Empresas refuerzan ciberseguridad ante fraudes internos en América Latina

Notipress.-  Un error humano o una filtración interna pueden convertirse en la mayor vulnerabilidad de una empresa. De acuerdo con datos recientes, tres de cada cuatro incidentes de ciberseguridad en Latinoamérica están relacionados con colaboradores, lo que pone en evidencia la necesidad de reforzar la prevención dentro de las organizaciones. Si bien el uso de inteligencia artificial ha permitido a las empresas mejorar la detección de fraudes, el riesgo interno sigue siendo una de las mayores preocupaciones

Ricardo Saponara, líder en prevención de fraudes en SAS, destacó en entrevista con NotiPress que las amenazas internas suelen ser más difíciles de detectar que los ataques externos. Explicó que los problemas de seguridad muchas veces no provienen de atacantes externos, sino que pueden originarse dentro de la misma organización debido a errores humanos o filtraciones. Para el especialista, hasta el 75% de los problemas vinculados a ciberseguridad de las instituciones siempre tiene una persona dentro de la institución involucrada.

La ingeniería social es una de las principales técnicas utilizadas por ciberdelincuentes para comprometer la seguridad y esto no cambia con el tiempo. Saponara señaló que los atacantes logran acceso a datos sensibles al manipular empleados desprevenidos. “Por eso es importante hacer la parte de entrenamiento y capacitación para los usuarios internos sobre riesgos”, mencionó.

Para enfrentar este problema, las empresas implementan tecnologías que monitorean comportamientos sospechosos dentro de sus sistemas. “Tener una estructura tecnológica que consiga hacer decisiones muy rápidas” es clave para reducir los riesgos, afirmó. Destacó también la importancia de alertas en tiempo real y monitoreo activo dentro de las organizaciones, aunque esto depende en gran medida de la estrategia seleccionada.

Además, enfatizó que el fraude interno no siempre es intencional, ya que muchos empleados pueden caer en engaños que los llevan a compartir credenciales. Reforzó la necesidad de medidas de seguridad tanto tecnológicas como educativas dentro de las compañías para prevenir de manera efectiva fraudes.

Para el especialista, “cada vez más las instituciones tienen que tomar decisiones de una forma unificada” para optimizar la seguridad y reducir vulnerabilidades dentro de sus operaciones. La velocidad con la que la inteligencia artificial generativa puede perpetrar en las empresas obliga a los especialistas a tomar medidas adicionales como por ejemplo la adopción de otra inteligencia artificial como defensa.

Un informe de Kaspersky detalla un plan del Grupo Lazarus para robar criptomonedas a través de Chrome

Notipress.- El equipo de investigación y análisis global de Kaspersky (GReAT) reveló una sofisticada campaña de ciberataque del grupo Lazarus, un grupo de amenaza persistente avanzada (APT) conocido por sus ataques a plataformas de criptomonedas. Según el equipo de Kaspersky, el ataque estaba diseñado para atraer a inversores de criptomonedas mediante un sitio web falso de un criptojuego, aprovechando una vulnerabilidad de día cero en Google Chrome para instalar spyware y robar credenciales de billeteras digitales.

Los estudios de esta campaña comenzaron en mayo de 2024, cuando los expertos de Kaspersky identificaron un ataque que utilizaba el malware Manuscrypt, una herramienta empleada por Lazarus desde 2013 en más de 50 campañas. En este caso, Lazarus integró técnicas de ingeniería social y avanzadas herramientas de inteligencia artificial generativa. Los atacantes crearon un sitio web que invitaba a usuarios a competir globalmente con tanques NFT en un juego falso, con detalles que simulaban legitimidad, incluyendo cuentas en redes sociales como X y LinkedIn y el uso de imágenes generadas por IA.

En este sentido, Lazarus explotó dos vulnerabilidades en el navegador Chrome, incluyendo un error de confusión de tipos en el motor V8, identificado como CVE-2024-4947. Esta falla de día cero permitía ejecutar código arbitrario y eludir la seguridad del navegador. Además, se descubrió una segunda vulnerabilidad que permitía evadir el sandbox de V8, aumentando las capacidades maliciosas de los atacantes. “Los atacantes fueron más allá de las tácticas habituales al usar un juego completamente funcional como fachada para explotar una vulnerabilidad de día cero en Google Chrome e infectar los sistemas objetivo “, comentó a NotiPress el experto principal en seguridad de Kaspersky, Boris Larin, subrayando el esfuerzo significativo invertido en la campaña y su potencial impacto global.

