· Nombre y edad: es preferible usar un seudónimo y no el nombre completo, ya que es muy fácil “investigar” a alguien en la red por su nombre y apellido.

· Universidad o centro de estudios: Normalmente, las instituciones cuentan con grupos activos en redes sociales donde es relativamente fácil encontrar a sus miembros y colegas.

· Espacio descriptivo del usuario: Evitar información innecesaria en este espacio que suele ser de carácter libre para el usuario. Muchas personas divulgan información que los expone considerablemente, como el número de su teléfono celular, perfiles públicos a otras redes, etc.

· Trabajo y tipo / lugar de empleo: A menos que se esté buscando intercambios profesionales, no es aconsejable sumar esta información a un perfil. En el caso de las universidades o centro de estudios, es sencillo buscar información a partir del grupo de pertenencia de un individuo.

· Vista Preliminar del perfil de IG.: Este un punto sensible, pues si bien es cierto que resulta cómodo para ambas partes de un match conocerse panorámicamente mediante una previsualización de Instagram, también es cierto que muchos usuarios utilizan esta red de manera pública, por lo que es recomendable evitar el uso de perfiles públicos y más aún si se va a prestar el perfil a otras redes como es el caso de Tinder.

Se identificó un nuevo tipo de malware bancario orientado a dispositivos móviles que se hace pasar por aplicaciones de finanzas legítimas para robar credenciales o dinero de las cuentas bancarias de sus víctimas.

ESET, compañía líder en detección proactiva de amenazas, advierte sobre la amenaza relacionada a falsas aplicaciones bancarias, un tipo de malware bancario que se hace pasar por aplicaciones de finanzas legítimas para robar credenciales o dinero de las cuentas bancarias de sus víctimas. Aunque técnicamente están lejos de ser avanzadas, las aplicaciones bancarias falsas tienen ventajas estratégicas que las hacen comparablemente efectivas a tipos de malware mucho más sofisticados con los mismos objetivos. Lukáš Štefanko, autor de la investigación, participará del Mobile World Congress 2019 en Barcelona, donde ESET estará ubicado en el stand 7H41 del pabellón 7.

ESET presenta su informe sobre el panorama actual de malware bancario en Android, titulado “Malware bancario en Android: troyanos sofisticados frente a aplicaciones bancarias falsas“. La investigación identifica las aplicaciones bancarias falsas y los troyanos bancarios sofisticados como los dos tipos más comunes de malware bancario en Android y proporciona información sobre sus trucos y técnicas de uso.
“Nuestro análisis sobre los dos tipos de malware bancario, que se descubrieron anteriormente en la tienda oficial de Google Play, ha demostrado que la simple operación de las aplicaciones bancarias falsas conlleva ciertas ventajas que los temidos troyanos bancarios no tienen”, explica Lukáš Štefanko, investigador de malware de ESET.

La principal característica de estas aplicaciones falsas, según Štefanko, es la personificación directa con aplicaciones bancarias legítimas. Si los usuarios caen en la suplantación e instalan una aplicación bancaria falsa, existe una gran posibilidad de que traten la pantalla de inicio de sesión como legítima y envíen sus credenciales. Y, a diferencia de los troyanos bancarios, no hay solicitudes de permisos intrusivos para aumentar la sospecha de los usuarios después de la instalación. Además de esto, los troyanos bancarios sofisticados son más propensos a la detección debido a sus técnicas avanzadas que actúan como activadores de varias medidas de seguridad.

“Mientras que los troyanos bancarios han sido considerados como una seria amenaza para los usuarios de Android, las aplicaciones bancarias falsas a veces se pasan por alto debido a sus capacidades limitadas. A pesar de no ser técnicamente avanzadas, creemos que las aplicaciones bancarias falsas pueden ser tan efectivas para vaciar cuentas bancarias como los troyanos bancarios”, comenta Štefanko.
Para mantenerse a salvo del malware bancario, los expertos de ESET recomiendan a los usuarios:

• Mantener actualizados los dispositivos Android y usar una solución de seguridad móvil confiable.

• Alejarse de las tiendas de aplicaciones no oficiales, si es posible, siempre mantener deshabilitada la “instalación de aplicaciones de fuentes desconocidas” en el dispositivo.

• Antes de instalar una aplicación desde Google Play, siempre verificar sus calificaciones, el contenido de las revisiones, la cantidad de instalaciones y los permisos solicitados, prestar atención al comportamiento de la aplicación después de que se instale.

• Solo descargar aplicaciones bancarias y otras aplicaciones financieras si están vinculadas en el sitio web oficial del banco o servicio financiero.

