Para entender cómo evolucionó este hábito y qué riesgos enfrentan hoy los colombianos, entrevistamos a Carolina Mojica, Consumer Sales Manager, NOLA & SOLA Region de Kaspersky, quien explicó cómo las nuevas dinámicas digitales están modificando la relación de los usuarios con sus claves de acceso y su protección en línea.

Según la vocera, la digitalización aceleró un fenómeno que hace algunos años parecía impensable: la pérdida progresiva de control directo sobre nuestras propias contraseñas.

Antes, muchas personas memorizaban claves, las anotaban en agendas o utilizaban combinaciones fáciles de recordar.

Hoy, en cambio, gran parte de los accesos está delegada a sistemas automáticos.

Te puede interesar: Opinión | IA y Ciberseguridad: avances, brechas y la oportunidad empresarial

“El smartphone ya no es solo un teléfono. Allí está el trabajo, la familia, las finanzas, las relaciones y prácticamente toda la vida digital”, explicó Mojica durante la conversación.

Esa concentración de información ha cambiado por completo la lógica de seguridad.

De acuerdo con cifras compartidas por Kaspersky, el 68 % de los colombianos realiza pagos y transferencias desde su celular. Además, el 43 % comparte contraseñas y el 86 % deja sesiones abiertas en sus dispositivos móviles.

La comodidad ha impulsado este comportamiento.

El uso de huellas, reconocimiento facial y herramientas de autoguardado redujo la necesidad de recordar claves. Sin embargo, también creó una dependencia tecnológica que puede convertirse en problema cuando se cambia de celular, se pierde el dispositivo o ocurre un bloqueo inesperado.

Cuando las contraseñas dejaron de ser personales

Uno de los hallazgos que más llamó la atención durante la entrevista fue cómo las contraseñas pasaron de ser un asunto individual a convertirse en información compartida dentro de muchos hogares.

Es común que un familiar administre accesos bancarios, correos, plataformas digitales o autenticaciones de varios miembros de la casa.

Aunque esta práctica suele verse como algo práctico, Mojica advirtió que amplifica los riesgos.

La razón es simple: cuando una sola persona concentra demasiados accesos, una vulneración puede desencadenar una reacción en cadena.

Te puede interesar: “Los equipos de seguridad ya no deben reaccionar, sino adelantarse”: la apuesta de Recorded Future en eMerge Americas 2026

Según explicó, un atacante puede comprometer múltiples cuentas en apenas cuatro minutos si logra acceder al correo electrónico principal, ya que desde allí puede restablecer contraseñas y tomar control de otros servicios conectados.

“El correo electrónico es la llave maestra de la vida digital”, señaló.

La especialista también habló de otro cambio importante: los ciberdelincuentes ya no dependen exclusivamente de fallas técnicas.

Ahora apuntan directamente a las emociones de los usuarios.

Mensajes que generan urgencia, llamadas sospechosas, enlaces que aparentan ser legítimos y hasta voces clonadas con inteligencia artificial forman parte de los métodos más frecuentes.

Esto ha generado una nueva sensación entre los usuarios: desconfianza frente a cualquier contacto inesperado.

Muchas personas, explicó Mojica, experimentan temor o ansiedad al responder llamadas desconocidas, precisamente porque los fraudes digitales se volvieron más difíciles de identificar.

Nuevas herramientas para un nuevo hábito digital

Frente a este panorama, la recomendación no es volver a memorizar decenas de claves complejas.

La alternativa está en adoptar herramientas que permitan administrar contraseñas de forma segura.

Mojica destacó el uso de gestores de contraseñas, sistemas de autenticación múltiple y hábitos de verificación que ayuden a reducir riesgos.

También insistió en recuperar la cautela que las personas suelen tener en la vida cotidiana.

Así como se enseña a no confiar en extraños en la calle, esa misma lógica debería aplicarse al mundo digital.

“La ciberseguridad ya no es un asunto técnico ni exclusivo de empresas. Hace parte del hogar y de la protección familiar”, concluyó.

El mayor cambio, entonces, no está solo en cómo guardamos las contraseñas.

Está en comprender que cada acceso protege mucho más que una cuenta: resguarda una parte importante de nuestra vida.

Por qué hablar en una llamada de estafa se ha vuelto tan peligroso

Comencemos por entender cómo funcionan las llamadas de spam o estafa hoy en día. Cuando los estafadores realizan estas llamadas, tienen dos objetivos: utilizar ingeniería social para obtener tus datos personales o aprovechar la conversación para grabar palabras clave y utilizarlas luego para cometer otros fraudes.

El primer objetivo ya es conocido por la mayoría: utilizando alguna excusa (por ejemplo, un problema con tu servicio bancario), los estafadores realizan preguntas para obtener información personal. Es por esta razón que la primera y más importante recomendación es jamás entregar datos sensibles como, por ejemplo, tu número de cédula, número de cuenta bancaria, dirección, correo electrónico o contraseñas.

No obstante, una nueva modalidad consiste en que ahora los estafadores también buscan que las personas digan palabras clave que luego pueden utilizarse para replicar su voz o autorizar movimientos.

Es esta última modalidad la que ha hecho tan peligroso decir ciertas palabras al recibir llamadas, incluso aquellas en las que no habla nadie. La razón es que se ha reportado que ahora los criminales no solo buscan que entregues tu nombre completo o el de tu banco, sino que incluso un «sí» puede ser suficiente para suplantar tu identidad.

Por ejemplo, en los últimos meses, diferentes entidades en Europa han reportado casos en los que se han utilizado grabaciones del «sí» de las víctimas para incorporarlas en la contratación de servicios o planes. También se han empleado para engañar a familiares de las víctimas o a entidades bancarias en llamadas fraudulentas.

¿Cómo se debe contestar una llamada de spam?

Por todo lo anterior, muchas de las mejores prácticas que teníamos al contestar llamadas de spam han cambiado.

Lo primero es considerar que los estafadores a menudo realizarán preguntas diseñadas para que digas la palabra clave que buscan. Por ejemplo, si el objetivo es obtener un «sí», algunas de las preguntas más comunes son: «¿Me puede escuchar bien?» o «¿Está teniendo un buen día?». Puede parecer extremo, pero lo mejor que puede hacer si recibe una llamada de una fuente desconocida es simplemente responder con otras preguntas o frases cortas.

Dicho de otra manera, la mejor forma de responder a una llamada de spam hoy en día es evitando hablar lo más posible y, por supuesto, no extender la comunicación más de lo estrictamente necesario.

Imágenes: Imagen de wayhomestudio en Freepik

Los estafadores emplean técnicas de ingeniería social para que el mensaje resulte convincente. Informan a la persona que tiene derecho a una compensación económica por haber estado hospitalizada durante la pandemia. Para ganar credibilidad, mencionan datos personales que ya tienen en su poder. Nombre completo, número de identificación, dirección e incluso los últimos dígitos de una cuenta bancaria. Toda esa información les permite sonar auténticos y reducir las sospechas.

Una vez establecida la conversación, suelen pedir una acción inmediata. Puede tratarse de confirmar un mensaje de texto, acceder a un enlace o proporcionar códigos de verificación. A través de este paso logran obtener acceso a datos bancarios, autorizar operaciones no deseadas o extraer más información privada de la persona contactada.

Te puede interesar: ¿1,6 millones de amenazas por hora? Fraude, bots y estafas invisibles, la batalla silenciosa que Microsoft libra todos los días

En España se han reportado llamadas de este tipo en nombre de la Seguridad Social, y las autoridades han alertado sobre esta modalidad de fraude que promete ayudas que no existen. Casos similares se han registrado en Estados Unidos, Reino Unido y varios países de América Latina, donde los estafadores adaptan su discurso a la institución local y al contexto del país.

Expertos en ciberseguridad coinciden en que este tipo de fraudes se aprovecha de momentos de vulnerabilidad emocional y crisis. La pandemia fue un terreno fértil para estos engaños. En muchos casos, los delincuentes utilizan múltiples canales como llamadas, correos electrónicos, mensajes de texto o aplicaciones de mensajería instantánea. El objetivo es el mismo. Obtener acceso a recursos financieros o a la identidad de la persona víctima.

Las recomendaciones para cualquier usuario son claras. Desconfiar de cualquier contacto no solicitado que ofrezca beneficios inmediatos. No compartir datos personales o bancarios por teléfono, incluso si el interlocutor menciona información real. Verificar con la institución oficial antes de tomar cualquier decisión. Si existe alguna duda, lo más seguro es interrumpir la conversación y reportar el intento de fraude a través de los canales autorizados.

Muchos de estos engaños comienzan con un dato cierto en manos del estafador y una historia que apela a la empatía o a la urgencia. Conocer este patrón ayuda a anticiparse y actuar con criterio. Estar informado sigue siendo una de las herramientas más efectivas para protegerse.

Imagen: Generada con IA / ChatGPT

Según el Balance de la Dirección de Investigación Criminal e INTERPOL de Colombia, hasta la semana 18 de este año, se han presentado 23.640 delitos cibernéticos en el país, 8.394 de estos fueron hurtos por medios informáticos y semejantes, 4.185 fueron por violación de datos personales, 4.046 fueron accesos abusivos a un sistema informático y 1.752 fueron suplantaciones de sitios web, entre otros. Las 5 ciudades más afectadas son, Bogotá en un 31%, Medellín en un 8%, Cundinamarca en un 7%, Cali en un 5% y Barranquilla en 4%.

