Uno de estos malware —que todavía no tiene nombre oficial— fue descubierto por la compañía de seguridad Dr. Web, que lo encontró distribuyéndose a través de ciertas aplicaciones en GetApps (la tienda de aplicaciones para dispositivos Xiaomi).

¿Por qué mi celular da clics solo? Así funciona el troyano Phantom

De acuerdo con el informe, estos malware pertenecen a la familia de troyanos para Android y funcionan de manera curiosa: para iniciarse, los virus hacen uso de TensorFlow.js (la librería de código abierto de Google) para ejecutar modelos de IA a través de navegadores web.

El troyano opera bajo una modalidad conocida como “Phantom”, la cual abre una ventana de navegador invisible y carga una página en la que comienza a hacer clic en diferentes anuncios. Lo más interesante de este virus es que, al utilizar inteligencia artificial, puede ocultar mejor su comportamiento frente a los motores de búsqueda y entender con mayor precisión la ubicación de la publicidad.

¿Puede mi celular estar infectado?

Algunas de las aplicaciones afectadas que fueron encontradas con este malware son las siguientes:

– Theft Auto Mafia: 61,000 descargas.

– Cute Pet House: 34,000 descargas.

– Creation Magic World: 32,000 descargas.

– Amazing Unicorn Party: 13,000 descargas.

– Open World Gangsters: 11,000 descargas.

– Sakura Dream Academy: 4,000 descargas.

Una advertencia importante es que, aunque los troyanos fueron encontrados principalmente en la tienda de aplicaciones de Xiaomi, también están siendo distribuidos a través de otros sitios. Por ejemplo, se hallaron apps infectadas en portales de APK (como Apkmody o Moddroid), especialmente en versiones modificadas de aplicaciones oficiales (por ejemplo, WhatsApp Blue).

Los investigadores también encontraron que las versiones infectadas de estas aplicaciones estaban siendo compartidas a través de ciertos canales de Telegram e incluso en un servidor de Discord llamado “Spotify X” (especializado en distribuir una versión modificada de la aplicación de música).

Aunque la información personal de los afectados no se ve comprometida directamente, esto no significa que representen un peligro menor. Este tipo de virus suelen afectar de manera significativa el consumo de batería, el gasto de datos móviles y la estabilidad del sistema.

Imágenes: Archivo ENTER.CO

Las pruebas se realizaron entre julio y octubre de 2025 y representan el conjunto de datos más actualizado disponible para orientar decisiones durante 2026. El análisis combina resultados de laboratorio con escenarios de uso real, lo que permite una lectura práctica y aplicable a la experiencia cotidiana.

AV-TEST, con sede en Alemania, evalúa software de seguridad desde hace más de quince años. Su metodología se apoya en tres pilares fundamentales: protección frente a malware, impacto en el rendimiento del sistema y usabilidad. Cada área aporta hasta seis puntos, con un máximo total de dieciocho.

Para sus pruebas, AV-TEST utiliza una de las bases de datos de amenazas más grandes del mundo, con millones de archivos analizados a diario. Alcanzar la puntuación perfecta implica superar ataques recientes y activos, lo que garantiza que el producto responde ante amenazas actuales y no solo frente a malware antiguo.

Te puede interesar: ¿Hace falta otro antivirus si ya tienes Microsoft Defender en Windows 11?

AV-Comparatives, con base en Austria, adopta un enfoque distinto centrado en el uso real. Sus evaluaciones reproducen la navegación cotidiana de un usuario común, incluyendo visitas a sitios comprometidos y descargas activas de malware, lo que aporta una perspectiva más cercana a escenarios reales.

Un aspecto clave de AV-Comparatives es la penalización de falsos positivos. Bloquear archivos legítimos afecta directamente la productividad y la confianza del usuario. Por ello, no solo se mide la capacidad de bloqueo, sino también la precisión con la que el software distingue entre amenazas reales y archivos seguros.

Ambos organismos comparten criterios que refuerzan su credibilidad. Operan de forma independiente, no alteran resultados por acuerdos comerciales y siguen estándares internacionales que garantizan procesos consistentes, transparentes y comparables entre diferentes productos y ciclos de prueba.

El grupo de la perfección con 18 puntos

En el análisis de octubre de 2025, nueve productos alcanzaron la puntuación máxima en AV-TEST. Este resultado indica un equilibrio total entre protección, rendimiento y usabilidad, sin comprometer la experiencia del usuario ni el desempeño general del sistema.

Los antivirus que lograron este resultado fueron AhnLab V3 Internet Security, Avira Internet Security, ESET Security Ultimate, F-Secure Total, Kaspersky Premium, McAfee Total Protection, Norton 360, TotalAV y Microsoft Defender.

La presencia de Microsoft Defender confirma que la protección integrada en Windows ha alcanzado un nivel competitivo frente a soluciones de pago. Para muchos usuarios domésticos, esto elimina la necesidad de invertir en software adicional para obtener un nivel de seguridad adecuado.

Los cinco mejores antivirus de 2026

Al combinar los datos de protección en el mundo real y la precisión técnica, el ranking más consistente para 2026 queda claramente definido. Estas soluciones destacan no solo por su capacidad de bloqueo, sino también por su estabilidad y bajo impacto en el sistema.

Norton fue el único del grupo que bloqueó todas las amenazas reales analizadas, sin comprometer ningún sistema durante el período de prueba. Kaspersky destacó por su precisión, con un solo falso positivo y el menor impacto en el rendimiento general del equipo.

Rendimiento, precio y criterio del usuario

Fuera del grupo principal, varios productos conocidos mostraron limitaciones claras. Panda y Trend Micro registraron un número elevado de falsas alarmas, lo que puede resultar problemático en el uso diario. Malwarebytes quedó por debajo del promedio tanto en protección como en precisión.

Bitdefender, que durante años fue un referente del sector, no alcanzó la puntuación perfecta y perdió posiciones frente a competidores directos. Aunque sigue siendo una solución sólida, su rendimiento ya no marca la diferencia como en ciclos anteriores.

Otro punto relevante es el costo a largo plazo. Muchos fabricantes ofrecen precios bajos el primer año, pero las renovaciones suelen aumentar de forma considerable. Revisar las condiciones de suscripción antes de contratar sigue siendo una recomendación clave para evitar sorpresas.

Por último, ningún antivirus sustituye el criterio del usuario. Enlaces sospechosos, correos fraudulentos y falsas alertas siguen siendo el principal vector de ataque. En 2026, la seguridad digital continúa siendo el resultado de una buena herramienta combinada con decisiones responsables.

Imagen: Generada con IA / ChatGPT

¿Qué es LameHug?

LameHug es un malware identificado en julio de 2025 por el equipo CERT-UA, especializado en ciberseguridad en Ucrania. Su principal innovación radica en el uso de un modelo de lenguaje de gran escala, que le permite analizar el sistema donde se instala y generar comandos personalizados en tiempo real. No actúa con un código rígido sino con lógica adaptativa, lo que representa una amenaza más sofisticada y evasiva.

Método de distribución

La infección ocurre a través de correos electrónicos de tipo phishing que incluyen archivos comprimidos en formato ZIP, como Appendix.pdf.zip. Dentro de estos archivos se encuentran programas ejecutables disfrazados como herramientas legítimas, por ejemplo AI_generator_uncensored_Canvas_PRO_v0.9.exe o image.py. Los correos fueron enviados desde cuentas reales previamente comprometidas, lo que redujo la sospecha del destinatario y aumentó la posibilidad de que el archivo fuera abierto.

¿Cómo funciona el malware?