Para obtener una descripción detallada de los dos tipos de malware bancario de Android y las formas de mantenerse a salvo de ellos, consulte el documento técnico del blog de ESET, WeLiveSecurity: https://www.welivesecurity.com/la-es/2019/02/15/malware-bancario-android/

El descubrimiento se produce justo antes del Mobile World Congress en Barcelona, ​​donde Lukáš Štefanko se presentará en el stand de ESET y estará disponible para entrevistas. ESET explorará sobre Inteligencia Artificial/Aprendizaje Automático, compartirá nuevas investigaciones y descubrimientos clave en seguridad móvil y presentará sus soluciones de seguridad en la exposición mundial, que tendrá lugar del 25 al 28 de febrero de 2019 en Barcelona, ​​y expondrá en el Hall 7, stand 7H41.

La compañía de seguridad informática analiza las estafas a través de aplicaciones y sitios de citas online para entender la magnitud de esta problemática a nivel global.

En el día de San Valentín, ESET, compañía líder en detección proactiva de amenazas, acerca un resumen de la cantidad de usuarios de citas online y las principales estafas relacionadas a nivel global.

Según datos de GlobalWebindex, en América Latina y la región Asia-Pacífico, las aplicaciones y sitios de citas tienen una aceptación de entre el 45% y el 46%, mientras que en Estados Unidos y Europa la cifra es de entre el 28% y el 29%. Pese a la diferencia en cuanto a la aceptación en las distintas regiones, en Estados Unidos el 30% de los usuarios de Internet de entre 18 y 29 años utiliza una app o sitio web de citas. Además, se estima que para el 2023 el número de usuarios de servicios de citas online a nivel mundial será de más de 328 millones, de los cuales 48,1 millones serán usuarios de Europa, y 37,5 millones serán de los Estados Unidos. 

Entre la gran oferta de servicios que existe son Tinder y Happn, son las más populares, registrando más de 50 millones de usuarios cada una. En este contexto, así como el uso de estas aplicaciones se popularizó a nivel global, también tiene un lado oscuro, que es el de las estafas y engaños que se dan a través de estos servicios; un fenómeno cada vez más habitual que se cobra muchas víctimas.

Modalidades de engaño

En la mayoría de los casos los criminales estudian los perfiles de sus víctimas y recopilan información personal, como por ejemplo, su actividad laboral, nivel de ingresos o estilo de vida llevan. Esto se vincula con la sobreexposición en las redes sociales y a la gestión indebida de la información personal en la era digital que permite construir un perfil bastante detallado de un usuario.

La modalidad más común es manipular emocionalmente a la víctima para que le envíe dinero, regalos o información personal. Otro engaño frecuente es la sextorsión, donde el estafador intenta que la víctima se exponga al envío de fotos o videos íntimos para luego chantajearlo. Se conoció el caso de un hombre en Estados Unidos que fue víctima de este tipo de estafa -similar al caso reportado en Chile en 2018– quien luego de enviar las fotografías, la víctima recibió un mensaje de un hombre que aseguraba ser el padre de una menor de edad y que amenazó con presentar cargos en su contra por el envío de imágenes, a menos que le envié dos tarjetas prepagas por USD 300. La víctima, asustada, se comunicó con la Policía y le dijeron que se trataba de un engaño. Otro tipo de engaño habitual es catfhishing, en el que un individuo crea un perfil falso para conocer a terceros. Este engaño tiene distintos fines ya sea obtener dinero, comprometer a la víctima de alguna manera o simplemente molestar usuarios.

Estafas relacionadas a citas online: un fenómeno global

En Australia, en 2018 se reportaron 3.981 casos de estafas relacionadas a citas online, registrando pérdidas por más de 24 millones de dólares australianos. En 2019 ya hubo 349 casos implicando pérdidas por más de un millón de dólares australianos, según la Australian Competition and Consumer Commision.

En Reino Unido, la Oficina Nacional de Inteligencia de Fraude reveló en 2017 que cada tres horas se reportaba un caso de fraude relacionado a citas online, mientras que cifras más recientes de Action Fraud revelaron que en 2018 se presentaron más de 4.500 denuncias por fraudes de romances en línea y se estima que el 63% de las víctimas de son mujeres, publicó la BBC.

El caso más conocido en Latinoamérica, ocurrió en Argentina en2017, se trataba de una estafa a través de la app Tinder. Un individuo que se contactaba a través de la app buscando aclarando que quería una relación seria, y que vivía a miles de kilómetros de distancia. Enviaba fotos extraídas de Internet diciendo que era él y luego pedía pedido el número de teléfono de la víctima para comunicarse por fuera de la aplicación. Luego de ganar la confianza de la persona engañada, el estafador le explica que envió un paquete con un regalo muy costoso pero que quedó retenido en Malasia y debe pagar 2000 dólares para liberarlo. Por último, le explica a la víctima los pasos para realizar la transferencia y promete que cuando se conozcan personalmente le devolverá el dinero.