Te puede interesar: Gobierno convoca PMU para enfrentar ciberataque a Rama Judicial y otras páginas estatales

Teniendo en cuenta que Colombia es uno de los países de Latinoamérica con mayor número de ataques cibernéticos reportados, es necesario que las empresas colombianas mejoren las prácticas para evitar caer en estas trampas, lo pueden hacer educando a sus equipos de trabajo, verificando la autenticidad antes de proporcionar información confidencial y manteniendo un software y los sistemas al día con las últimas actualizaciones en seguridad.

Para esto, ITAC, la compañía colombiana experta en consultoría especializada para prevenir problemas de seguridad informática, identificó cuáles son las tres formas más comunes en las que los delincuentes pueden cometer fraude con los datos de los usuarios o de una empresa.

Phishing:

Los delincuentes utilizan correos electrónicos, mensajes o sitios web falsos que imitan a fuentes legítimas para engañar a los usuarios y obtener información confidencial, como contraseñas y números de tarjetas de crédito.

Ransomware:

Esta forma de ataque involucra el uso de software malicioso que bloquea el acceso a los datos o sistemas de una empresa o usuario, y los delincuentes exigen un rescate para restaurar el acceso.

Ingeniería social:

Los ciberdelincuentes manipulan psicológicamente a las personas para obtener información confidencial. Pueden hacerse pasar por empleados de una empresa o utilizar tácticas de persuasión para obtener acceso no autorizado a los datos.

Te puede interesar: Gobierno creará un Centro de Operaciones de Ciberseguridad en Manizales ¿Cuánto costará?

Sobre estas amenazas, Carlos Mateus, Director de Desarrollo de Negocio para ITAC añade que “para mitigar riesgos, es fundamental implementar medidas de seguridad que limiten el acceso a archivos planos que contengan datos importantes y en lo posible, automatizar los procesos de intercambio de archivos, reduciendo al máximo la manipulación humana. Al restringir el acceso usando herramientas de protección como el cifrado de archivos, se reducen las posibilidades de manipulación no autorizada de la información.”

Los datos más susceptibles al fraude, aclarando que suelen ser aquellos que contienen información personal y confidencial, pueden ser: los tipos de información de identificación personal, datos financieros, contraseñas y credenciales de acceso, datos de salud o estrategias comerciales. Estos tipos de datos son objetivos atractivos para los delincuentes, ya que su robo o mal uso puede conducir a diversos tipos de fraude, como el robo de identidad, fraude financiero o extorsión.

Te puede interesar: Cisco lanza curso gratis en ciberseguridad en español e Inglés para TI

Adicionalmente, la automatización de los procesos de transferencia de archivos emerge como una solución valiosa para garantizar la seguridad y la eficiencia en el manejo de datos. Por esto, las empresas necesitan garantizar una gestión adecuada para proteger adecuadamente la información y evitar posibles consecuencias negativas para las personas y su compañía.

Imagen Archivo de ENTER.CO

Los cibercriminales utilizan la ingeniería social para engañar usuarios incautos. Por ejemplo, en muchos casos atacantes usan la confianza y la unen con ataques como phishing, vishing, smishing, whailing, spear pshishing, baiting, entre otros.

En Colombia tenemos un caso histórico que algunos recuerdan y es el de Roberto Soto Prieto, un economista que robo con una llamada $13.5 millones de dólares del Chase Manhattan Bank en el año 1983.

El hurto fue muy sencillo Soto Prieto, envió un fax diciendo que necesitaba el dinero del Banco de la República, en donde aprovechó la confianza para extraer el dinero. Si uno mira el contexto del caso, ni siquiera existía el uso masivo de internet, pero el fraude uso tres elementos confianza, suplantación y mucha creatividad en su planeación.

Te puede interesar: ¡Cuidado! Este troyano en Android secuestra tu Facebook

Un caso muy mediático en estos días es el del ‘falso futbolista’ que fue detenido en Santa Marta. Bernio Verhagen, ha estafado a distintas personas en todas partes del mundo diciendo que es un futbolista profesional, esto lo ha llevado a firmar contratos con equipos como el Audax Italiano Chileno, el Cape Town City, entre otros. Al investigar algunas notas de prensa se puede ver como el supuesto futbolista ha usado todo tipo de técnicas para ganar confianza y estafar a sus victimas. Incluso se habla de que suplantó correos electrónicos de una importante agencia de talentos deportivos llamada Stellar Group.

Otro tipo de ataque que aprovecha la confianza, es el Baiting, un ataque en donde se deja una USB, o algún dispositivo y se espera que un usuario por curiosidad lo acceda a un sistema informático.

Todos estos ejemplos llevan a una conclusión importante: la mejor forma de genera una cultura en seguridad de la información es enseñar a las personas a tener una desconfianza sobre actividades que pueden ser sospechas y que pueden generar riesgos empresariales.

Te puede interesar: Con ingeniería social se hizo el secuestro masivo de cuentas de Twitter

La mayoría de sistemas informáticos no están preparados para enfrentar ataques de ingeniería social. Un solo momento de descuido puede permitir una fisura en la seguridad digital de su compañía. Y estas brechas pueden comenzar en primer lugar por la confianza, una distracción, el perfilamiento, el identificar el vector y la ejecución de un ataque que tenga como finalidad la extracción de la información o datos personales. Los antivirus, firewall, SOC, NOC, controles técnicos o de red, no sirven de nada ante ataques sociales y de confianza.

Muchos de los delitos informáticos que vemos en Colombia y que hemos investigado con Cloud Seguro tienen un común denominador, el ganar confianza de la victima. Un delito que es común en estos días es por medio de ingeniería social conocer a los proveedores de una empresa, y por medio de una técnica conocida como email spoofing enviar un mensaje como este “Estimado cliente le informo que la empresa ha cambiado su cuenta bancaria y que desde el próximo mes las facturas pendientes no la consignen a esta cuenta”

En este tipo de delitos siempre recomendamos que se realice pruebas de OSINT, o búsqueda de información en fuentes públicas para establecer riesgos que pueden conocer ciberdelincuentes. El mejor camino para la ciberseguridad es la anticipación y la desconfianza. La seguridad es también entender que la malicia de los atacantes no tiene limite.

Germán Realpe Delgado- Ceo de Cloud Seguro, columnista y parte de enter.co

Imágenes: Pete Linforth en Pixabay 

La firma descubrió que la mayoría de personas no saben qué hacer cuando reciben un correo sospechoso. Por ejemplo, de los encuestados, un tercio (31%) de los colombianos desconfiaría y por ningún motivo haría clic en el enlace incluido en el email, mientras un 42% dudaría y consultaría primero en internet si el concurso es o no real. En tanto, un 22% verificaría la URL y luego accedería al enlace.

Pero, de acuerdo con la firma, la educación referente a la información falsa no se limita a los correos electrónicos. Los mensajes de texto y recientemente a través de aplicaciones como WhatsApp o Messenger también se han vuelto comunes para engañar a las personas. La investigación de Kaspersky descubrió que frente a este tipo contactos los latinoamericanos suelen ser un poco más precavidos, aunque el índice que desconfía de ellos todavía es bajo. Un 31% de los colombianos asegura borrar o ignorar estos contenidos, mientras que un 66% llama directamente al banco para verificar la información.

Te puede interesar: ¿Qué tan bueno eres para detectar phishing? Google te pone a prueba

También parece estar creciendo la desconfianza hacia los enlaces externos que vengan de lugares desconocidos. Los latinoamericanos desconfían de los enlaces publicitarios por sospecha de que estos contengan virus.  Quienes más dudan son argentinos, con 44%, y chilenos, con 42%. Más atrás se ubican brasileños (39%), mexicanos (38%), peruanos (33%) y colombianos (31%).

“Algunos de estos correos falsos son fáciles de detectar ya que incluyen errores ortográficos, gramática descuidada, gráficos poco profesionales, y saludos demasiado genéricos. Sin embargo, hemos detectado correos más sofisticados que son capaces de engañar hasta a los usuarios más cautelosos.  Por eso, es importante permanecer alerta y no bajar la guardia, especialmente al recibir correos o mensajes que parecen provenir de entidades oficiales y comunican una urgencia, como una oferta disponible a un número limitado de usuarios o amenazan al destinario con multas si este no toma la acción requerida a la mayor brevedad,” alerta Roberto Martínez, analista senior de seguridad en Kaspersky. “Lo mejor es desconfiar y verificar directamente con la entidad oficial, especialmente cuando esos correos incluyen archivos adjuntos o enlaces, o piden verificar la dirección de correo u otra información personal”.

Imágenes: FreekPik

Usualmente, los cibercriminales se hacen pasar por un superior del empleado; por ejemplo, de los departamentos de finanzas, recursos humanos o jurídico, y aprovechan técnicas de ingeniería social para engañar a las víctimas para tener acceso a sus credenciales bancarias, contraseña de distintos servicios, etc. Una vez obtienen estos datos, los atacantes pueden obtener beneficios económicos por el robo de dinero o, incluso, instalar malware en sus equipos.

También te puede interesar: El hackeo a Twitter comenzó con una estafa de phishing.

Los datos de empleados y sus superiores, normalmente los encuentran en redes como LinkedIn y con estos datos llaman al centro de soporte de la empresa elegida para el ataque y se presenta como un empleado (aporta el nombre exacto de esa persona) para pedir el número de teléfono de otros dos trabajadores de la misma empresa.