“Con actores notorios como Lazarus, incluso acciones aparentemente inofensivas, como hacer clic en un enlace en una red social o en un correo electrónico, pueden resultar en el compromiso total de una computadora personal o una red corporativa completa”, sostuvo Larin.

Para fortalecer la ilusión de autenticidad, Lazarus clonó un juego legítimo, alterando detalles visuales y utilizando código fuente robado. Tras el lanzamiento de la campaña de promoción, los desarrolladores del juego original reportaron la transferencia de $20,000 dólares en criptomonedas desde su cuenta. El diseño del juego falso era sumamente parecido al original, diferenciándose solo en la ubicación del logotipo y la calidad visual.

Dadas estas similitudes y las coincidencias en el código, los expertos de Kaspersky enfatizan que los miembros de Lazarus hicieron grandes esfuerzos para dar credibilidad a su ataque. El informe completo que detalla los movimientos de este ataque fue presentado en la reciente cumbre de analistas de seguridad en Bali y está disponible para consulta en Securelist.com.

Los pasantes pueden ser una amenaza para la ciberseguridad de una organización, afirma organización

NOTIPRESS.- Según la empresa Kaspersky, los pasantes pueden llegar a poner en riesgo la ciberseguridad de una organización al relacionarse en sus procesos mercantiles. Ello como consecuencia de la inexperiencia y la falta de conocimientos, para estar alerta ante un situación de ingeniería social.

Raramente, una organización dedica el tiempo necesario a capacitar a los pasantes ante situaciones que se pueden presentarse en la red. Pese a ello, si realizan un clic en un vínculo de phishing y la empresa no cuenta con herramientas de ciberseguridad la pueden comprometer gravemente, señaló plataforma.

Kaspersky compartió seis recomendaciones para prevenir peligros en redes empresariales. Asimismo, formas adecuadas para capacitar a los nuevos pasantes contratados.

La primera recomendación es que, antes de permitirle al pasante acceso a la infraestructura, se le debe brindar una sesión orientativa. Con base en lo anterior se le explicarán los estándares aprobados por la empresa, sobre políticas de seguridad y autenticación de factores y contraseñas.

Mostrar el fundamento de mínimo privilegio es la segunda recomendación. De este modo, los pasantes sabrán el tipo de nivel de acceso que tienen para realizar su trabajo. Así entonces, conocerán hasta qué punto puede obtener información, para no poner en riesgo la ciberseguridad de la red empresarial.

No importa que su estancia sea temporal, los empleados primerizos deben firmar acuerdos de confidencialidad, es la tercera recomendación. De esta manera, se les enseñará a los pasantes que no deben divulgar nada sobre los procesos comerciales en conversaciones personales, apuntó la compañía de ciberseguridad.

Explicar verbalmente la política de la organización sobre el uso de las redes sociales, es la cuarta recomendación. Esto a partir de hacerles comprender a los pasantes que cualquier descuido, como tomarse fotos con documentos internos detrás de ellos, puede poner en riesgo la ciberseguridad de la red empresarial

Garantizarse de anular todo acceso a la información interna de la organización, después de que el pasante se vaya, es la quinta recomendación. Además, contar con una cuenta adicional con acceso es una vulnerabilidad potencial, para poner en riesgo la ciberseguridad.

Capacitar a todos los empleados sobre los lineamientos básicos de seguridad en la red empresarial, es la última recomendación por parte de Kaspersky. La capacitación ayudará a mitigar el riesgo de la ciberseguridad, y al mismo tiempo, será una enseñanza que se lleven los pasantes cuando dejen la organización.

Para concluir, la plataforma de seguridad aseguró, existen bastantes materiales en línea que abordan aspectos básicos para prevenir algún riesgo en la ciberseguridad y que puede compartir con sus pasantes.

]]> 154655 https://www.chanboox.com/2022/05/19/habitos-al-navegar-en-internet-pueden-propiciar-estafas-digitales/ Thu, 19 May 2022 18:01:39 +0000 https://www.chanboox.com/?p=147833

Ciberdelincuentes aprovechan las tendencias de Internet, distracción y momentos de emergencia para estafar a sus víctimas

NOTIPRESS.- Especialistas en ciberseguridad de ESET revelan que las estafas en Internet se han vuelto una mayor constante. Incluso esquemas antiguos han ampliado las oportunidades de los ciberdelincuentes para atraer una mayor cantidad de víctimas.