Una vez ejecutado, LameHug recopila información técnica del sistema como procesos activos, conexiones de red, servicios, componentes de hardware y archivos del usuario. Luego localiza documentos almacenados en carpetas comunes como Escritorio, Documentos y Descargas. Toda esta información se almacena temporalmente en el equipo antes de ser enviada a servidores remotos bajo el control del atacante.

El malware se comunica con el modelo de lenguaje Qwen 2.5-Coder alojado en la plataforma Hugging Face. Transforma la información del entorno del sistema en lenguaje natural y la envía como entrada. A cambio, recibe comandos específicos que se ejecutan de forma adaptada. Este mecanismo le permite operar con flexibilidad y reducir las posibilidades de detección por herramientas tradicionales, según detalla un análisis técnico publicado por Cato Networks.

LameHug extrae archivos con extensiones comunes como .docx, .xlsx, .pdf y .txt. Su interés está centrado en documentos útiles desde el punto de vista institucional o personal. Esta actividad sugiere fines de espionaje, filtración o extorsión mediante exposición de datos sensibles. La selección del material se ajusta al perfil del sistema infectado.

¿Cómo la inteligencia artificial le da órdenes?

El malware se comunica con el modelo de lenguaje Qwen 2.5-Coder alojado en la plataforma Hugging Face. Transforma la información del entorno del sistema en lenguaje natural y la envía como entrada. A cambio, recibe comandos específicos que se ejecutan de forma adaptada. Este mecanismo le permite operar con flexibilidad y reducir las posibilidades de detección por herramientas tradicionales.

LameHug extrae archivos con extensiones comunes como .docx, .xlsx, .pdf y .txt. Su interés está centrado en documentos útiles desde el punto de vista institucional o personal. Esta actividad sugiere fines de espionaje, filtración o extorsión mediante exposición de datos sensibles. La selección del material se ajusta al perfil del sistema infectado.

Te puede interesar: ¿Hace falta otro antivirus si ya tienes Microsoft Defender en Windows 11?

¿Cómo protegerse ante esta amenaza?

Las recomendaciones de los expertos incluyen prácticas preventivas básicas y otras más avanzadas. No se deben abrir archivos comprimidos o ejecutables de correos desconocidos o no solicitados. Es fundamental mantener copias de seguridad en soportes externos o en la nube, activar autenticación multifactor y utilizar antivirus con detección por comportamiento. También se recomienda actualizar todos los sistemas y conectarse mediante VPN cuando se use WiFi público.

Un nuevo tipo de amenaza digital

LameHug representa una evolución en las técnicas de ciberataque. A diferencia del malware tradicional, no ejecuta instrucciones fijas sino que responde a cada entorno con comandos generados en tiempo real. También utiliza canales de comunicación legítimos, lo que complica aún más su detección. Este tipo de amenaza exige una respuesta basada en vigilancia activa, análisis contextual y conciencia del riesgo.

El caso de LameHug demuestra que la inteligencia artificial ya forma parte de las tácticas empleadas por los ciberatacantes. Este malware no solo ejecuta tareas automatizadas, sino que interpreta y decide su comportamiento según el sistema en el que opera. Frente a esto, reforzar las defensas tecnológicas y fomentar la educación digital será determinante para reducir el impacto de este nuevo escenario de amenazas.

Imagen: Generada con  IA / ChatGPT

La amenaza fue reportada inicialmente por el usuario de X @g0njxa, quien destacó el diseño casi idéntico del sitio falso respecto al original. Sin embargo, algunos detalles delatan su falsedad:

• URL Sospechosa: la dirección web del sitio fraudulento difiere de la oficial. ESET recomienda verificar siempre la URL antes de ingresar información sensible.
• Botón de Descarga: mientras que el sitio legítimo de DeepSeek ofrece un botón “Start Now” para usar la herramienta directamente en línea, el sitio falso incluye un botón “Download Now”, que redirige a la descarga de un archivo ejecutable malicioso.

Características del Malware Detectado

Si un usuario hace clic en el botón “Download Now” del sitio apócrifo, se descarga un archivo ejecutable (.exe) con el nombre de DeepSeek. Según ESET, este archivo es identificado como Win32/Packed.NSIS.A. Hasta el momento, la actividad maliciosa ha sido registrada en China, Rusia y otros países de Europa.

El dominio utilizado por el sitio falso también ha sido vinculado con otras páginas fraudulentas que distribuyen malware, haciendo uso de una firma digital asociada a una supuesta empresa llamada K.MY TRADING TRANSPORT COMPANY LIMITED para intentar evadir los sistemas de seguridad.

Te puede interesar: Empezaron las prohibiciones: Italia elimina DeepSeek de las tiendas de aplicaciones

Recomendaciones para evitar estafas y malware en tus dispositivos

Ante esta situación, ESET ha compartido una serie de consejos para protegerse de estas amenazas:

• Verificar la URL: asegurate de escribir manualmente la dirección del sitio web oficial letra por letra, en lugar de hacer clic en enlaces sospechosos.
• Evitar descargas innecesarias: DeepSeek no requiere instalación; cualquier sitio que solicite una descarga es un posible riesgo.
• Analizar archivos antes de ejecutarlos: utiliza soluciones de seguridad confiables para escanear archivos descargados.
• Consultar fuentes confiables: mantente informado sobre posibles riesgos y campañas activas a través de fuentes confiables.

Aunque la actividad maliciosa se ha detectado principalmente en algunos países de Europa y Asia, ESET advierte que este tipo de campañas podría expandirse a otras regiones, incluyendo América Latina. Por ello, la precaución es clave al acceder a herramientas en línea.

Imagen: Clint Patterson

En ENTER.CO te contaremos sobre los principales métodos de estafa que están circulando en Discord, según informó la compañía de ciberseguridad ESET, y cómo puedes protegerte de ellos.

Principales Estafas en Discord

Bots de Scam y Phishing

Los bots en Discord pueden ser una herramienta útil para automatizar tareas en un servidor, pero también son empleados para enviar mensajes directos con enlaces maliciosos. Al hacer clic en estos enlaces, los usuarios podrían descargar malware en sus dispositivos, exponiéndolos al robo de información o a ser parte de una botnet utilizada para cryptojacking.

Estafas de Criptomonedas

Una de las estafas más recurrentes en Discord involucra falsos ofrecimientos relacionados con criptomonedas. Los usuarios reciben enlaces que imitan a plataformas reconocidas y prometen premios en criptoactivos a cambio de completar un registro. Durante este proceso, los estafadores recopilan datos personales, incluidas direcciones, documentos de identidad y contactos, que luego venden en la dark web. También pueden solicitar un “depósito inicial” que nunca recuperarás.

Fraude de Discord Nitro

Discord Nitro es una versión premium que permite acceso a beneficios exclusivos como emojis personalizados, transmisiones en alta definición y mayor capacidad de transferencia de archivos. Los estafadores aprovechan esto para engañar a los usuarios con supuestas ofertas gratuitas.

Las variantes más comunes son:

• Mensajes masivos de bots: los usuarios reciben enlaces a páginas de inicio de sesión falsas donde los datos introducidos son robados.
• Mensajes de amigos comprometidos: las cuentas de tus amigos podrían ser hackeadas y usadas para enviarte enlaces de phishing o malware disfrazado de juegos o aplicaciones.

Te puede interesar: ¡Alerta!, estafas en Google Maps y Waze aumentan, ¿cómo protegerte?

Descarga de Malware

Discord permite la transferencia de archivos, lo que es aprovechado por los ciberdelincuentes para enviar malware oculto en documentos, juegos o videos. Incluso podrían emplear la versión premium Nitro para compartir archivos de mayor tamaño con códigos maliciosos.