Durante la llamada, piden a sus víctimas instalar Team Viewer, un software de control remoto, con la excusa de que necesitan buscar unos datos del equipo y necesitan acceso para encontrarlos; entonces usan los permisos para instalar malware.

Check point, empresa de seguridad informática empresarial, les recomienda a las empresas tener un protócolo para que los empleados se identifiquen; además enseñarles a sus empleados el procedimiento cuando llegan estas llamadas, para evitar que sean víctimas de los cibercriminales.

Imagen: Vía Freepik. 

También se ha confirmado que dos personas más han sido acusadas por el departamento de justicia: un joven de 22 años con el nombre de Nima Fazeli (Rolex) en Orlando y Mason Sheppard (Chaewon) de 19 años en el Reino Unido. De acuerdo con la información.

El joven de 17 años (cuya identidad no ha sido revelada, por ser un menor de edad) se encuentra en estos momentos en una cárcel de los Estados Unidos, acusado de más de 30 crímenes. Algunos de los cargos que el Departamentos de Justicia le está imputando son fraude organizado, fraude de comunicaciones, robo de identidad y piratería digital.

Te puede interesar: Con ingeniería social se hizo el secuestro masivo de cuentas de Twitter

Más importante, la información presentada asegura que el joven no estaría siendo procesado como un menor de edad, de acuerdo con Andrew Warren, el abogado de Estado a cargo del arresto. En su primera declaración, afirmó que en estos momentos las autoridades están indagando sobre la gravedad del ataque a Twitter, para considerar otros elementos además de los 100.000 dólares en Bitcoin que fueron estafados.

“Esto podría haber tenido una enorme cantidad masiva de dinero robado a la gente, podría haber desestabilizado los mercados financieros dentro de Estados Unidos y en todo el mundo; porque tenía acceso a las cuentas de Twitter de políticos poderosos, podría haber socavado la política y la diplomacia internacional “, dijo Warren.

Por su lado, Twitter en su plataforma entregó un primer comunicado en el que agradeció a las autoridades sus acciones prontas frente a los eventos del pasado 15 de julio.

We appreciate the swift actions of law enforcement in this investigation and will continue to cooperate as the case progresses. For our part, we are focused on being transparent and providing updates regularly.

For the latest, see here 👇 https://t.co/kHty8TXaly

— Twitter Comms (@TwitterComms) July 31, 2020

“Apreciamos las acciones rápidas de las fuerzas del orden en esta investigación y continuaremos cooperando a medida que avance el caso. Por nuestra parte, estamos enfocados en ser transparentes y proporcionar actualizaciones regularmente”.

Noticia en desarrollo

Imágenes: FreePik

“Creemos que aproximadamente 130 cuentas fueron atacadas por los atacantes de alguna manera como parte del incidente. Para un pequeño subconjunto de estas cuentas, los atacantes pudieron obtener el control de las cuentas y luego enviar Tweets desde esas cuentas”, informó la red social.

Based on what we know right now, we believe approximately 130 accounts were targeted by the attackers in some way as part of the incident. For a small subset of these accounts, the attackers were able to gain control of the accounts and then send Tweets from those accounts.

— Twitter Support (@TwitterSupport) July 17, 2020

Te puede interesar: Con ingeniería social se hizo el secuestro masivo de cuentas de Twitter

El número es importante, pues los hackers tuvieron acceso a una herramienta que les permitía tener acceso a las cuentas. El siguiente paso, entonces, es verificar que tanta de esta data se vio comprometida con el ataque. ¿Tuvieron acceso a los mensajes privados de la cuenta?, ¿a otras contraseñas o información que los llevara a vulnerar otras redes sociales vinculadas? La razón por la que esto es relevante, es porque se estima que la herramienta les habría dado acceso a estas personas a los perfiles mucho antes del ataque, con lo que estaríamos hablando de días enteros con acceso a las cuentas.

Por supuesto, esta es solo una de las muchas dudas alrededor del ataque que se realizó esta semana. Por un lado, para muchos es en extraño que la persona detrás del ataque decidiera realizar la estafa a través de un mensaje para invertir en bitcoin. Una estrategia que despierta dudas, pues la persona literalmente tenía acceso a algunas de las cuentas más relevantes en la red social. Teniendo en cuenta el alcance de este ataque, su escala y la sensibilidad de la información que pudo ser vulnerada, la estafa con bitcoins parecer una solución ‘poco creativa’ para el nivel de acceso que tenía el hacker.

Imágenes: Pixabay

Estas personas se valen de cada vez más estrategias para que sus víctimas caigan en la trampa, de manera que no siempre es fácil identificarlas. ¡Pero lo que sí me da mucha piedra es que sigan creyendo que Bill Gates quiere compartir su fortuna con ustedes o que un príncipe extranjero necesita que le consignen una plata para poder salir de su país y darles una recompensa que los hará ricos por el resto de su vida!

Dr. Enter, paciencia con la tía Inocencia

Educar a mi tía Inocencia no ha sido fácil. Al comienzo la oía hablar por teléfono y me desesperaba escuchar que le daba información privada a su interlocutor. Siempre le decía: “Tía Inocencia, ¡no des tu nombre ni tu teléfono, mucho menos tu cédula”, y ella me respondía: “Mijo, pero si me los están preguntando”.

Tengo que confesar que gran parte de mi problema de alopecia se debe a los pelos que me arrancaba cada vez que ella me daba una respuesta de ese tipo. Pero con paciencia ha ido aprendiendo y ya por lo menos me llama cada vez que le llega un mensaje sospechoso, para preguntarme si debe responderlo o no. Y espero que llegue el día en que esté tan ‘ducha’ en el asunto, que sea capaz de rechazar cualquier mensaje sospechoso sin necesidad de llamarme… varias veces al día.

Recuerden que atiendo los martes cada 15 días (menos a ti, tía Inocencia) y que pueden dejar sus consultas en los comentarios de esta nota o en las redes sociales de ENTER.CO. No olviden activar sus notificaciones al canal de ENTER.CO en YouTube, para que sepan cuándo publicamos un nuevo video.

Imágenes: ENTER.CO.

En la actualidad, el eslabón más débil en la seguridad somos nosotros mismos. Con el tiempo, las personas maliciosas han mejorado sus estrategias a través de algo llamado ingeniería social. Así, llegan a los usuarios con premios ficticios, pagos que no fueron aceptados y otros tipos de artimañas para que la persona caiga y les entregue sus datos sin el uso de la fuerza.

El phishing y la ingeniería social

El phishing recibe su nombre gracias al verbo pescar en inglés (‘fishing’). Esta práctica consiste en que los criminales lanzan estrategias con ‘anzuelos’ para ver si algún incauto cae en el engaño. De esta manera, aparecen mensajes en algún sitio en los que te dicen que tu computador fue infectado. O simplemente se hacen pasar por algún miembro de un equipo de TI o una empresa con el fin de que entregues tus credenciales de Netflix, Apple ID, Gmail e, inclusive, tu cuenta bancaria.

El quiz de Google te pone ocho situaciones en las que deberás escoger si son phishing o son legítimas. La mayoría de estas consisten en mensajes de correo electrónico que acostumbramos a recibir. Estas comunicaciones son del tipo: alguien te envió un pdf o debes cambiar tu contraseña porque tu cuenta ha estado en riesgo. A través del quiz, podrás revisar los enlaces a los que llevan los botones, el correo desde donde se envía dicha comunicación, entre otros, con el fin de decidir si es una situación legítima o, por el contrario, quieren quedarse con tus datos de ingreso a tu correo u otro servicio.

Al final, Google te dirá cuántas respuestas correctas tuviste y te invitará a tomar mayores precauciones con tu cuenta. Una de las más importantes es, por ejemplo, la activación de la autenticación de dos pasos.

Toma el quiz de phising de Google en este enlace.

Imagen: Google.

De acuerdo con Kaspersky, cada año, el 46% de estos incidentes son ocasionados por los propios empleados, motivo por el cual esta vulnerabilidad en las empresas debe ser atendida en muchos niveles, no solo por el departamento de seguridad de TI.

Desinformación y descuido, principal causa

La desinformación y el descuido de los empleados son una de las causas más comunes en un incidente de ciberseguridad, superado sólo por el malware. Mientras que el malware se vuelve cada vez más sofisticado, la realidad es que el factor humano puede representar un peligro aún mayor.

En particular, el descuido de los empleados es uno de los mayores defectos en la defensa de la ciberseguridad corporativa cuando se trata de ataques específicos. A pesar de que los hackers avanzados siempre pueden usar malware a la medida y técnicas de alta tecnología para planear un ataque, es probable que comiencen con la explotación del punto de entrada más fácil: las personas.

Según la investigación, uno de cada tres (28%) ataques dirigidos contra empresas durante el año pasado tenía como origen el phishing o la ingeniería social. “Por ejemplo, un contador descuidado podría abrir fácilmente un archivo malicioso disfrazado de factura de uno de los numerosos contratistas de una empresa. Esto podría paralizar toda la infraestructura de la organización y haría del contador un cómplice involuntario de los atacantes”, comentaron expertos de Kaspersky.

Organizaciones no reciben ataques dirigidos todos los días, pero…

David Jacoby, investigador de seguridad en Kaspersky Lab, se refirió a la fragilidad que experimentan las empresas por la actuación de sus colaboradores. Para Jacoby, la capacitación del personal debe ser más rigurosa con el fin de evitar incidentes de seguridad.