La razón principal de este hecho es debido a que las estafas recurren a herramientas tecnológicas más sofisticadas o mejor conocido como ingeniería social. Además, algunos hábitos cuando se navega en Internet suelen dejar rastros de información que posteriormente pueden ser utilizados de forma ilícita.

Bajo ese contexto, los expertos en ESET compartieron las actitudes más comunes que suelen ser un motivo de estafa para los usuarios. Comúnmente, los estafadores sacan provecho a todos los datos disponibles, desde información pública en redes sociales, hasta la que es monitoreada por gente malintencionada.

A partir de ello, inventan una excusa para hacer de un engaño algo creíble, a esta situación se le conoce como dejar una huella digital en Internet. Por ello, es importante tener cuidado a la hora de navegar en Internet y evitar exponer más información de la necesaria.

Del mismo modo, los estafadores pueden crear historias muy verosímiles que no siempre activarán los mecanismos de alerta internos. Regularmente se aprovechan de los hechos más tendenciosos cuyo interés está en la opinión publica y de ahí poder sacar provecho de una situación.

Por ejemplo, situaciones de emergencias públicas, incluso aprovechan los temores, el estrés de la situación y la desesperación para poder actuar con mayor eficacia. Los estafadores suelen utilizar noticias falsas, artículos y cadenas enviadas por aplicaciones de mensajería con enlaces maliciosos para atacar a sus víctimas.

Otros métodos los cuales utilizan los ciberdelincuentes es ofrecer a las personas productos o servicios gratuitos, saben que este tipo de promociones son irresistibles para los usuarios. También recurren a campañas para ayudar a personas en situaciones de riesgo u otro mensaje altruista con el fin de generar sensibilidad en los usuarios y poder robar información o dinero.

Debido a esta situación, los especialistas en ciberseguridad de ESET recomiendan si sospechan de la veracidad de un mensaje, lo principal es no abrir por ningún motivo los enlaces. Posteriormente, si se trata de una tienda departamental o alguna institución bancaria, ponerse en contacto con la misma para confirmar el envío del mensaje.

Esto podría marcar la diferencia desde un inicio, además es importante cambiar en ese momento las contraseñas de cuentas importantes, por ejemplo, aplicaciones bancarias, redes sociales o correo electrónico. De acuerdo con los expertos en ESET nunca es bueno asumir que nunca se caerá en una estafa. Ser víctima de fraude es una situación donde puede caer cualquiera, sin importar el nivel de conocimientos sobre tecnología.

]]> 147833 https://www.chanboox.com/2022/05/10/estafas-en-whatsapp-son-las-mas-recurrentes-segun-expertos-en-ciberseguridad/ Tue, 10 May 2022 23:38:31 +0000 https://www.chanboox.com/?p=146532

Ingeniería social, la herramienta clave que utilizan los ciberdelincuentes para robar información de los usuarios

NOTIPRESS.- Expertos en ciberseguridad de la empresa ESET señalan que gran parte de las estafas circulan a través de WhatsApp. Actualmente, la plataforma propiedad de Meta tiene 2 mil millones de usuarios en todo el mundo, ello la convierte en un blanco de la ingeniería social.

Según los especialistas, esta práctica es el arte de manipular al usuario al hacerle creer algo que no es y convencerlo de realizar acciones cuyo objetivo convengan a los delincuentes. Si bien, existen múltiples modalidades de fraudes, ESET compartió con NotiPress algunas de las más frecuentes dentro de la plataforma de mensajería.

En primera instancia se encuentra el falso aniversario de una marca; por ejemplo, llega un mensaje a la víctima comunicando que una marca o servicio están celebrando su aniversario. El mensaje también contiene algún tipo de regalo o beneficio enlazado a un link donde los usuarios deben llenar una encuesta antes de recibir el presente.

Posteriormente, deben compartir el mensaje con determinada cantidad de contactos en grupos de WhatsApp, pero esto, el 100 por ciento de los mensajes siempre son un fraude. Las campañas maliciosas buscan el objetivo de hacer que la víctima descargue aplicaciones, complementos sospechosos o instalen un software para robar su información. Regularmente, estos mensajes se presentan en fechas de celebración, Navidad, Thanksgiving, Black Friday, Fin de Año, entre otras celebraciones populares.

Otro de los más recurrentes es la suplantación de identidad en WhatsApp el cual se logra robando el código de verificación o mediante un SIM Swapping. Una vez obtenida la información, los ciberdelincuentes acceden a las diferentes cuentas haciéndose pasar por algún familiar o amigo cercano.