Estafa de Baneo

En este caso, los usuarios reciben mensajes alertándolos de que su cuenta ha sido reportada o baneada. Los estafadores les piden datos personales y financieros, como contraseñas o información de tarjetas de crédito, para “reactivar” la cuenta. Obviamente, esto es un fraude.

¿Cómo Protegerte?

ESET recomienda seguir estas prácticas de seguridad para evitar caer en estafas:

• Infórmate: mantente actualizado sobre los tipos de estafas que circulan en Discord y cómo operan los ciberdelincuentes.
• Actualiza el software: asegúrate de tener la última versión de Discord y del sistema operativo en todos tus dispositivos.
• Evita enlaces sospechosos: nunca hagas clic en enlaces de remitentes desconocidos o que prometan ofertas que parecen demasiado buenas para ser verdad.
• No descargues archivos de extraños: incluso si vienen de alguien que conoces, verifica que no sean maliciosos.
• Doble Factor de Autenticación (2FA): activa esta función para añadir una capa extra de seguridad a tu cuenta.
• Desconfía de ofertas gratuitas: si algo normalmente tiene un costo, desconfía de cualquier promesa de obtenerlo sin pagar.
• Instala una solución de seguridad confiable: un buen antivirus puede bloquear amenazas antes de que afecten tu dispositivo.

Imagen: ELLA DON

¿Cómo funciona el ataque?

El método es tan sencillo como efectivo: los atacantes crean descripciones atractivas en listas de reproducción o episodios de podcast que incluyen enlaces a supuestas descargas gratuitas de software crackeado, e-books o monedas virtuales para videojuegos populares como Fortnite. Estos enlaces, al ser indexados por buscadores como Google, aparecen en los resultados de búsqueda, lo que incrementa su visibilidad y facilita el acceso a potenciales víctimas.

Una vez que el usuario hace clic en estos enlaces, es dirigido a un sitio fraudulento que le ofrece descargar el contenido prometido. Sin embargo, lo que realmente se descarga es un archivo malicioso, identificado por ESET como un instalador que puede infectar el dispositivo con adware y otros tipos de malware más peligrosos.

Te puede interesar: Funciones de Spotify que seguramente no conocías (y te ayudarán a encontrar nueva música)

Casos recientes reportados

ESET ha identificado que algunos usuarios de la red social X (anteriormente conocida como Twitter) reportaron este tipo de ataques, destacando enlaces maliciosos en descripciones de podcasts en Spotify. Por ejemplo, al buscar “crack para iTopVPN” en Google, se encontraron resultados que dirigían a podcasts con estos enlaces.

El análisis de los archivos descargados por estas rutas muestra que contienen códigos diseñados para inundar el dispositivo con publicidad emergente, redirigir a sitios inseguros y, en casos más graves, instalar programas maliciosos que comprometen la seguridad del usuario.

¿Qué hacer para evitar ser víctima?

Desde ESET recomiendan seguir algunas prácticas clave para protegerse de este tipo de amenazas:

• Evitar enlaces sospechosos: si una oferta parece demasiado buena para ser verdad, probablemente sea un engaño.
• Denunciar contenido malicioso: utilizar las opciones de reporte disponibles en Spotify para señalar enlaces sospechosos.
• Mantener actualizado el sistema: esto incluye tanto el dispositivo como las soluciones de seguridad instaladas.
• Evaluar la procedencia del contenido gratuito: sitios que ofrecen software pirateado o contenido gratuito suelen ser señuelos para este tipo de ataques.
• Escanear los archivos descargados: antes de abrirlos, utilizar software antivirus confiable.

Imagen: Kadyn Pierce

En vez de tomar el camino habitual con instaladores conocidos, Coyote utiliza una herramienta relativamente nueva llamada Squirrel para instalar y actualizar aplicaciones de escritorio de Windows. De esta manera, oculta su cargador de etapa inicial pretendiendo que es solo un empaquetador de actualizaciones.

Lo que hace que Coyote sea aún más interesante es el uso de Nim, un moderno lenguaje de programación multiplataforma que lo carga en la etapa final del proceso de infección. Esto se alinea con una tendencia observada por Kaspersky en la que los ciberdelincuentes utilizan lenguajes multiplataforma menos populares, lo que demuestra su adaptabilidad a las últimas tendencias tecnológicas.

El objetivo de Coyote coincide con el comportamiento típico de los troyanos bancarios: monitorea el acceso a sitios web bancarios específicos. Una vez que se accede al sitio web, Coyote se comunica con su servidor de comando y control mediante canales SSL con autenticación mutua. El uso de comunicación cifrada por parte del troyano y su capacidad para realizar acciones específicas como el registro de teclados y la captura de pantalla resaltan su naturaleza avanzada. Incluso, puede solicitar contraseñas específicas de tarjetas bancarias y configurar una página falsa para adquirir credenciales de usuario.

Te puede interesar: 3 tendencias de ciberseguridad en Colombia para 2024: “El año del engaño”: IBM ¿Por qué?

Los datos de telemetría de Kaspersky muestran que alrededor del 90% de las infecciones de Coyote se encuentran en Brasil, lo que causa un impacto importante en la ciberseguridad financiera de la región.

“En los últimos tres años, el número de ataques de troyanos bancarios se ha casi duplicado, llegando a más de 18 millones en 2023. Esto demuestra cómo los desafíos de seguridad en línea están aumentando. Mientras nos enfrentamos al creciente número de ciberamenazas, es realmente importante que las personas y las empresas protejan sus activos digitales”, comenta Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.

Para que los usuarios se protejan contra amenazas financieras, Kaspersky recomienda:

• Instale únicamente aplicaciones de fuentes confiables.
• Nunca abra enlaces o documentos incluidos en mensajes inesperados o sospechosos.

Imagen: Michael Geiger

Aunque Google removió muchas de las apps de Android infectadas antes de que el reporte de McAfee fuera publicado, según la compañía de seguridad muchas de estas apps todavía están disponibles dentro de la tienda de Android, así como algunas tiendas de apps externas (que son utilizadas por las personas que prefieren realizar instalaciones a través de APK para evitar el impuesto del 30% sobre compras dentro de la app).

Xamalicious es un malware que infecta el celular y a través de ingeniería social (en este caso otorgar permisos dentro del dispositivo) otorga permisos y accesos a un servidor que luego descarga un programa que toma “control completo del equipo y de manera potencial puede ejecutar acciones fraudulentas como hacer clic en anuncios o instalar otras aplicaciones sin la autorización del usuario”.

Estas son las 13 apps que deberías desinstalar de tu dispositivo si las encuentras (y quizás hacer una revisión con un antivirus si no recuerdas haberlo descargado, pues es probable que tengas otra app o software malicioso infectando tu equipo).

– Essential Horoscope for Android

– 3D Skin Editor for PE Minecraft

– Logo Maker Pro

– Auto Click Repeater

– Count Easy Calorie Calculator

– Sound Volume Extender

– LetterLink

– NUMEROLOGY: PERSONAL HOROSCOPE &NUMBER PREDICTIONS

– Step Keeper: Easy Pedometer.

– Track Your Sleep.

– Sound Volume Booster.

– Astrological Navigator: Daily Horoscope & Tarot.

– Universal Calculator – 100 downloads

Imagen po gstudioimagen1 on Freepik

Microsoft Edge, anunció que han realizado modificaciones para ayudar a los clientes a evitar estos mensajes de spam. “Los sitios que intentan enviar spam a los visitantes intentarán engañar a los usuarios para que permitan las notificaciones”,asegura.