“A menudo los cibercriminales usan a los empleados como un punto de acceso para entrar a la infraestructura corporativa. Correos electrónicos que contienen phishing, contraseñas débiles, llamadas falsas de asistencia técnica…lo hemos visto todo. Incluso una tarjeta flash común que se le ha caído a alguien en el estacionamiento de la oficina o cerca del escritorio de la secretaria puede poner en peligro a toda la red, lo único que se necesita es alguien que esté adentro, que no sepa nada o que no preste atención a la seguridad y ese dispositivo podría ser fácilmente conectado a la red donde podría causar estragos”, enfatizó el vocero.

Este también explicó que aunque las organizaciones no reciben ataques dirigidos avanzados todos los días, el malware convencional sí ataca en masa. La investigación muestra que incluso en el caso del malware, los empleados no conscientes y descuidados a menudo están involucrados en el ataque, causando así infecciones de malware en el 53% de los casos.

El departamento de recursos humanos y la gerencia deberían involucrarse

Kaspersky opina que ocultar los incidentes en los que se ha involucrado el personal puede traer serias consecuencias, pues aumenta el daño causado de manera general. Incluso un evento que no se informa a tiempo podría indicar que hay una brecha mucho mayor y los equipos de seguridad necesitan identificar rápidamente las amenazas que enfrentan para elegir las tácticas de mitigación adecuadas.

Sin embargo, en la actualidad el personal prefiere poner a las organizaciones en riesgo antes que denunciar un problema porque temen el castigo o se avergüenzan de ser responsables de un error. “Algunas empresas han introducido normas estrictas e imponen una mayor responsabilidad a los empleados, en lugar de alentarlos a que simplemente estén alertas y cooperen. Esto significa que la ciberprotección no se limita al ámbito tecnológico, sino también a la cultura y formación de una organización. Ahí es donde la alta dirección y recursos humanos necesitan participar”, explicaron los expertos.

De este modo, el problema de ocultar los incidentes debe comunicarse no sólo a los empleados, sino también a la dirección de la empresa y al departamento de recursos humanos. Si los empleados ocultan incidentes, debe haber una razón. “En algunos casos, las empresas introducen políticas estrictas pero poco claras, y ponen demasiada presión al personal al advertirles que no hagan esto o aquello, o serán responsables si algo sale mal. Tales políticas fomentan los temores y dejan a los empleados con una sola opción: evitar el castigo a como dé lugar. Si su cultura de ciberseguridad es positiva, basada en una estrategia educativa, en lugar de ser restrictiva, desde los puestos directivos hacia abajo, los resultados serán obvios”, agregó Slava Borilin, gerente del Programa de Educación de Seguridad de Kaspersky Lab.

Primeras recomendaciones

Borilin también recordó un modelo de seguridad industrial en el cual “un método de informar y aprender por error es el núcleo del negocio”. Por ejemplo, en una reciente declaración, Elon Musk de Tesla pidió que todos los incidentes que afectaban la seguridad de los trabajadores le fueran reportados directamente a él, de modo que pudiera desempeñar un papel central en el cambio.

El factor humano y el clima laboral

Kaspersky concluyó que las organizaciones de todo el mundo se están dando cuenta de que su propio personal puede hacer a sus empresas vulnerables: el 52% de las empresas encuestadas admite que el personal es la mayor debilidad de su seguridad informática. Y la necesidad de implementar medidas centradas en el personal es cada vez más evidente: el 35% de las empresas busca mejorar la seguridad a través de la capacitación del personal, lo que lo convierte en el segundo método entre los más populares de defensa cibernética, superada sólo por la instalación de software más avanzado (43%).

Así las cosas, la mejor manera de proteger a las organizaciones contra las amenazas cibernéticas relacionadas con el personal es combinar las herramientas adecuadas con las prácticas correctas. Esto debe involucrar los esfuerzos de recursos humanos y de la administración para motivar y alentar a los empleados a estar atentos, y a buscar ayuda en caso de algún incidente.

Como recomendaciones adicionales están: Entrenar al personal para su preparación respecto a la seguridad; proporcionarles directrices claras en lugar de documentos de muchas páginas; dotarlos de habilidades fuertes; y motivar y fomentar el ambiente de trabajo adecuado.

¿Y las tecnologías de seguridad?

En cuanto a las tecnologías de seguridad, la mayoría de las amenazas dirigidas a empleados no conscientes o descuidados (entre ellas el phishing) pueden ser tratadas con soluciones de seguridad en las terminales. Estas soluciones pueden abarcar las necesidades particulares tanto de pymes, como de grandes empresas, en términos de funcionalidad, protección preconfigurada o configuración de seguridad avanzada, para minimizar los riesgos.

Si desea leer el informe completo puede hacer clic aquí

Imagen: Pixabay

El hecho de que las redes sociales sean parte activa de nuestra vida cotidiana nos hace propensos a ataques de seguridad informática, debido a la información sensible que estas albergan.

Solo por citar un ejemplo, el pasado 2 de octubre -en el marco del Plebiscito por la Paz- varias personas expresaron en Facebook su compromiso con el país al publicar sus certificados de votación con el número de sus cédulas a la vista de todos. Algunos dirían que el número de la cédula no es tan trascendental -más si hace parte de las bases de datos de los bancos, la Registraduría General de la Nación, entre otras instituciones gubernamentales- pero no se imaginan todos los casos de fraude y suplantación que se pueden generar a partir de este dato.

Si quisiéramos ahondar en más incidentes de seguridad -según una encuesta reciente realizada por ESET Latinoamérica- el 35% de los usuarios de redes sociales sufrió un incidente de malware (también conocido como código maligno o software malicioso) que puso en riesgo su intimidad. Esto quiere decir que 1 de cada 3 usuarios se infectó con algún tipo de código maligno a través de campañas de ingeniería social que utilizan los ciberdelincuentes para robar información, controlar el sistema infectado o adquirir las contraseñas del usuario.

Esta encuesta la realizó ESET Latinoamérica a su comunidad en redes sociales durante el mes de julio, y sus resultados también evidenciaron que el 30% de las personas hicieron clic en una publicación extraña que los llevó a ser víctimas de algún tipo de engaño. Para los expertos de ESET, es habitual que los atacantes utilicen este tipo de campañas maliciosas para hacer que en los perfiles de las personas se propaguen contenidos falsos o se realicen publicaciones de manera involuntaria.

De hecho, es así como -sin necesidad de que descargues un programa en el computador o en el celular- los ciberdelincuentes logran suscribirte a servicios de publicidad que te generan costos adicionales, como servicios de SMS premium.

Facebook fue -según los encuestados- la red social más visitada, y el 80% la usa para compartir contenidos. De estos contenidos, el 56.3% corresponde a fotos, videos y textos de autoría propia, mientras que un 45% tiene que ver con información personal como nombre, apellido, nacionalidad, edad, correo electrónico, estado civil, dirección, teléfono y código postal, respectivamente.

Otro de los resultados relevantes de la encuesta es que el 15% de los usuarios fue víctima de phishing, un ataque que tiene como objetivo adquirir información personal o confidencial de las personas de forma fraudulenta. El phishing es muy común a través del correo electrónico o sitios web duplicados, pero actualmente se está realizando con regularidad en otros medios como las redes sociales.

Imagen: Pixabay, ESET.

Sabías que, según Digital Guardian, el 97% de los ataques informáticos no aprovechan una falla en el software, sino que usan técnicas de ingeniería social para conseguir las credenciales necesarias para vulnerar la seguridad informática. Por eso, a veces poco importan las medidas de seguridad tecnológicas que implementes si las personas están mandando su clave por correo electrónico. Como parte de la estrategia de seguridad de tu compañía, tienes que hacer un gigantesco esfuerzo para evitar que los criminales informáticos implementen técnicas de ingeniería social para entrar a tus sistemas.

La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información confidencial o hagan acciones inseguras. La mayoría de veces, los ataques se realizar por medio de correo electrónico o por teléfono. Los atacantes se hacen pasar por otra persona y convencen a la víctima para entregar información sensible de la organización o sus contraseñas. Como es un tema más humano, las herramientas tecnológicas que implementan las compañías no pueden prevenir los ataques. Por eso, los atacantes recurren a este tipo de tácticas para vulnerar sistemas muy seguros y complejos.

En una casa puedes tener 20 seguros y candados, todas las ventanas con un sistema de alertas y cámaras por todos lados, pero si dejas entrar a la persona que entrega la pizza sin verificar sus credenciales, toda la seguridad queda inerte.

Es más, el conocido hacker de sombrero blanco Kevin Mitnick dijo que no tenía mucho sentido invertir recursos en tratar de romper la seguridad de los sistemas. Es más rentable realizar ataques de ingeniería social para tener acceso al sistema. Esto es más válido hoy, con cifrados de 256 bits que son prácticamente imposibles de quebrar.

La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información confidencial o hagan acciones inseguras

Al montar toda tu estrategia digital, es fundamental que tengas la seguridad informática entre tus prioridades. Además de registrar tu dominio en www.cointernet.com.co, diseñar tu página e implementar técnicas de SEO, es fundamental proteger toda la información de tu negocio. A continuación te vamos a contar sobre las técnicas más comunes de ingeniería social y las formas para prevenirlas. Eso sí, siempre hay que tener en cuenta que “para un atacante resulta, en primera instancia, más sencillo y rápido buscar y encontrar vulnerabilidades y debilidades en los seres humanos que en las herramientas tecnológicas”, como nos contó Gonzalo Romero, director de seguridad informática de .CO Internet.