“Desde ESET se recomienda tener presente que la posibilidad de ser víctima de un engaño es real y que a cualquiera puede sucederle. Esto último es importante, ya que al aceptar que podemos convertirnos en una víctima estaremos más atentos y seremos capaces de reconocer a tiempo ciertas señales que podrían alertarnos de que algo sospechoso puede estar ocurriendo. La educación y la concientización son pasos claves para poder disfrutar de Internet de manera segura”, comentó Camilo Gutiérrez, jefe del Laboratorio de Investigación de ESET Latinoamérica.

El Laboratorio de Investigación de ESET Latinoamérica acerca algunas recomendaciones a tener en cuenta:

· Si se conoce a alguien que luego de uno pocos contactos comienza a expresar sentimientos muy profundos y que solicita continuar chateando por fuera de la app o del sitio, es importante tener cuidado. El hecho de querer salir de la plataforma en la cual se conocieron debería ser suficiente para estar alerta. 

· Sospechar si se identifica ciertas inconsistencias entre lo que cuenta y lo que se ve en sus perfiles de las redes sociales.

· Si luego de algunas semanas o meses, solicita dinero, el envío un regalo o algo similar, es importante tener en cuenta no enviar dinero a alguien que no se haya conocido personalmente.

· Sospechar de alguien que siempre tienen una excusa para no verse personalmente.

· Realizar búsquedas en la web de las imágenes que envía o que usa en su cuenta para corroborar que es quien dice ser. De esta manera podrás corroborar si las fotos son legítimas o si las tomó de Internet. Puedes usar para eso Google Images o TinEye.

· Nunca compartir con la persona que se está conociendo, sobre todo si no se conoce personalmente, información que pueda comprometerte, como fotos o videos. 

· Si se decides encontrarse con alguien que se ha conocido online, nunca está demás avisarle a alguien para que esté al tanto.

Para más información ingrese al portal de noticias de ESET, llamado WeLiveSecurity en: https://www.welivesecurity.com/la-es/2019/02/14/estafas-apps-sitios-citas-online/

ESET alerta sobre un correo que en el asunto indica que se han recibido dos archivos a través de WeTransfer, la campaña busca robar las credenciales de acceso de los usuarios.

ESET, compañía líder en detección proactiva de amenazas, analiza una campaña de phishing activa a través de un correo que se hace pasar por el envío de dos archivos para su descarga a través del popular servicio para el envío de archivos de gran tamaño WeTransfer.

El mensaje en el asunto del correo dice “info Received your (2) files via WeTransfer”, que en español quiere decir “ha recibido sus (2) archivos a través de WeTransfer”. El correo incluye un enlace de descarga y se indica también la fecha de vencimiento de dicha descarga (10 de febrero).

PIE DE IMÁGEN: Correo de un falso remitente con el mensaje en el asunto indicando que llegaron dos archivos para su descarga a través de WeTransfer.

Lo primero que llama la atención es que la dirección del remitente termina con un dominio de correo desconocido, cuando debería ser noreply@wetransfer.com. Si un usuario no sospecha de este correo, al hacer clic en la opción para descargar los archivos será redireccionado a una página que no es la de WeTransfer, sino que pertenece a un dominio de Chile (.cl). Allí se solicitará a la víctima ingresar sus claves para poder comenzar con la descarga.

PIE DE IMÁGEN: El dominio de la página a la que redirecciona no pertenece a WeTransfer, sino a un dominio de Chile.

Nuevamente, lo que llama la atención es la dirección URL a la que redirecciona el correo, ya que no es la de WeTransfer, sino una página que tiene como dirección la de un sitio de Chile. Una vez que se ingresan las credenciales (cosa que sería necesaria, porque WeTransfer no solicita ingresar ninguna clave para descargar archivos que llegan a través del correo) el usuario es direccionado a una página real de WeTransfer en la que aparecerá un mensaje que dice que la descarga de los archivos expiró.

PIE DE IMÁGEN: Sitio real de WeTransfer al que nos redirecciona la campaña luego de ingresar nuestras credenciales

“La campaña solo busca robar credenciales; es decir que no presenta segundas intenciones, como podría ser la descarga de malware o mineros de criptomonedas. En caso de haber caído en el engaño, desde ESET recomendamos cambiar la contraseña que ingresó en los sitios o servicios que la utilice. La concientización es el primer paso para evitar caer en engaños, la educación y contar con una solución de seguridad nos permiten disfrutar de Internet de una manera segura”, comentó Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica.

Para más información ingrese al portal de noticias de ESET, llamado WeLiveSecurity en: https://www.welivesecurity.com/la-es/2019/02/08/campana-de-phishing-envia-correo-con-supuestos-archivos-via-wetransfer/

Visítanos en: @ESETLA /company/eset-latinoamerica

Acerca de ESET

Desde 1987, ESET® desarrolla soluciones de seguridad que ayudan a más de 100 millones de usuarios a disfrutar la tecnología de forma segura. Su portafolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protección proactiva. La empresa cuenta con una red global de ventas que abarca 180 países y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, México DF y San Pablo. Para obtener más información, visite www.eset-la.com o síganos en LinkedIn, Facebook y Twitter.