No obstante, el buscador hace la salvedad y explica que si bien estas notificaciones no causan daño directo por sí solas, pueden ser inquietantes y algunos no saben cómo desactivarlas.

De acuerdo con una encuesta de Microsoft alrededor de tres de cada cinco usuarios han tenido una experiencia similar y alrededor del 12% han sentido algún tipo de impacto negativo con este tipo de notificaciones.

Ante esto, Edge ayudará a no solo bloquear el conocido “phishing” o “malware” sino que también a proteger errores tipográficos engañosos en el sitio web.

Te puede interesar: ¿Cómo obtener acceso a la vista previa de Microsoft Edge Workspaces? Promete ser más inteligente

La Unidad de Delitos Digitales de Microsoft trabaja con los organismos encargados de hacer cumplir la ley para encontrar el origen de este tipo de estafas y ayudar a proteger a los usuarios en todo el mundo.

La compañía aclara que las notificaciones seguirán funcionando si ya las has aceptado, y puedes aceptar notificaciones de sitios que tú y otros usuarios visitan con frecuencia.

Además, los administradores de la empresa pueden configurar una lista de permitidos para asegurarse de que sus aplicaciones internas aún puedan solicitar notificaciones a los usuarios.

Imagen: Microsoft Edge

Los dispositivos Android serían los que, desde el primer día de circulación fueron infectados con el software malicioso. Los investigadores descubrieron unas 80 piezas diferentes de malware. El informe de Trend Micro, una importante firma de ciberseguridad estadounidense, sostiene que millones de dispositivos fueron infectados desde que salieron a la venta.

Según la firma de ciberseguridad, los piratas informáticos lograron infiltrarse en los fabricantes de los dispositivos para instalar el malware desde el momento de su fabricación. Aunque los celulares representan la gran mayoría de dispositivos infectados, no fueron los únicos. También los televisores, tabletas y smartwatch de Android fueron infectos con el malware.

Te puede interesar: ¡Ojo desarrolladores de Python! Se encontró Malware en uno de sus repositorios clave

Aunque no hay certeza de cómo los piratas informáticos lograron infiltrarse, puesto que pudieron haberlo hecho en cualquier punto de la cadena de producción, se estima que fue mediante los proveedores de firmware. El acceso a esto les permitió introducir lo que Trend Micro denominó como “complementos silenciosos”. Por supuesto, son indetectables por el usuario.

Aunque no todas las 80 piezas de malware se distribuyeron ampliamente, todas tienen un impacto considerable en la seguridad de los usuarios. Algunos han sido tan efectivos que se han revendido en el mercado negro, incluso, por redes sociales como Facebook. El uso de estas piezas varía según la función del malware.

Por ejemplo, algunos funcionan como proxies capaces de monitorear la actividad del usuario: espiar conversaciones de SMS, posesión de redes sociales, etc. Algunos piratas informáticos también instalan una pulsación de tecla que les permite recuperar las contraseñas escritas por la víctima, conocer su geolocalización y dirección IP.

Imagen: Growtika vía Unsplash

No es el primer ataque de este tipo al repositorio, que es una de las fuentes de recursos más populares con los desarrolladores. De hecho, ya en noviembre de 2022 se había observado un modelo de operación similar.

¿Cómo operan los paquetes infectados con Malware en Python?

La modalidad más popular para atacar a través de estos repositorios es el typosquatting. ¿Qué es esto?

De manera sencilla, es un tipo de ingeniería social que hace uso de uno de los errores más comunes: pulsar mal el teclado al buscar algo en Internet.

Lo que los ladrones hacen es que determinan cuáles son los errores más comunes que cometen los desarrolladores al buscar paquetes de Python. Luego de esto recrean recursos que son idénticos al original, solo que la dirección de origen utiliza el error al escribir para salir como primer resultado y de esta manera fingir ser el original. Luego la persona descarga el malware creyendo estar en la página o recurso original.

Te puede interesar: ¿Esta AI te permite crear tu propio Pokémon, con solo texto?

De acuerdo con el reporte de Phylum en esta ocasión se buscó plantar estos paquetes infectados al imitar otros populares entre los desarrolladores como son ifulsoup, bitcoinlib, cryptofeed, matplotlib, pandas, pytorch, scikit-learn, scrapy, selenium, solana y tensorflow, por tan solo mencionar a algunos.

“Después de la instalación, un archivo JavaScript malicioso se coloca en el sistema y se ejecuta en el fondo de cualquier sesión de navegación web. Cuando un desarrollador copia una dirección de criptomoneda, la dirección se reemplaza en el portapapeles con la dirección del atacante”. Esto se logra a través de una extensión de Chromium en la carpeta de AppData. Los buscadores afectados son Google Chrome, Microsoft Edge, Brave y Opera.

El objetivo final de este tipo de Malware es el poder secuestrar transacciones de cripto que sean iniciadas por el desarrollador o cualquier persona en los equipos infectados. De acuerdo con Phylum, este tipo de ataques solo incrementará en los próximos años gracias a la ‘automatización’ que se ha perfeccionado, lo que permite inundar los repositorios de este tipo.

Imágenes: imágen de Elchinator en Pixabay

El top de fraudes más fuertes en Colombia

Phishing: según cifras de iuvity, el phishing ha representado este año alrededor de un 80% de los fraudes digitales cometidos en el país. Es decir, más de tres cuartas partes de los ataques con los que se han defraudado a las personas en lo corrido del año. Lejos de pasar de moda, este tipo de fraude ha evolucionado y ganado peso en el panorama digital. Ahora no solo se usan llamadas telefónicas y correos electrónicos, sino también comunicación a través de mensajes de texto, whatsapp y otras aplicaciones de mensajería. En el phishing, los estafadores usan argumentos convincentes como ofertas laborales, multas falsas o recibos de transferencias, para hacer que la víctima entregue información privada. Con dicha información, los criminales buscan acceder a las cuentas de las personas a quienes estafan para robarles.

Malware: este tipo de fraudes representa un 5% de los cometidos con éxito en el país. Malware se le llama a todos aquellos programas maliciosos, como los virus, los troyanos, etc, que toman control parcial de los dispositivos de las personas. Con este control, los estafadores buscan acceder a información confidencial para interactuar con las cuentas de sus víctimas en la banca. Un dispositivo se “infecta” de un malware a través de la apertura de vínculos o la descarga de archivos adjuntos que provienen de fuentes no confiables. Dichos archivos instalan los programas que luego toman control de celulares, tabletas y computadores.

Te puede interesar: Colombia entre los 20 países que más consumen pornografía

Descuido de claves: el 15% de los fraudes se diversifica en modalidades específicas. Una de las más notables es el descuido de claves de los usuarios, que ocurre tanto en los cajeros, como en el mismo hecho de entregar sus claves a terceros que se consideran de confianza y defraudan a sus víctimas.

Fraudes para todas las edades

Aunque existe el prejuicio de que las personas mayores son más propensas a los fraudes, lo cierto es que cada generación en el país cuenta con un canal en el que tiene más posibilidades de caer.

• Las llamadas telefónicas suelen convencer a personas mayores, no muy afines a la tecnología.
• Los correos electrónicos son transversales a diferentes generaciones. Esta es una herramienta que tiene un gran uso por todas las edades.
• Las redes sociales tienen una alta efectividad para aquellas generaciones hábiles en el uso de las tecnologías, especialmente los millennials y la generación Z.