‘Phishing’

El ‘phishing’ viene del término en inglés de pescar. Los criminales informáticos tiran correos con ‘anzuelos’ para ver si alguien cae en la trampa. Con mucha inteligencia, los atacantes se hacen pasar por un miembro del equipo de TI o algún ejecutivo para pedir las credenciales de acceso al sistema a una víctima desconcertada. Por ejemplo, alguien crea una cuenta con la dirección de correo muy similar a la del presidente de la compañía (reemplazando la l con I) y pide le información a diferentes subalternos.

Lo normal es que le respondan y, aunque no manden la contraseña, el atacante ya tiene la información suficiente para hacer una llamada y hacerse pasar por el presidente de una manera más convincente. La complejidad de la ingeniería social está en que los criminales usan varios ataques al mismo tiempo que se van complementando para poder engañar fácilmente a sus objetivos. “Entre las muy diversas formas en que se ejecuta la ingeniería social, la más común y efectiva es aprovechar la información que su objetivo divulga (voluntaria o involuntariamente) en internet (redes sociales) y de lo que él se puede averiguar o conocer en la red, para establecer contacto (telefónico, personal, o no presencial) con él para ejecutar su ataque”, explicó Romero.

Para prevenir el ‘phishing’ es necesario educar a los empleados. Según el ejecutivo de .CO Internet, se puede mitigar el riesgo “gestionando planes de acción claros de concientización a todo el personal así como incidentes relativos a este flagelo en particular”. No podemos asumir que todos los empleados conozcas las técnicas de ‘phishing’ y aun así, no sobra reforzar los conocimientos con cierta periodicidad.

Acceso no autorizado

Los atacantes son tan atrevidos que muchos se ponen una corbata y crean una identificación falsa para entrar a las instalaciones de la compañía como un ejecutivo más. Como bastantes empresas implementan tarjetas de seguridad, los atacantes saben que las convenciones sociales son más importantes que la seguridad y esperan que algún empleado legítimo le ‘tenga la puerta’ para poder entrar sin pasar por los controles de seguridad.

Este ataque ha sido ampliamente usados para robar información, dejar dispositivos como ‘keyloggers’ o troyanos y hacer reconocimiento para realizar un ataque más especializado. Aunque suene un poco descortés, no hay que dejarle la puerta abierta a nadie o por lo menos verificar que la otra persona ponga su tarjeta para que verifique su identidad. Las personas que están en las recepciones tienen que estar muy pendientes de que todo el mundo realice adecuadamente el proceso de entrada.

La USB tentadora

Otra de las técnicas más conocidas y efectivas es dejar una USB en el parqueadero o en un sitio cercano a la oficina (como un café o un restaurante) para que algún empleado la lleve y la conecte a su computador. La USB, en principio, parece inofensiva, pero en realidad está cargada con malware que puede poner en peligro todo el sistema corporativo. Muchas compañías han deshabilitado los puertos USB de sus computadores, pero eso lo quita bastante funcionamiento al equipo.

Es mucho mejor educar a los empleados y hacerles caer en cuentas las consecuencias que puede tener una vulnerabilidad informática.

Entonces, ¿qué debemos hacer? Primero que todo, hay que tener en regla la tecnología. Los dominios .com.co son de los más seguros del mundo y cuentan con la confianza de los empresarios, emprendedores e inversionistas. Por eso, para tener esa cuota de confianza en internet, te recomendamos registrar tu dominio en www.cointernet.com.co. Debes tener un ‘firewall’ de primera línea, todos los equipos deben tener el antivirus actualizado y contar con un antispam dinámico e inteligente.

Después, hay que hacer unas sesiones educativas con todos los empleados de la empresa. Los atacantes siempre van a buscar a la persona más débil para que los ayude con su objetivo. Por eso, no puedes dejar a un lado a la asistente administrativa, al diseñador o cualquier otra persona que tenga acceso a los sistemas de la organización.

Hay que hacer unas sesiones educativas con todos los empleados de la empresa

Romero recomienda hablar con los empleados para explicarles el tema y darles ejemplos de posibles ataques. También debe haber un manual por escrito que deje claramente las mejores prácticas para prevenir la ingeniería social. No abrir enlaces de correos electrónicos desconocidos; devolver la llamada si crees que están suplantando la identidad de alguien y revisar bien las identificaciones de las personas caminando por las instalaciones de la organización son unas buenas prácticas que puedes implementar inmediatamente para reducir el riesgo de ingeniería social.

Imágenes: weerapatkiatdumrong, Czgur (vía iStockphoto).

Lleva tu negocio a internet es una categoría especial en alianza con .CO Internet. El dominio .CO es un patrimonio de todos los colombianos que se ha posicionado como los dominios más importantes a nivel global.

Como sacada directamente de una película de espías, la ingeniería social es una técnica de hackeo utilizada para sustraer información a otras personas teniendo como base la interacción social, de tal manera que la persona vulnerada no se dé cuenta cómo u cuándo dio todos los datos necesarios para terminar siendo la víctima de un ataque informático. En esta práctica se recurre, principalmente, a la manipulación de la psicología humana mediante el engaño. El delincuente actúa a partir de la premisa de que, en la cadena de seguridad de la información, el ser humano es el eslabón más débil.

Al ser una técnica de crackeo, la ingeniería social se logra a través de la manipulación psicológica y de las habilidades sociales con el fin de obtener algún tipo de información sensible o datos útiles sin que la víctima sea consciente de su utilización maliciosa. Se puede realizar de manera directa o indirecta, con el uso de la tecnología o mediante el trato personal. La idea es poder saltarse los sistemas de seguridad a través de la información que otorga directamente el protegido o los administradores de la protección.

“La persona que efectúa este método, trata de engañar a la víctima, buscando entrar en confianza o haciéndose pasar por alguien más para obtener lo que necesita. Teniendo en cuenta que somos muy vulnerables y nos movemos a través de una serie de impulsos irracionales, el que ejecute esta técnica usará comúnmente el teléfono, el internet, el disfraz u otros métodos para engañar fingiendo ser alguien más. En muchos de los casos que he conocido, la persona suplanta a un trabajador de la empresa o a alguien de servicio técnico”, dice Emanuel Abraham, hacker ético de Security Solution & Education.

“La ingeniería social no es una técnica cuadriculada. Depende de la malicia del atacante, así como de la que tenga la víctima. Se pueden utilizar infinidad de argucias y mañas para lograr la información que se necesita: desde sobornos a amigos y familiares para que faciliten el acceso a ella, hasta preguntas sueltas en ambientes de esparcimiento, correos electrónicos aparentemente inofensivos que hacen preguntas sencillas y cuyas respuestas interesan a quien solicita la información”, sostiene la ingeniera Jacqueline Tangarife, gerente de Security Solutions & Education, empresa que es la representante exclusiva para Colombia de EC-Council Academia.

Así, la ingeniería social termina convirtiéndose en el arte del aprovechamiento de las circunstancias intencionales y azarosas, pues apela a las características psicológicas humanas como la curiosidad, el miedo o la confianza, las cuales ocasionan que las personas no reaccionen siempre de la misma manera. Por lo tanto, la efectividad del proceso reside en la manera en que se logra apropiar e interpretar la información recibida, que en muchas ocasiones parece trivial.

La ingeniería social tiene cuatro formas de actuar: la primera consiste en las técnicas pasivas, basadas en la observación y en el análisis de la víctima. Como cada caso es diferente, el éxito está supeditado al contexto en el que la persona se mueve, a través de la observación de este se logra construir un perfil psicológico tentativo que permita un óptimo abordaje. La segunda técnica utilizada es la no presencial, en la cual se recurre a los medios de comunicación como el teléfono o los correos electrónicos para intentar obtener información útil, según sea el caso.

Gracias a los avances tecnológicos y a la apropiación de la tecnología en nuestra vida cotidiana, esta técnica resulta ser la más común y, al mismo tiempo, la más efectiva. En tercer lugar, están las técnicas presenciales no agresivas que incluyen el seguimiento a las personas, la vigilancia de los domicilios y la búsqueda en la basura con el fin de juntar la mayor cantidad de información. Finalmente, están los métodos agresivos que recurren a la suplantación de identidad, la despersonalización y las presiones psicológicas. Según los expertos en seguridad, la combinación de este último grupo de técnicas, junto a la explotación de las tres técnicas mencionadas en el párrafo anterior, puede ser altamente efectiva en el trabajo cara a cara entre víctima y victimario.

Fases de un ataque de ingeniería social

Al realizar un trabajo de ingeniería social artesanal, la primera fase implica un acercamiento para generar confianza con la víctima. Esto se logra por medio de correos, haciéndose pasar por representantes técnicos de algún servicio o incluso mediante una presentación formal en una charla coloquial. En esta última modalidad, es necesario que el victimario se muestre simpático, sin dar a la víctima ningún motivo que la ponga en situación de alerta ante el extraño. En esta etapa, el esfuerzo es fundamental para captar cualquier información valiosa.