Para lograrlo, descargan la lista de contactos e imágenes de perfil de la cuenta y alguna otra información relevante en caso de necesitar crear un perfil falso con otro número. En ocasiones suelen comunicarse con la víctima desde la cuenta robada con familiares y amigos para solicitar dinero por una supuesta emergencia o convencerlos para realizar alguna otra acción.

Del mismo modo, las actualizaciones de WhatsApp falsas son lo más común en la plataforma para enganchar a los usuarios. La mayor parte del tiempo envían mensajes invitando a las personas a descargar la nueva versión para agregar nuevos colores, nombres o acceder a WhatsApp Plus. Sin embargo, esto está lejos de ser verdad y siempre se trata de una malware para descargar un troyano y entrar al teléfono de la víctima.

Ante estos tipos de estafas, los expertos en ciberseguridad de ESET recomiendan aprender a desconfiar de todo tipo de mensajes de números desconocidos. No hacer clic en cualquier enlace que se pueda recibir en WhatsApp y tampoco completar ningún test que requiera de información personal o datos bancarios.

También recurrir a la autenticación en dos pasos de las cuenta utilizando una aplicación de autenticación y no vía SMS, genera un mayor grado de seguridad. Seguir estos consejos pueden marcar la diferencia para evitar ser una víctima más de la ciberdelincuencia a través de WhatsApp.

]]> 146532 https://www.chanboox.com/2020/09/30/la-importancia-de-reconocer-ataques-ciberneticos-basados-en-ingenieria-social/ Wed, 30 Sep 2020 22:37:59 +0000 http://www.chanboox.com/?p=112911

Los antivirus y los firewalls no pueden detener este tipo de ataques; la educación y concientización sí

NOTIPRESS.- Con la llegada del coronavirus y el aumento del trabajo en casa, también se incrementó la cantidad de ciberataques. No obstante, los antivirus y los firewalls no son la única forma de mantenerse a salvo de estos. Los expertos también advierten del peligro de los ataques mediante ingeniería social y señalan que es importante conocer cómo funcionan para poder protegerse de sus consecuencias nefastas. Según el informe global de IBM sobre el coste de una brecha de datos en 2020, una filtración de información cuesta a una empresa cerca de 4 millones de dólares, en promedio, por incidente.

Según la Asociación de banqueros canadienses, la ingeniería social es un proceso mediante el cual los delincuentes aprovechan y explotan el impulso humano básico de responder a solicitudes urgentes, de ser útil o bien de ayudar a alguien en necesidad, con el fin de conseguir que la víctima de este proceso brinde información susceptible de usarse para cometer fraude financiero. Es decir, en lugar de utilizar técnicas de piratería informática, los ingenieros sociales utilizan la manipulación y la psicología humana con el objetivo de obtener esta información mediante historias pensadas para engañar a sus víctimas.

De acuerdo a este organismo, los fraudes de ingeniería social más comunes son:

Phishing o smishing: Los ciberdelincuentes envían un correo electrónico o un mensaje de texto para intentar engañar a la víctima y conseguir que proporcione información voluntariamente o bien, la instalación de malware en su computadora mediante enlaces o archivos adjuntos infectados.

Vishing: Este es un tipo de phishing realizado a través de llamadas telefónicas, en las cuales el delincuente intenta engañar a la víctima para que revele información confidencial, como contraseñas, o amenaza con deudas falsas o intenta engañar para cobrar tarifas o deudas con tarjetas de regalo.

Hackeo de correos electrónicos: Mediante el hackeo de una cuenta de correo electrónico, el ciberdelincuente envía correos a la lista de contactos de la víctima en su nombre para que amigos y familiares hagan clic en enlaces o envíen dinero para una emergencia falsa. En un contexto empresarial, esta técnica puede utilizarse con el fin de intentar engañar a empleados y ejecutivos desprevenidos.

Baiting o cebo: En este escenario, el ciberdelincuente deja una unidad de almacenamiento portátil (una memoria USB, por ejemplo) en un lugar público, etiquetada como confidencial o con alguna otra leyenda llamativa, de manera que cuando la víctima la conecte por curiosidad a su equipo, éste sea infectado.