Imagen:

El malware descubierto hace poco por la firma de seguridad Volexity se llama SHARPEXT. Es muy hábil para instalar una extensión en navegadores como Chrome y Edge. Con este malware es posible ingresar a tu correo Gmail y leer tus correos sin que te des cuenta. Este malware ha estado activo por más de un año, y hasta ahora fue descubierto. Según la firma de ciberseguridad, este es parte del trabajo de un grupo de piratería conocido como SharpTongue. Este grupo está siendo patrocinado por el gobierno de Corea del Norte.

A través de un correo electrónico, el presidente de Volexity, Steven Adair, explicó que la extensión se instala “a través de spear phishing e ingeniería social donde la víctima es engañada para que abra un documento malicioso”. Esta forma de actuar ha hecho del malware algo muy exitoso. Los registros obtenidos por la empresa de ciberseguridad muestran que el atacante pudo robar con éxito miles de correos electrónicos de muchas víctimas a través de la implementación del malware.

Te puede interesar: ¿Sabes cómo mover tus correos de Gmail a Outlook? Te lo explicamos

Las pruebas llevadas a cabo por la empresa Volexity muestran que el ataque resulta ser fatal para los usuarios de Gmail. Puesto que la empresa mostró en su publicación de blog imágenes, nombres de archivos y otros indicadores que las personas capacitadas pueden usar para determinar si han sido atacadas o infectadas por este malware de Corea del Norte. La empresa de ciberseguridad alertó que la amenaza ha crecido con el tiempo y no es probable que desaparezca pronto. Por lo que la recomendación de incrementar las medidas de protección como no abrir documentos desconocidos y así evitar infecciones de este malware.

Imagen: Yogas Design en Unsplash

El investigador de seguridad ProxyLife descubrió que QBot, una cepa de malware de Windows y que era un troyano bancario, ahora resulta más confiable para infectar computadores. Particularmente lo que hace el malware es utilizar el Windows Calculator para infectar el sistema. La forma de hacerlo es falsificando archivos DDL, la carga lateral de las bibliotecas de enlaces dinámicos, y engañando al sistema. QBot utiliza el programa Windows 7 Calculator para ejecutar estos ataques de carga lateral de DLL. Desde el 11 de julio se estaría dando este ataque a computadores, con lo que también se convierte en un método efectivo para difusión de spam.

Te puede interesar Según informes Microsoft podría presentar Windows 12 en el 2024

¿Cómo llega este virus a mi computador?

La forma en la que el QBot puede llegar a tu computador es a través de un correo electrónico que contienen el malware como un adjunto HTML. Esto  incluye un archivo tipo ZIP con un archivo ISO, que contiene un archivo . LNK. Además de una copia de ‘calc.exe’ (Windows Calculator). Dos archivos DLL: WindowsCodecs.dll, unidos por una carga útil maliciosa (7533.dll). Cuanto abres el archivo ISO entonces se ejecuta un acceso directo que se vincula a la aplicación Calculadora de Windows.

Una vez que se abre el acceso directo, la infección se infiltra en el sistema con malware QBot a través del símbolo del sistema. Windows Calculator es un programa confiable, razón por la que utilizar esta aplicación para distribuir el malware podría hacer que el sistema no detecte la amenaza. Esto lo hace una forma muy efectiva y creativa de evitar la detección. Es importante que sepas que esto solo aplica para Windows 7, porque en Windows 10 y 11 ya no pueden usar la técnica de carga de prueba DDL. Así que si aún tienes Windows 7 ten mucho cuidado con los correos sospechosos con archivos ISO.

Imagen: Tadas Sar en Unsplash

Con el uso generalizado de dispositivos electrónicos cada vez es más necesario tomar medidas de cibreseguridad. Las empresas continuamente toman medidas para asegurar la información que reposa en la nube. Uno de estos desarrollos tiene que ver con un pequeño dispositivo que se ha llamado “condones USB” que sirve para proteger los celulares en el momento de la conexión con computadores no confiables y que pudieran estar infectados con virus informáticos.

En la actualidad, la gran mayoría de los cables cargadores en una de sus puntas ahora cuentan con un puerto USB que facilita la conexión para cargar o para transferir información a los computadores. En caso de no conseguir una conexión cercana, un computador puede ser útil para cargar, sin embargo, hacerlo en un computador desconocido podría exponer la información al accionar de un malware o virus informático.

Te puede interesar USB-C es oficial, Apple tiene hasta 2024 para cambiar su puerto lightning

¿Cómo funciona el condón USB?

Mejor conocido como un bloqueador de datos USB, este dispositivo es el encargado de bloquear la transferencia de archivos y permitir solo el paso de la electricidad para cargar la batería. Así que al colocar el “condón” se bloquean los pines de datos que posee el puerto USB y solo fluirá la energía. Es decir, este mecanismo no afectará la carga del celular. Con esto solo se tendrá como resultado que al conectar el celular al computador será como hacerlo a una toma de energía. Las empresas preocupadas por la seguridad de la información ofrecen este tipo de dispositivos por precios que rondan los 40.000 y 70.000 pesos.

Imagen: Andreas Haslinger en Unsplash

En principio, la popularidad de estas formas de pago se debe a la facilidad con las que se pueden utilizar. También la comodidad por tenerlas siempre a la mano en el celular. En Colombia existen muchas plataformas como Daviplata, Nequi, tpaga, TuyaPay, Payválida, SuRed App, Cobru, Movii, dale!, Powwi y Ding, para todas ellas aplican los mismos los principios de seguridad que te daremos a continuación:

1. La contraseña: Cada una de las contraseñas que utilices en tus cuentas deben ser únicas y tener niveles de protección. Se recomienda usar claves alfanuméricas.
2. Cambia tus claves: Cada cierto tiempo debes cambiar tus claves y no uses la misma contraseña para más de una aplicación. Debes tener una clave diferente para cada billetera digital que tengas.
3. No compartas información: No compartas ni por teléfono, ni en personas, ni por ningún otro medio tu información personal. Si lo anotas en algún lugar, verifica que no esté al alcance de otras personas.
4. Descargar apps confiables: No descargues billeteras o aplicaciones que estén por fuera de las tiendas de tu celular. Siempre verifica que se trate de aplicaciones originales.

Te puede interesar: Daviplata ahora permite administrar negocios desde un perfil especial

1. Mantén el celular actualizado: El celular donde tienes la billetera digital es la primera barrera de seguridad. Mantener actualizado el SO del celular es importante para evitar ataques de malware.
2. No uses redes WiFi públicas: Cuando requieras hacer una transacción financiera con tu billetera digital no uses redes públicas. Estas redes no son seguras.
3. Anota números de tus entidades: En caso de robo siempre conviene tener a la mano los números de contacto de tus entidades financieras, así podrás comunicarte con ellos y bloquear tus productos antes de ser robado.
4. No aceptes archivos desconocidos: Al usar regularmente tu celular, no aceptes archivos ni conexiones de personas que no conozcas. Este tipo de archivos pueden tener un malware con el que pueden robar todas tus contraseñas.

Siguiendo estos consejos de seguridad podrás tener mayor tranquilidad al hacer operaciones financieras con tu billetera digital y resguardar tu dinero de los ciberdelincuentes.

Imagen: Biljana Jovanovic en Pixabay 

Esta función, que tiene como objetivo disminuir los ataques cibernéticos y mejorar la privacidad de los usuarios, se complementa con una herramienta que obligará a todas las aplicaciones de Google Play a preguntar primero al propietario del teléfono si quiere o no recibir notificaciones de las mismas. De esta forma la compañía de Mountain View busca que sea la persona quien tenga absoluto control de los permisos que le delega a cada una de sus apps descargadas.