Lo que sigue a esa recopilación de datos básicos es la generación de una preocupación, interés o necesidad en la otra persona. Con base en su curiosidad o deseo, el afectado estará predispuesto, consciente o inconscientemente, a brindar información. La idea es observar la reacción del objetivo y actuar en consecuencia. A partir de ahí, se usará la prueba y el error, según sea el caso.

“Si bien, los más vulnerables son aquellos que trabajan atendiendo al público, se puede decir que también entran aquellos que son confiados, aquellos que no siguen buenas políticas de seguridad, aquellos que rompen reglas o simplemente las desconocen”, dice Abraham al respecto. Por su parte, la ingeniera Jacqueline sostiene que “los niños, las empleadas del servicio y las amas de casa son extremadamente vulnerables a la ingeniería social. De igual manera, en el ámbito empresarial, los hombres son fácilmente seducidos por mujeres muy atractivas y viceversa”.

Dentro de los casos exitosos de ingeniería social reconocidos a nivel mundial, podemos encontrar el de la operación de rescate JAQUE. Para el desarrollo de esta operación, las fuerzas de inteligencia del Ejército Nacional colombiano lograron determinar el modo de comunicación al interior de la guerrilla de las FARC a través de interceptaciones. Dicho descubrimiento les permitió, junto con la suplantación de identidad, un exitoso rescate de los secuestrados.

Otro ejemplo más cotidiano, es el caso en el que se hace seguimiento a una familia objetivo para determinar sus costumbres diarias. Así, se investigan aspectos como: los nombres de los integrantes, los horarios y las actividades que realizan. Una vez se tiene suficiente información, el victimario llama a quien permanece en casa y le describe alguna situación en la que alguno de los familiares corre peligro. Posteriormente, le pide que entregue objetos de valor con el fin de poder ayudar. La persona, ingenua, puede llegar a caer en ese ataque de ingeniería social y ser víctima de robos y otros delitos.

Por sus características y porque su principal herramienta es la adaptación a diferentes escenarios y personalidades, la ingeniería social es una de las técnicas más complejas de evitar y puede llegar a ser indetectable o cuestionable, dado que maneja aspectos de psicología que no podrían ser puestos en evidencia. Sin embargo, “se puede prevenir concientizando y capacitando a todas las personas que nos rodean. Dentro de la empresa es necesario que desde el CEO hasta el portero sean conscientes de que existe esta práctica y, por esa razón, deben ser muy cuidadosos con la información que suministran. Nosotros recomendamos que se creen y apliquen políticas de seguridad, como ser más inteligente con las contraseñas —y cuidar la forma que se establece para recuperarlas al perderlas—, no anotar contraseñas, accesos ni información sensible en papeles que sean propensos a ser desechados intencional o accidentalmente. Ser cuidadoso en quién se confía y estar alerta a las intenciones que tienen quienes intentan ayudar. No abrir correos de desconocidos y tener cuidado con las ofertas o premios no solicitados, entre otras”, completa Abraham.

Con el fin de evitar estos ataques, también es importante que las personas sepan qué información es clasificada como sensible, confidencial o pública. Esto permite tener un mayor control de los límites que existen en el momento de compartir datos con otras personas, lo cual evita filtraciones. “Nosotros recomendamos como medida adicional hacer talleres de ingeniería social en donde se realicen controles respecto al tema. Contratar con una empresa consultora de seguridad de la información que haga ingeniería social entre los empleados y determine quiénes han sido víctimas de estas prácticas para mejorar y reforzar su capacitación”, aconseja la ingeniera Jacqueline Tangarife.

Productos de HP

La ingeniería social es una práctica que no puede ser corregida con equipos de marca alguna, ya que depende mucho de las reacciones humanas. Sin embargo, empresas como Hewlett Packard hacen grandes esfuerzos al diseñar y poner al servicio de los usuarios equipos como los HP TippingPoint Intrusion Prevention System (IPS) , que intentan proteger la información que entra a la empresa mediante reglas sencillas. HP es una marca líder reconocida en inteligencia e investigación de seguridad de tecnologías de la información.

El núcleo de ese programa es el HP DVLabs, donde los investigadores de vulnerabilidad y los desarrolladores aplican ingeniería inversa de vanguardia, así como técnicas de análisis para crear una amplia protección de amenazas para las redes de clientes. Los expertos en investigación de seguridad contra la vulnerabilidad controlan la actividad global de internet, analizan las nuevas hazañas, detectan las vulnerabilidades al instante y crean filtros IPS que se entregan de forma automática a los clientes de HP TippingPoint NGIPS, con el fin de que tengan protección en tiempo real. A pesar de todo esto, la ingeniería social puede tener tantos matices que es imposible proteger en un 100% a una empresa.

Imagen: editorialtripie (vía Flickr).

Por: Ana Arbelaez

La seguridad informática tiene que ser un esfuerzo conjunto. En ENTER.CO estamos comprometidos con la seguridad informática, y por eso queremos compartir algunos consejos. Como redacción de tecnología, creemos que es importante que los usuarios y las empresas tenga en cuenta que la protección digital es una prioridad. Pero a pesar de hablar de los diferentes ataques como Conficker, Stuxnet y otros, pocas veces hemos hablado de las cosas básicas que puede hacer todo el mundo para protegerse.

La analogía del mundo real es la del carro con el seguro del timón. Si hay dos carros, y uno la tiene y el otro no, el ladrón seguramente tratará de robarse el que tenga menos protección. De alguna manera, los piratas informáticos funcionan de la misma forma. Además, al ser programas parcialmente automatizados, seguramente saltarán de computadores con protección a maquinas sin protección. Unas medidas básicas, tanto en los computadores de la casa como en los de la oficina, lo protegerán de la mayoría de ataques que rondan por la red.

Antes de comenzar con las recomendaciones, hay que hacer una advertencia. Existen ataques tan avanzados, que es imposible garantizar que su equipo este totalmente asegurado. Pero con unas simples acciones, podrá tener -como ya mencionamos- más protección y evitar la perdida de la información de su computador.

Tener un antivirus actualizado

Esta es la primera y más básica recomendación. Las empresas de seguridad invierten muchos recursos para tener sus productos actualizados. Un antivirus no necesariamente lo va a proteger de las amenazas más nuevas, pero si podrá evitar ataques conocidos. Conficker, un virus que ya lleva varios años en el mercado, todavía sigue siendo una de las amenazas más populares en internet. ¿Por qué? Una sencilla razón: los usuarios no han actualizado su antivirus o simplemente no tienen uno instalado.

Escoger un antivirus es un poco más complicado de lo que parece. Hay opciones gratuitas que funcionan muy bien pero también hay soluciones pagas que posiblemente tengan más características. Ya queda a discreción del usuario saber cuáles son sus necesidades de protección y si amerita invertir en un programa más especializado. Tradicionalmente, los programas pagos tienen más capacidad de reconocer las amenazas no reportadas por el comportamiento de un programa. Por ejemplo, si un ejecutable se está metiendo con el BIOS o con los archivos del sistema, hay soluciones que lo detectan y automáticamente lo detienen.

El correo

El correo electrónico se ha convertido en una de las formas más populares de distribuir código malicioso. Sin embargo, con una combinación de buenas prácticas podrá mitigar el riesgo de los virus en el correo. En primer lugar, no abra ningún archivo adjunto de personas desconocidas.

Sin embargo, existen algunos ataques que se apoderan del cliente de correo de una persona conocida para propagarse. Eso nos lleva a la segunda recomendación. No abra archivos de personas conocidas que no está esperando. Los atacantes de hoy en día saben que tipo de archivos son los más populares entre las empresas y entre los usuarios por lo que siempre tratan de engañar a la gente con este tipo de extensiones (.doc, .xls. .jpg). Si sospecha de la veracidad de un archivo, tómese el tiempo de escribirle a la persona para garantizar que efectivamente le haya mandado el archivo.

Por otro lado, colabore con los filtros de spam. Si un correo es indeseado, márquelo para que los filtros se vuelvan más inteligentes y puedan evitar esta molesta y peligrosa práctica.

Los programas

Nada en la vida es gratis. Esta verdad es más cierta que nunca con los programas pirateados. La piratería es otro de los métodos preferidos por los hackers para ejecutar sus ataques. Por medio de los torrents se propaga mucho código malicioso. Además de ser un crimen, la piratería le puede costar muy caro a usted o a su empresa. Si baja algún programa por ese medio, es posible que venga acompañado de un virus que se robe su información bancaria o todos los datos de su sistema.

Con la propagación de las tiendas de aplicaciones, tanto en móviles como en computadores personales, lo más seguro es descargar los programas a través de ellas. Las grandes empresas de tecnología están activamente curando las aplicaciones de sus tiendas, por lo que se garantizan la integridad de los programas.

Esto no quiere decir que comprar programas en las páginas de los fabricantes este mal, pero si hay que resaltar que si no son estos dos medios, puede correr un riesgo alto.

Lo social

Esto aplica más para empresas, pero también se han visto casos personales. La ingeniería social es una de las herramientas más letales que tienen los piratas informáticos. Además del conocimiento técnico, los hackers son muy hábiles para engañar a la gente por teléfono o en vida real. El caso típico es el siguiente: una persona llama a un empleado con poco conocimiento de la tecnología y se hace pasar por un miembro del equipo de TI. Después de dar un par de datos que podría conocer cualquier persona (nombre del presidente, dirección de la empresa, etc.) le pide el usuario y la contraseña a la víctima. Con eso, ya tiene acceso a todo el sistema y puede navegar y hacer daño a su gusto

Las personas naturales también deberían tener en cuenta este tipo de ataques. Normalmente se usan para suplantar la identidad de la persona, no para robar información del sistema. El ataque es similar: el pirata se hace pasar por una entidad bancaria y pide los números de las cuentas y las cédulas para suplantar la identidad y vaciar las cuentas bancarias.