“En estos tiempos de hiperconectividad, la ingeniería social se ha convertido en una seria amenaza en línea. Es más fácil enviar un correo electrónico de apariencia oficial o atraer a alguien para que haga clic en un enlace, y engañarlo”, señala respecto a este tema Jacob Ortega, Chief Technology Officer de la aplicación bancaria Albo. Comenta, además, que la mejor forma para combatir estos ataques de ingeniería social es mantenerse alerta e implementar escaneos continuos de seguridad en los dispositivos para detectar oportunamente alguna brecha de seguridad en la información.

Además de estas recomendaciones, la organización sin fines de lucro FreeCodeCamp recomienda la instalación de filtros de email y spam, mantener el antivirus y el firewall de los equipos de cómputo actualizados, requerir identificación cuando alguien dice llamar en nombre de una organización, como un banco, por ejemplo; crear consciencia y educar al personal de una empresa sobre estos riesgos, así como desconfiar de las promesas de dinero rápido y ser consciente de que si algo parece demasiado bueno para ser verdad, probablemente lo sea.

Considerando el aumento de los ciberataques y ante la evidencia de ciberdelincuentes aprovechándose de los miedos que causa la Covid-19, los expertos coinciden en la necesidad de permanecer alerta y consciente de las tácticas de ingeniería social utilizadas por atacantes para cometer fraudes cibernéticos.

]]> 112911 https://www.chanboox.com/2020/07/18/twitter-sucumbio-ante-tacticas-de-ingenieria-social/ Sun, 19 Jul 2020 00:11:14 +0000 http://www.chanboox.com/?p=110933

Según Twitter, un grupo de soporte técnico fue manipulado con tácticas de ingeniería social

NOTIPRESS.- Según explicó en su blog, Twitter fue víctima de una vieja táctica en cuestiones de seguridad, la ingeniería social. El 15 de julio de 2020, 45 cuentas de la red social dirigida por Jack Dorsey sufrían lo que en ese momento pareció un hackeo a los sistemas de seguridad. Las cuentas vulneradas, entre las que se encontraba Apple, Barack Obama, Jeff Bezos, Joe Biden, Bill Gates, entre otras, mostraban mensajes de invitación a transferir a una dirección de bitcoin con la falsa promesa de recibir el doble del monto transferido en la criptomoneda. Así, el gigante de las redes sociales sucumbió ante la ingeniería social.

Twitter explicó el 18 de julio de 2020, “creemos que los atacantes atacaron a ciertos empleados de Twitter a través de un esquema de ingeniería social“. Asimismo, la red con sede en San Francisco detalló, “los atacantes manipularon con éxito a un pequeño número de empleados y utilizaron sus credenciales para acceder a los sistemas internos de Twitter“. En total se intentó el acceso a 130 cuentas, pero los estafadores pudieron tomar el control solo de 45. Esto fue suficientemente rápido como para lograr en pocas horas, transferencias de bitcoin equivalentes a más de 100 mil dólares. La tecnología blockchain protege el anonimato de las transacciones pero muestra de forma transparente el monto de las transacciones de una cuenta.

Las tácticas de ingeniería social no son un elemento nuevo, los atacantes suelen sacar provecho de las circunstancias, sin forzar a los sistemas ni vulnerar la seguridad. En 2018, el operador Jeffrey Wrong, de la Agencia Estatal de Hawai permitió le tomaran una fotografía durante una entrevista periodística, sin percatarse que en un monitor tenía un post-it con su contraseña. Esto lo utilizaron hackers para generar una falsa alarma de la inminencia de un misil proveniente de Corea del Norte. El error humano también formó parte de tácticas de ingeniería social, aunque en ese caso no hubo intención por parte de atacantes, sino un simple descuido del operador de la agencia y una mala práctica de la agencia en asuntos sensibles como la gestión de contraseñas.

Por su parte, Twitter se sinceró en la entrada del blog y expresó, “estamos avergonzados, decepcionados, y más que nada, lo sentimos“. El incidente lo está investigando la red social junto con la policía federal. La firma tecnológica no aclaró si los atacantes accedieron a mensajes privados de las cuentas usurpadas, pero precisaron, “no hay pruebas de que los atacantes obtuvieran las contraseñas de las cuentas de las que consiguieron tomar control el pasado miércoles“.

De acuerdo a una investigación del diario The New York Times, el ataque lo realizó un grupo de jóvenes sin vínculos con el crimen organizado. Asimismo, el medio corroboró no se trató de un ataque de otro país o un equipo sofisticado de hackers. La vieja táctica de ingeniería social logró el objetivo de hacer caer en un error humano al círculo intimo de Twitter sin siquiera ejecutar un ciberataque.

]]> 110933