Don’t know which Beta this was added in, but Android 13’s new “restricted setting” feature will also block the user from enabling an app’s Notification Listener if the app was sideloaded using a non-session-based package installer! pic.twitter.com/bh6Wei0mQp

— Mishaal Rahman (@MishaalRahman) July 5, 2022

Te puede interesar: Si tienes estos dispositivos ya puedes probar la beta 1 de Android 13

El editor de Esper.io, Mishaal Rahman, fue quien advirtió sobre la nueva función y quien reveló, a través de su perfil de Twitter, las restricciones que van a comenzar a impedir cambiar los ajustes respecto a apps no oficiales.

Pero la gestión de aplicaciones en Android 13 tendrá más opciones disponibles. Por ejemplo, en la parte superior del dispositivo (es decir, donde se encuentran los atajos a los ajustes), también podrás ubicar las aplicaciones que están en segundo plano; esto para que, en caso de querer borrarlas de tu celular y liberar espacio, puedas eliminarlas desde allí.

Imágenes: Archivo

El Malware es un programa malicioso, creado para realizar algún tipo de daño al dispositivo donde se instale. En este caso, el Malware encontrado en los videos, está diseñado para robar todos los datos que tengas guardados en el computador, tablet, celular, etc. Entre la información que roban se encuentran las contraseñas, datos bancarios y documentación confidencial general.

El código malicioso conocido como RedLine, fue descubierto por el equipo de ASEC, una organización que se encarga de buscar este tipo de virus. Según comentan en su página web, el malware está escondido en videos transmitidos por los piratas informáticos para la comunidad de gamers adictos al videojuego Valorant.

Te puede interesar: ¿Cómo analizar Windows 11 en busca de algún tipo de virus o malware?

Los videos exponen algunos trucos del famoso videojuego gratuito diseñado para Windows, el cual ha tenido gran éxito en Twitch desde su lanzamiento en el 2020. En ellos, los creadores afirman tener un software de trampas para derrotar al oponente fácilmente, para ello, los jugadores solo tienen que descargarlo desde el link en la descripción.

Cuando el jugador abre el link se encuentra con un archivo “cheat installer.exe”, el cual, no dudará en descargar, convencido de que es un software de trampas. Una vez el código se infiltra en el computador, procede a eliminar número de tarjetas de crédito, cookies, favoritos, etc. Incluso, ASEC afirma que el malware RedLine es capaz de vaciar billeteras croptográficas.

Como siempre, hacemos un llamado al cuidado de información importante; para ello, es indispensable que no se descargue cualquier tipo de documento del que se desconoce su procedencia. Lastimosamente, no podemos confiar en todos los canales de YouTube donde se publiquen este tipo de archivos con los que podemos facilitar tareas digitales.

Imagen: Pantallazo Pluto’s cheats

De acuerdo con Zimperium, una firma de seguridad, este tipo de aplicaciones maliciosas empezaron a aparecer en la tienda de Google en noviembre del 2020, con diferentes temáticas. Una vez descargadas mostraban mensajes a los usuarios de que se habían ganado un premio y para reclamarlo debían dar su número de teléfono. Una vez la víctima daba sus datos era inscrito a servicios pagos que descontaban dinero mensualmente. Se cree que este malware habría afectado a más de 10 millones de dispositivos.

El sistema estaba creado de tal manera que los usuarios no pudieran negarse a reclamar el premio, que variaba desde dinero en efectivo hasta bonos de regalo. El malware, por medio de la dirección IP, identificaba la ubicación del dispositivo y mostraba los mensajes en el idioma predominante en la región tanto en las ventanas emergentes como el sitio web para “reclamar el premio”.

También te puede interesar: ¡Ojo! Aumentan las aplicaciones piratas con malware en Android.

Entre las aplicaciones encontradas con este malware se encontraron en varias secciones de la tienda. Por ejemplo, desde un juego falso de ‘Forza’, hasta aplicaciones de traducción instantánea e inclusive seguimiento del ritmo cardíaco y horóscopo. Una de las que más descargas tenía era una app que supuestamente buscaba actividad paranormal a través de la cámara del smartphone, en la tienda de Google tenía 4.3 millones de descargas. Sin embargo, Zimperium afirma que sus números podrían llegar a 17.3 millones si se tienen en cuenta las tiendas de terceros.

Las aplicaciones ya fueron removidas de las tiendas de Google y sus desarrolladores vetados, pero aún se pueden encontrar en tiendas de terceros. La firma de seguridad dice que el malware principalmente busca afectar a usuarios de Europa; sin embargo, han encontrado víctimas desde Asia, África hasta el continente americano.

Imagen: Macrovector en Freepik. 

También te puede interesar: Mensaje de WhatsApp que promete Netflix gratis es un troyano.

Para instalarlo, los cibercriminales están usando campañas de phishing por mail y mensajes de texto que contienen un archivo .ZIP. Al descargarlo se instala automáticamente, abriendo una serie de puertas traseras en los computadores para robar información, explica Eset, compañía de seguridad informática.  Kaspersky también ha publicado sobre este troyano con el nombre de Javali.

De acuerdo con la compañía, es usado para robar credenciales de acceso desde usuarios de correo electrónico y sus claves, hasta credenciales bancarias. Inicialmente, los cibercriminales usaban imágenes pornográficas y explicitas sexualmente que al ser abiertas iniciaban la instalación del troyano, ahora la estrategia son correos electrónicos, donde los usuarios ven ventanas de registro falsas y entregan toda su información sin darse cuenta.

Eset resalta que a diferencia de otros troyanos que se encuentran en Internet, este ha tenido pocos cambios con el tiempo. Pero debido a que la estrategia de divulgación es por imágenes y correos spam, su eficacia parece ser alta. Por ahora, ninguna de las dos empresas menciona que se hayan encontrado objetivos en Colombia. Sin embargo, no sobra el consejo de no abrir o descargar imágenes recibidas en correos o conversaciones con extraños.

Imágenes: Stories, Master1305 (Vía Freepik) y Eset.

En total, el especial reporta más de 50.000 teléfonos en los que se ha instalado Pegasus. El software no es operado por NSO Group, este es vendido a empresas de seguridad estatal y a cada cliente se le hace firmar un compromiso de que este será usado exclusivamente con fines legales y hacer seguimiento de criminales; sin embargo, The Guardian asegura que no encontró en la lista filtrada personas con este perfil.

Por ahora, la lista demuestra que diez países son los que están usando Pegasus para espiar no criminales: Azerbaiyán, Bahrein, Kazajstán, México, Marruecos, Ruanda, Arabia Saudita Hungaria, India y los Emiratos Árabes. Entre estos, México es el que más nombres tiene en la lista con 15.000 entradas. Además, se han identificado afectados como Emmanuel Macron, presidente de Francia, y el primer ministro de este país, junto a 108 periodistas.

¿Cómo instalan Pegasus en los celulares?

Pegasus y otros software espía son instalados en los dispositivos a través de vulnerabilidades. Estas puedes encontrarse en las aplicaciones y los sistemas operativos; después de encontrarlas la manera tradicional de explotarlas es a través de enlaces en los mensajes de texto y correos electrónicos. Sin embargo, Pegasus funciona con ‘cero clics’, es decir que no se necesita que la persona abra enlaces o ningún otro tipo de interacción. En su lugar aprovecha vulnerabilidades y fallas en el sistema. Por ejemplo, en 2019 WhatsApp informó que 1.400 teléfonos fueron afectados por un malware al recibir una llamada a través de la aplicación. Más impresionante aún es que Pegasus puede ser instalado aún sin que se conteste la llamada. Otras vulnerabilidades que se aprovechan son de iMessage de Apple, que dio acceso a una puerta trasera a cientos de teléfonos iPhone.