La vacuna contra todo

La defensa más fuerte que tenemos ante los ataques informáticos es la inteligencia. Si algo parece muy bueno para ser verdad, seguramente tendrá algo por detrás que sea peligroso. Trate de tener cuidado al instalar los programas y lea los pasos con detalle, ya que así es que se instalan automáticamente las barras en los navegadores y otras extensiones peligrosas.

Con un poco de cuidado y de sentido común, la mayoría de los usuarios podremos combatir a los piratas informáticos.

La seguridad informática en realidad es un monstruo de dos cabezas. Por un lado está la parte técnica; los ‘firewalls’, los servidores, la redundancia y el software. Pero por otro lado hay una parte de la cual no se habla tanto pero puede ser más importante.

La ingeniería social es cuando los hackers usan a las mismas personas para ingresar a las redes de las organizaciones. Por ejemplo, el hacker llama al área de contabilidad y se hace pasar por el asistente del presidente para conseguir la clave administradora de la lista de clientes. Eso es un caso típico de ingeniería social. Sin embargo, a medida que el correo electrónico se ha convertido en la forma más popular de comunicación en el mundo profesional, es por ahí por donde están atacando los criminales.

Lo más preocupante de la ingeniería social es que muy complicada de atacar. La empresa puede capacitar al personal, pero tradicionalmente los hackers son bastante convincentes como para poder lograr sus objetivos. Además, mucha gente todavía no sabe la gran amenaza que representa una vulnerabilidad en seguridad informática. Por lo tanto, aun con capacitaciones y advertencias, los usuarios no la tienen presente en todo momento.

Sin embargo, no todo está perdido. A pesar de que es una difícil tarea, no se puede dejar desatendida. Es importante saber por dónde están tratando de entrar los piratas informáticos. Hoy en día, los delincuentes aprovechan las coyunturas para conseguir que los empleados de las organizaciones caigan en sus trampas. Según Trend Micro, hay varias maneras en las que los piratas informáticos están enredando a sus víctimas.

El correo electrónico parece ser el método más popular para llevar a cabo los engaños . Si recibe un correo con una noticia relevante de última hora es mejor verificar de quién proviene para garantizar su veracidad. Los criminales aprovechan los desastres naturales y las noticias de última hora para hacer ataques de phishing. De esta forma, logran que la víctima entre a un sitio controlado por ellos para que ingrese sus credenciales y robar su información. Este método es especialmente popular para tratar de robar información bancaria.

Otro de los temas que puede atraer a las víctimas son las noticias sobre las celebridades. Normalmente un atacante configura un correo en el cual anuncia la muerte de alguna celebridad y los lleva a una página que captura la información confidencial.

Otro de los aspectos que hay que tener en cuenta con la ingeniería social son las redes sociales. Los atacantes han desarrollado programas para que un usuario ingrese sus credenciales. ¿Para qué sirve esto? Al ingresar a la red social de una persona, el criminal puede tener mucha más inteligencia para ejecutar ataques más dirigidos.

Además de los ya mencionados, los criminales aprovechan las fiestas navideñas y otras celebraciones para atraer a las víctimas y robar su información.

Lo más importante  que se debe tener en cuenta es que hay muchas formas de ser víctima de la ingeniería social. Desde una llamada telefónica, pasando por un amigo de Facebook hasta un correo electrónico, los hackers pueden engañar a un usuario a entregar hasta la contraseña de su tarjeta de crédito. Eso sin mencionar cosas menos personales pero más estratégicas para una organización, como el usuario y contraseña de la red de la empresa.

Tanto desde TI como desde el negocio hay que enfatizar en que es necesario mantener la guardia en todo momento. Todos los métodos de comunicación pueden ser una posible autopista para que los criminales informáticos obtengan información sobre el usuario y sobre la empresa. Entre otras precauciones, hay que tener cuidado con los correos sospechosos, y hay que evitar hacer clic en enlaces desconocidos.

La inseguridad en Facebook es cosa de todos los días. Son bien conocidas las diferentes formas de malware que circulan en la red social, pero uno de los mayores peligros es la ingeniería social, ese método que usan lo criminales para sacarle información a las personas sin usar programas o cualquier tipo de software. Para concientizar a la gente, en especial a los jóvenes, un policía canadiense se hizo pasar por adolescente en la red social y se dedicó a obtener información sensible de sus contactos.

Darren Laur, un policía canadiense de 46 años, se dedicó a investigar sobre cómo se movían los jóvenes en su ciudad de Victoria. Después, usó la información para disfrazarse de adolescente y crear un perfil convincente. Finalmente, les compró fotos a otros jóvenes y las usó para llenar su perfil y así completar la ilusión.

Sus esfuerzos rindieron frutos de inmediato, pues en poco tiempo tenía docenas de amigos en Facebook. Algunos incluso le pasaron su teléfono y dirección y confiaban en él lo suficiente para contarle cuándo los adultos estaban fuera de la casa. Para rematar, por medio de sus celulares los ‘amigos’ de Laur le contaban dónde estaban con una exactitud de hasta 10 metros.

Cuando el policía reveló su verdadera identidad en el colegio Cedar Community Secondary, los estudiantes quedaron tan sorprendidos como asustados por los esfuerzos del policía. Al menos 30 alumnos lo tenían como amigo en Facebook y uno (o una) hasta lo invitó a una cita. Gracias al trabajo de Laur, ahora muchos de los estudiantes de ese colegio tienen muy claro qué tan expuesta está su información personal en la red social.

Sería interesante que autoridades de todo el mundo siguieran el ejemplo de Laur para despertar a la gente en relación con los peligros de Facebook. La experiencia es una de las mejores herramientas para aprender, y por eso es posible que un abreojos como el del agente Laur tenga más éxito que el que tendrían mil campañas educativas tradicionales sobre el tema.

Lo que hizo el policía lo puede hacer cualquiera y, con mayores y más siniestras motivaciones, lo puede hacer mejor. Quizás esa sea la realidad más obvia y triste de todas.

Después del estudio publicado por NSS Labs la semana pasada, que proclamó a Internet Explorer como el ‘rey antimalware derivado de la ingeniería social’, Google ha salido a desmentir los resultados. Según Mountain View, el estudio no solo está incompleto, sino que además está sesgado.

El primer problema con el estudio, según Google (inglés), es que fue contratado y pagado por Microsoft, que salió como ganador indiscutible. Para el gigante de los buscadores, es algo sospechoso que Microsoft aparezca como vencedor  absoluto sobre la competencia, pues según el estudio ni siquiera combinando los resultados de todos los otros navegadores es posible llegar a la seguridad de Internet Explorer 8 y 9.

Además de la procedencia de los recursos, Google resalta que las pruebas efectuadas estaban limitadas a malware derivado de la ingeniería social y no otras amenazas.

Un vocero de Google le dijo a InternetNews.com (inglés) que “estas pruebas patrocinadas están limitadas por enfocarse únicamente en malware derivado de la ingeniería social, mientras excluye vulnerabilidades en plug-ins y en los mismos navegadores”.

Esta aseveración es confirmada por la letra fina que hay en el estudio, en el que se aclara que efectivamente las pruebas se limitan a dichas amenazas y no consideran otras, como tampoco se toman en cuenta los plug-ins.

Otros han criticado la metodología del estudio. Para el diario ABC de España (citando a Neoteo), es inútil usar 600 amenazas para evaluar la seguridad de los navegadores, cuando cada día hay miles de nuevas amenazas en la Red. También consideran increíble que se compare usando la versión más reciente de Internet Explorer pero no la de la competencia, pues ya hay versiones más nuevas que Chrome 6 y Firefox 3.6 en el mercado.

Microsoft, por su parte, defendió el estudio, diciendo que a pesar de haber sido encomendado por la compañía, las pruebas fueron “elaboradas independientemente por NSS Labs”.

No es la primera vez (inglés) que un estudio de NSS Labs es puesto en duda por ser demasiado favorable a los navegadores de Redmond y por razones similares. En el futuro, NSS Labs deberá hacer pruebas más completas y profundas para calmar a sus críticos, de lo contrario los resultados y su imparcialidad siempre estarán en duda.

Desarrollamos las siguiente guía de amenazas informáticas con información de la firma de seguridad ESET. El objetivo es que usted conozca todas las formas de infección posible, para así estar preparado y no caer en las manos de delincuentes en la Web.

Para los que deseen ampliar sus conocimiento en el tema, ESET cuenta con una plataforma de educación en línea gratuita que le permite a cualquier persona, según la empresa, aprovechar Internet al máximo sin preocuparse de las amenazas.

Si desea ampliar la lista con algún tipo de malware que no esté incluido, lo invitamos a hacerlo en la parte de comentarios.

• Malware. Es el acrónimo, en inglés, de las palabras ‘malicious’ y ‘software’, por lo que se conoce como software malicioso. En este grupo se encuentran los virus clásicos (aquellas formas de infección que existen desde hace años) y otras nuevas amenazas que han surgido con el tiempo. Se puede considerar como malware todo programa con algún fin dañino (hay algunos que incluso combinan diferentes características de cada amenaza).