Tanto Google como Apple aseguran que las actualizaciones constantes buscan evitar que este tipo de vulnerabilidades sean aprovechadas. Pero además de estas, las aplicaciones que instalamos en nuestros teléfonos también tienen fallas; desde allí se pueden instalar software como malware, software espía y adware. La tecnología de este tipo de programas es cada día más avanzada y después de instalados pueden tener acceso a prácticamente cualquier archivo del teléfono; también puede sobrescribir permisos y activar las cámaras y micrófonos para enviar grabaciones con facilidad.

También te puede interesar: Así se mueve el mercado negro del cibercrimen en la dark web.

Además de la facilidad para instalarlo, es casi imposible para el usuario detectar que su teléfono es la herramienta que están usando para espiarlo. En este caso, Pegasus es prácticamente imposible de identificar y, después de desinstalado, deja muy pocas huellas para reconocer si alguien fue víctima de un ataque.

NSO Group, que tiene alianzas con el gobierno israelí, asegura que no opera el software, simplemente lo vende. Así mismo enfatizan en que después de firmado el compromiso de no usarlo de maneras no éticas, es muy complicado para la empresa hacer veedurías de que su programa se está usando de manera correcta.

Sin embargo, NSO Group ha invertido millones de dólares en hacer su programa imposible de detectar, además de crear herramientas que permitan abusar de las vulnerabilidades y que este sea instalado en los teléfonos de las víctimas con mayor facilidad. Por lo que, aunque se laven las manos, tienen la misma responsabilidad que los autores de las filtraciones en los dispositivos. Por ahora la investigación de The Guardian sigue publicando información de cómo se está usando esta tecnología para abusar y encontrar en personajes y líderes enemigos públicos, de manera ilegal y que atenta a los derechos humanos.

Imagen:  PCH.Vector en Freepik. 

Según el laboratorio de inteligencia de amenazas FortiGuard Labs, que colecta y analiza diariamente incidentes de ciberseguridad en todo el mundo, en los meses de enero, febrero y marzo hubo un aumento en la distribución de malware basado en la web. Colombia sufrió más de 1.000 millones de ataques y en América Latina asciende a 7.000 millones de intentos de ciberataques.

El phishing sigue siendo uno de los métodos preferidos por los ciberdelincuentes. “Este tipo de campañas de phishing web tiene un método de propagación automática que utiliza los contactos de servicios de mensajería como WhatsApp. También las redes sociales como Facebook o Instagram de la víctima. Por medio de anuncios y publicidad fraudulenta ofrecen premios o atractivos concursos. Si los usuarios hacen clic se redirige a la página de destino del kit de explotación. Allí se descarga un malware con código malicioso oculto para propagarse y exfiltrar información. Luego se invita a compartir con los contactos, generando el efecto de propagación”, explica Leandro Reyes, director de Ingeniería de Fortinet para Sudamérica.

También te puede interesar: Colombia, uno de los países más afectados por ransomware.

Además, como se ha visto durante todo el 2020, los ciberdelincuentes continúan buscando brechas en el trabajo remoto para intentar acceder a las redes corporativas a través de los empleados que trabajan desde sus hogares. Durante el primer trimestre del 2021, tuvieron lugar múltiples intentos de ejecución de código remoto a dispositivos GPON y D-Link, los cuales son usados mayormente para ofrecer servicios de conectividad residencial.

“Los cibercriminales aprovechan la oportunidad para explotar las numerosas vulnerabilidades de seguridad que surgen en el trabajo remoto”, enfatiza Reyes. Por este motivo, recomienda una estrategia donde convergen networking y seguridad en todo el entorno desde el centro de la red hasta la nube, las sucursales y los trabajadores remotos; conocido como redes basadas en seguridad. “De este modo as empresas tener visibilidad y defenderse en los ambientes tan dinámicos de hoy, mientras mantienen una excelente experiencia de usuario”, agrega Reyes

Imagen: Rawpixel en Freepik. 

En mayo, el malware conocido como Trickbot se ubicó por primera vez en el primer puesto de la lista. Este es una red de bots y un troyano bancario que son capaces de robar datos financieros, credenciales de cuentas e información de identificación personal; además, puede propagarse dentro de una red y lanzar ransomware.

Una de las ventajas que tiene Trickbot es que tiene constante actualización con nuevas capacidades, características y vectores de distribución; esto le permite ser un malware flexible y personalizable que puede distribuirse como parte de campañas polivalentes. Check Point señala que,

Los 3 malwares con más ataques a empresas en Colombia:

Trickbot: Este grupo de bots y troyano entro a la lista por primera vez en abril y hoy ya se ubica en la primera posición, lo que demuestra su versatilidad y facilidad de esquivar la seguridad de las empresas. Este ha afectado a un 13.72 % de las empresas en Colombia.

Glupteba: Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de bitcoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 11.95 % de las organizaciones en Colombia.

XMRig: Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 11.95 % de las organizaciones en Colombia.

Top 3 del malware móvil mundial en mayo

xHelper: Aplicación maliciosa de Android que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los programas antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.

Triada: Es un backdoor modular para Android que garantiza privilegios a un tercero de superusuario para descargar malware.

Hiddad: Es un malware para Android que tiene como función principal mostrar anuncios. Sin embargo, también puede obtener acceso a las claves seguridad incorporadas en el sistema operativo, lo que permite a un ciberdelincuente obtener datos confidenciales del usuario.

Imagen: Elchinator en Pixabay. 

De hecho, Cook aseguró que Android tiene 47 veces más malware que iOS, aunque el ejecutivo no dio su fuente, el portal Android Authority asegura que podría venir de un viejo informe del 2019 de Nokia que aseguraba que el 47 % del software corrupto se encontraba en el sistema operativo de Google, mientras que solo el 1 % se encontraba en los iPhone. Sin embargo, el reporte de 2020 señala que en Android las cifras fueron del 26,6 %; mientras que iOS aumentó a 1,7 %.

Para conocer los más recientes malware y qué dispositivos afectan, visita este enlace. 

Cook aseguró que uno de los problemas de Android es permitir el Side-loading, la posibilidad de instalar aplicaciones a través de APKs y otro tipo de alternativas a través de los navegadores de Internet. “La App Store y la revisión de aplicaciones mantiene muchos de los malware fuera de nuestro ecosistema y los clientes nos han dicho que es algo que aprecian; por esto, seguiré poniéndome del lado del usuario en esta conversación y veremos qué pasa”, aseguró el ejecutivo.

Además, destacó que existe mucha desinformación sobre cómo funcionan los procesos y aseguró que se están buscando estrategias para mejorar la situación. Es importante resaltar que, a pesar de los esfuerzos de Apple, las aplicaciones maliciosas siguen encontrando la forma de llegar a los iPhone.

Imagen: Wikimedia.

Una de las razones de ser de las tiendas de aplicaciones es evitar que estas sean usadas por cibercriminales para abusar de los permisos o robar información. Una app pasa por verificación y pruebas y de no cumplir con estas es expulsada de la tienda. Pero no todos los cibercriminales buscan engañar a la tienda, de acuerdo con Bitdefender, ahora usan las estadísticas de las aplicaciones más descargadas en Android para crear una versión pirata. Esta se puede instalar desde el navegador y tienen en su código un malware conocido como Teabot o Anatsa.

Para leer más sobre malware, visita este enlace.