• Spam. Es el correo electrónico no deseado o correo basura, que se envía sin ser solicitado, de manera masiva, por parte de un tercero. Aunque en un principio se utilizaba para envío de publicidad, se ha visto un creciente uso con el fin de propagar códigos maliciosos. Según estudios, entre el 80 y el 85% del correo electrónico que se le envía a una persona es correo basura. El spam llegaba a la bandeja de entrada inicialmente en mensajes en formato de texto. Sin embargo, con la creación de filtros anti-spam, el spam evolucionó a correos con imágenes o contenido Html para evadir la protección.
  

• Virus. Es un programa informático creado para producir algún daño en el computador. Posee dos características particulares: pretende actuar de forma transparente al usuario y tiene la capacidad de reproducirse a sí mismo, acciones que pueden compararse con los virus biológicos que producen enfermedades (y un daño) en las personas, actúan por sí solos y se reproducen (contagian).
  Los virus pueden infectar de dos maneras diferentes. La tradicional consiste en ‘inyectar’ una porción de código malicioso en un archivo normal. Es decir, el virus reside dentro del archivo ya existente. De esta forma, cuando el usuario ejecute el archivo, además de las acciones normales del archivo en cuestión, se ejecutan las instrucciones del virus. La segunda forma de infectar consiste en “ocupar el lugar” del archivo original y renombrar este por un nombre conocido solo por el virus. En este caso, al ejecutar el archivo primero se ejecuta el malicioso y, al finalizar las instrucciones, este llama al archivo original, ahora renombrado.

• Spyware. Los programas espía son aplicaciones que recopilan información del usuario sin su consentimiento. Su objetivo más común es obtener datos sobre los hábitos de navegación o comportamiento en la web del usuario atacado y enviarlos a entes externos. Entre la información recabada se puede encontrar qué sitios web visita, cada cuánto lo hace, cuánto tiempo permanece el usuario en el sitio, qué aplicaciones se ejecutan, qué compras se realizan o qué archivos se descargan.
  No es una amenaza que dañe al ordenador, sino que afecta el rendimiento de este y, en este caso, atenta contra la privacidad de los usuarios. Sin embargo, en algunos casos se producen pequeñas alteraciones en la configuración del sistema, especialmente en las configuraciones de Internet o en la página de inicio.

• Phishing. Consiste en el robo de información personal y financiera del usuario, a través de la falsificación de un ente de confianza. El usuario recibe un correo electrónico simulando la identidad de una organización de confianza, por lo que este, al confiar en el remitente, envía sus datos directamente al atacante. Su identificación es compleja pues prácticamente todos los componentes del mensaje enviado al usuario son idénticos a un mensaje legítimo del mismo tipo.

• Ingeniería social. Es una acción o conducta social destinada a conseguir información de las personas cercanas a un sistema por medio de habilidades sociales. Con esto se busca que el usuario comprometa al sistema y revele información valiosa por medio de variados tipos de engaños, tretas y artimañas.
  Por ejemplo, el usuario es tentado a realizar una acción necesaria para vulnerar o dañar un sistema, cuando recibe un mensaje que lo lleva a abrir un archivo adjunto. O puede suceder que el usuario es llevado a confiar información necesaria para que el atacante realice una acción fraudulenta con los datos obtenidos, en el caso del scam y el phishing.

• Adware. Su nombre se deriva de la combinación de las palabras ADvertisement (anuncio) y softWARE). Se trata de un programa malicioso que se instala en el computador sin que el usuario lo note, y cuya función es descargar y mostrar anuncios publicitarios en la pantalla de la víctima (se ven como ventanas emergentes del navegador o pueden aparecer incluso si el usuario no está navegando por Internet).
  El adware no produce una modificación explícita que dañe el sistema operativo, pero sí disminuye el rendimiento del equipo y de la navegación por la Red ya que utiliza recursos del procesador, la memoria y el ancho de banda. Por lo general, el adware utiliza información recopilada por algún spyware para decidir qué publicidad mostrar.

• Botnets. Es una red de equipos infectados (robot o zombi) por códigos maliciosos, los cuales son controlados por un delicuente informático el cual, de manera remota, envía órdenes a los equipos zombis haciendo uso de sus recursos. Las acciones de un equipo zombi son realizadas en su totalidad de forma transparente al usuario. Por este motivo, uno de los síntomas más importantes de un sistema infectado por un malware de este tipo es el consumo excesivo de recursos, el cual hace lento el funcionamiento del sistema y de las conexiones, e incluso puede llegar a impedir su utilización.
  Los dueños de redes botnets las utilizan para acciones como envío de spam, ataques a sitios web, alojamiento de archivos para sitios web (material pornográfico, cracks, sitios de phishing, etc.), distribución e instalación de nuevo malware y abuso de publicidad en línea.

• Gusanos. Son un sub-conjunto de malware. Su principal diferencia con los virus tradicionales es que no necesitan de un archivo anfitrión para seguir vivos, por lo que se reproducen utilizando diferentes medios como las redes locales o el correo electrónico. El archivo malicioso puede copiarse de una carpeta a otra o enviarse a toda la lista de contactos del correo electrónico, citando solo algunos ejemplos.
  La segunda diferencia es que su objetivo no es necesariamente provocar un daño al sistema, sino copiarse a la mayor cantidad de equipos como sea posible. En algunos casos, los gusanos transportan otros tipos de malware, como troyanos o rootkits; en otros, simplemente intentan agotar los recursos del sistema como memoria o ancho de banda mientras intenta distribuirse e infectar más ordenadores.

• Troyanos. Su nombre proviene de la leyenda del caballo de Troya, pues se disfraza para engañar al usuario: Los archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, provocan al usuario para que los ejecute y así logran instalarse en los sistemas. Una vez ejecutados, parecen realizar tareas inofensivas pero paralelamente realizan otras tareas ocultas en el ordenador.
  Al igual que los gusanos, no siempre son malignos o dañinos. Sin embargo, a diferencia de los gusanos y los virus, estos no pueden replicarse por sí mismos. A través de un troyano un atacante pueda conectarse remotamente al equipo infectado, registrar el tipeo y robar contraseñas, y hasta robar información del sistema. Entre los disfraces más comunes que utilizan los troyanos se encuentran archivos por correo electrónico que simulan ser una imagen, un archivo de música o algún archivo similar, legitimo e inofensivo.

• Scam. Es el nombre utilizado para las estafas a través de medios tecnológicos. Los medios utilizados por el scam son similares a los que utiliza el phishing, si bien su objetivo no es obtener datos sino lucrar de forma directa a través del engaño. Las técnicas más comunes son el anuncio de una ganancia extraordinaria o las peticiones de ayuda caritativa.

• Rootkit. Son herramientas como programas, archivos, procesos, puertos o cualquier componente lógico diseñadas para mantener en forma encubierta el control de un computador. No es un software maligno en sí mismo, sino que permite ocultar las acciones malignas que se desarrollan en un equipo. Otras amenazas se incorporan y fusionan con técnicas de rootkit para disminuir su probabilidad de ser detectadas.

Están empezando a llegar por correo tarjetas de felicitación o celebración para las fiestas del 31 de octubre, que en casi todo el mundo se conocen como halloween y en Colombia se han denominado ‘día de los niños’. Estas tarjetas en realidad buscan robarles a sus destinatarios datos confidenciales como contraseñas de bancos, correos y sitios web, así como números de tarjetas de crédito.

Si no le ha llegado aún uno de estos mensajes, esté alerta para no caer en la trampa de los delincuentes informáticos que aprovechan ésta y otras festividades en las que las personas bajan la guardia para aumentar sus ingresos.

Estas tarjetas incluyen un archivo adjunto que contiene un virus llamado Prolaco (Win32.Worm.Prolaco), el cual no daña los archivos almacenados en el computador, pero sí convierte al computador de la víctima en un zombi, el cual es controlado por los criminales y va guardando toda la información que se escribe en él, incluidas las contraseñas y números de cuentas bancarias.

La medida de no descargar archivos ejecutables (con extensiones como .exe) no es suficiente, pues Prolaco tiene el virus escondido en archivos anexos con extensiones confiables como .jpg, .pdf y .doc.

Por ello, para que en este halloween el mayor susto no sea informático, conviene evitar abrir o descargar archivos adjuntos provenientes de extraños, o adjuntos poco comunes de personas confiables –pues pueden estar infectadas sin saberlo–, utilizar una herramienta antivirus confiable, y mantenerla actualizada.

Prolaco sólo es efectivo en computadores con el sistema operativo Windows, pues no se puede ejecutar en Mac OS X, GNU/Linux y otros sistemas.

El aumento de las amenazas informáticas en estas fechas no es sorpresivo. Los delincuentes aprovechan no sólo las fiestas, sino también las tragedias y las noticias de interés mundial. Sebastián Bortnik, analista de seguridad de ESET Latinoamérica, escribió a comienzos de 2010 en el blog de la compañía que “en el empleo de técnicas de Ingeniería Social, uno de los aspectos primordiales es captar la atención de quien está frente a la computadora. En línea con esto, se espera que durante el 2010 se mantenga la propagación de amenazas en fechas especiales (día de San Valentín, Halloween, etc.) y fechas patrias (como el Día de la Independencia). Asimismo, el malware aprovechará temáticas en auge para encubrir sus verdaderos objetivos, como la crisis económica o el Mundial de Fútbol 2010″.