Este malware se usa para robar información sensible del dispositivo, además de datos de uso, puede robar datos de usuario y contraseñas de otras aplicaciones, incluyendo cuentas bancarias. Inclusive pueden recibir un livestreaming de la pantalla del dueño del celular y acceder a la aplicación de autenticación de Google para robar códigos de acceso. Entre las aplicaciones encontradas con este malware se encuentran plataformas de audiolibros y Kaspersky, el antivirus; los logos o íconos de las apps son copiados con pequeños cambios:

Estas aplicaciones pueden ser descargadas desde navegadores y otras tiendas de aplicaciones. Son recomendadas por adware cuando navegamos por Internet y su instalación es aparentemente sencilla. Una vez instaladas pueden incluso modificar los permisos que le otorgamos para robar los datos.

Imagen: Bitdefender y Rawpixel en Freepik.

Durante el juicio de Epic Games vs. Apple, Federighi aseguró que “Hoy, tenemos niveles de malware en los Mac que encontramos inaceptable; si ponemos la protección de un Mac (refiriéndose a eliminar la tienda y permitir la instalación de aplicaciones desde la web) y lo aplicamos al ecosistema de iOS, con todos estos productos ahí afuera, llegaríamos a un nivel dramático aún peor que el que tenemos con los computadores”, informó el portal Engadget.

Para leer más sobre el juicio de Epic Games vs. Apple, visita este enlace. 

El juez también le pidió a Federighi que demostrará la diferencia entre las dos plataformas y las razones de Apple para tener un sistema de descarga abierto en uno y no en el otro. A lo que este respondió que iOS está hecho para que inclusive un niño pequeño pueda operar el dispositivo y mantener ciertos niveles de seguridad; mientras que el Mac tiene que cumplir con otros requerimientos. De este modo, Federighi aseguró que se trata de dos productos y experiencias completamente diferentes.

Parece que Apple está dispuesto a dejar un poco de su reputación en esta pelea, siempre y cuando pueda convencer al jurado de mantener la App Store tal y como la conocemos hoy. Mañana, Tim Cook, CEO de Apple, tendrá que presentarse para declarar, lo que seguramente nos dará más información sobre las perspectivas de Apple; por ejemplo, hace poco se conoció sobre que la compañía decidió no notificar a 128 millones de iPhone hackeados por un código malicioso presente en más de 4.000 aplicaciones en 2015.

Imagen: Captura de pantalla. 

A través de redes sociales, colCERT (el grupo de respuesta de amenazas cibernéticas en Colombia), informó que actualmente se está llevando a cabo una campaña de estafa en la que se envía un correo a personas con el asunto ‘por incumplir Pico y Cédula usted ha recibido una multa de…’

¡Alerta! campaña a través de correo electrónico con asunto “Por incumplir la medida de Pico y Cédula usted ha recibido una multa…” contiene #malware y está siendo utilizado para robar datos personales y financieros “recomendamos eliminarlo de inmediato” @mindefensa @CaiVirtual pic.twitter.com/9MCmVnfF4K

— colCERT (@colCERT) April 20, 2021

El correo que viene acompañado de imágenes del Ministerio de transporte contiene, al parecer, un enlace que dirige al Runt para descargar un documento de tipo PDF, pero que descarga un malware en el computador que tiene como objetivo el robar datos financieros y personales.

Te puede interesar: ¡No instales! WhatsApp Pink: la nueva estafa de la app de mensajería

Como siempre, lo importante es recordar que al momento de recibir este tipo de correos se verifiquen varias cosas. Por ejemplo, es importante revisar cuál es la dirección desde la que proviene la información. También se debe desconfiar de cualquier tipo de enlace directo  para descarga y, en caso de querer validar la información, siempre es mejor constatar directamente a través de los canales oficiales de las entidades que los estafadores están suplantando.

En caso de que tengas este correo en tu bandeja, la recomendación es eliminarlo. En el caso de que hayas descargado el archivo, sugerimos comunicarte a través de canales oficiales con tus entidades bancarías.

No es la primera vez que elementos como el Pico y Cédula son utilizados para engañar a ciudadanos. colCERT también ha alertado en otras oportunidades sobre campañas similares que utilizan eventos de coyuntura (por ejemplo correos que aseguran que ha sido agendado para la vacunación) o incluso marcas nacionales (que apelan a promociones especiales) a través de grupos de WhatsApp.

Imágenes: Pixabay

Checkpoint, firma de seguridad, asegura en su reporte que la app esconde su icono para evitar que el usuario la pueda desinstalar; además pide tres permisos: Overlay, que permite crear ventanas falsas en las aplicaciones para robar datos de inicio de sesión; Optimización de batería, que le permite mantenerse activa para seguir espiando el dispositivo, y acceso a las notificaciones. Esta última, recibe las alertas de WhatsApp, marca mensajes como leídos e incluso envía respuestas que le son enviadas desde un servidor.

Este acceso a WhatsApp es precisamente uno de los más preocupantes porque le permite propagar enlaces con campañas de phishing en los que pueden caer los usuarios con mayor facilidad porque el link fue enviado por una persona de “confianza”. El reporte asegura que la aplicación no está disponible en iOS por lo que no considera que hay víctimas entre los usuarios de iPhone.

Para leer otras noticias sobre malware, visita este enlace.

Por ahora, FlixOnline se instaló más de 500 veces en los dos meses que estuvo activa en la tienda de aplicaciones, pero pueden existir otras usando el mismo método para robar información. El equipo de Google fue notificado sobre la aplicación y está ya no se encuentra disponible para su descarga en la Play Store.

Imagen: Checkpoint y archivo ENTER.CO. 

La firma de seguridad Zimperium reporta que el malware se esconde como una aplicación para la actualización de sistema, envía al usuario a un sitio web de un tercero y desde allí es instalado en los dispositivos Android. Es importante señalar que su instalación parece afectar más a los celulares que no tienen el sistema operativo actualizado y aquellos que usan los métodos de accesibilidad para usar los dispositivos.

Una vez está instalado, el malware puede:

Para leer más sobre malware, visita este enlace.

• Robar mensajes de las aplicaciones.
• Robas bases de datos de las aplicaciones de mensajería.
• Revisar las búsquedas y sitios web guardados de un navegador (Chrome, Mozilla, Firefox y Samsung).
• Revisar el contenido de las notificaciones.
• Grabar audio.
• Grabar llamadas.
• Tomar fotos periódicamente con la cámara frontal y trasera.
• Hacer listas de las aplicaciones descargadas en el teléfono.
• Robar imágenes y videos.
• Monitorear la ubicación por GPS.
• Robar mensajes de texto.
• Robar contactos del teléfono.
• Información sobre el dispositivo como estadísticas de memoria, nombre y otros.

El Malware esconde su presencia en el dispositivo porque no instala un ícono en el home del teléfono; además, manda la información en carpetas comprimidas solo cuando está conectado a Wi Fi, así evita llamar la atención en el gasto de datos móviles. El programa malicioso está constantemente activo buscando actividad en el dispositivo, los envía y en cuanto tiene una notificación de recibido, borra los archivos comprimidos y cualquier prueba de su actividad.

Es importante resaltar que la instalación y actualización del sistema operativo no necesita aplicaciones de terceros o descargar una aplicación para tener la última versión disponible.

Imagen: Katemangostar (Vía Freepik).

Un malware diseñado para introducir otro tipo de código malicioso en el dispositivo de la víctima fue encontrado en 10 aplicaciones que están en Play Store de los teléfonos Google. Lo preocupante es que los cibercriminales eran capaces de controlar el dispositivo con TeamViewer como si el teléfono lo tuvieran en sus manos.

También te puede interesar: Aplicación con malware infecta 10 millones de celulares.