O tal vez debería haber pedido, “¿Podemos alguna vez deshacernos de contraseñas para el bien?”

El mundo de la seguridad sabe que las contraseñas son un problema. Los productos se envían con contraseñas predeterminadas que nunca se cambian. Las personas reutilizan contraseñas antiguas o adoptan contraseñas fáciles de adivinar que los hackers pueden derrotar fácilmente mediante la fuerza bruta. O los usuarios simplemente no pueden seguir teniendo que recordar 27 contraseñas diferentes para varias cuentas en línea.

Muchas veces antes, hemos discutido formas de hacer que las contraseñas sean más seguras. Use frases más largas y complejas que no incluyan información de identificación personal. Considere un servicio de administración de contraseña o inicio de sesión único. Utilice la autenticación de dos o múltiples factores (MFA) porque las credenciales de inicio de sesión simples no son lo suficientemente seguras.

Sin embargo, estos enfoques no hacen nada para eliminar nuestra dependencia de las contraseñas como línea de defensa entre la información pública y privada. Y, en última instancia, las contraseñas siempre serán susceptibles a errores humanos.

Para combatir el problema de la contraseña, los desarrolladores de dispositivos móviles y aplicaciones han comenzado a adoptar medidas biométricas para reemplazar las contraseñas numéricas, incluido el uso de huellas digitales, gráficos y reconocimiento facial. Estoy bastante seguro de que muchas empresas están trabajando en una solución para solucionar este problema, o tal vez incluso sienten que ya lo han encontrado. Pero hasta ahora ninguno de ellos ha resultado ser ni remotamente tan popular como la contraseña.

Antes de considerar un futuro sin contraseña, echemos un vistazo a algunas de las medidas de seguridad y alternativas existentes para las contraseñas. Porque una cosa es segura: nadie está contento de tener que recordar diferentes contraseñas para cada sitio, aplicación y dispositivo.

Pero si los usuarios continúan escribiendo sus contraseñas en cuadernos o notas post-it, reutilizando contraseñas en plataformas, o pegándose en combos fáciles de recordar como 1-2-3-4-5 , entonces los ciberdelincuentes seguirán teniendo un campo día con sus datos.

Administradores de contraseñas

Los administradores de contraseñas son un salvavidas para aquellos de nosotros que nos preocupamos lo suficiente como para usar una contraseña diferente para cada sitio. ¿Pero son realmente una alternativa a las contraseñas? Todavía necesitas las contraseñas originales, ¿verdad? En realidad, necesita una contraseña adicional porque los administradores de contraseñas requieren que desarrolle una contraseña maestra para gobernarlas a todas. Sin embargo, el beneficio es que, después de ingresar todas las credenciales de su cuenta al administrador de contraseñas una vez, solo necesita recordar la contraseña maestra en el futuro.

Podría argumentar que si pierde el acceso a su administrador de contraseñas o si se ve comprometido de alguna manera, esto solo empeora las cosas mucho, mucho más. De hecho, hay algún riesgo. Sin embargo, los administradores de contraseñas a menudo cifran o codifican las contraseñas originales para las cuentas, y las que usan autenticación 2FA o de múltiples factores tienen medidas de seguridad adicionales para evitar una violación.

Los administradores de contraseñas no son perfectos, pero generalmente son mucho más seguros que la alternativa estándar actual. Continuamos recomendando a los consumidores que usen administradores de contraseñas con MFA como la mejor práctica de ciberseguridad.

Inicio de sesión único (SSO)

El software SSO es popular en los lugares de trabajo para administrar la variedad de aplicaciones de terceros adoptadas por las organizaciones, así como para proteger mejor el acceso de los trabajadores remotos a los recursos de la empresa. Al iniciar sesión en un sitio central cuando comienza su jornada laboral, se le otorga acceso a un panel de aplicaciones y servidores de la compañía aprobados para su punto final, generalmente por el resto del día. La ventaja para la organización es que el acceso otorgado se puede ajustar en función de las necesidades y la autorización del usuario individual.

El uso del software SSO hace que sea muy importante bloquear su computadora cuando abandona su escritorio, o nunca dejar su computadora portátil desatendida en una cafetería. Esto se debe a que las credenciales de inicio de sesión que administra se otorgan a la máquina, como si usted fuera el único usuario. Entonces, John the Prankster podría echar un vistazo a tu último recibo de pago si dejas tu estación de trabajo desbloqueada. O, lo que es peor, si le roban su computadora y todavía está conectado, el criminal puede ver todos los datos del lugar de trabajo a los que tiene acceso.

Recuperación de contraseña

Desafortunadamente, muchos usuarios han recurrido a la recuperación de contraseña como un modo de acceder a sus cuentas. Si no pueden escribir la contraseña, pero deben recordar contraseñas complejas y diferentes para cada cuenta (y aún no han adoptado la administración de contraseñas, ya sea porque desconocen el servicio, no están dispuestos a pagarlo o desconfían de su privacidad y beneficios de seguridad), entonces, ¿qué otra opción tienen sino reiniciar constantemente?

Algunas personas abusan de la función de recuperación de contraseña para cada sitio web en el que necesitan iniciar sesión. Probablemente conoces el ejercicio:

• Haga clic en «Olvidé mi contraseña».
• Reciba un correo electrónico con una URL en la que debe hacer clic antes de que pierda validez, o peor aún, le envían una nueva contraseña temporal en texto sin formato.
• Inicie sesión y cambie la nueva contraseña, y estará feliz.
• Repita cuando quiera visitar de nuevo.

Recientemente me di cuenta de una posible desventaja de este método cuando perdí el acceso a una de mis cuentas de correo electrónico. ¡Ay! ¿Qué sucede cuando no tiene una contraseña y no puede recuperar su reemplazo porque está bloqueado de su cuenta de correo electrónico, lo apaga o tampoco puede recordar la contraseña de su dirección de correo electrónico?

Por suerte, no tuve que averiguarlo. Pude iniciar sesión y cambiar mi cuenta de correo electrónico cuando fue necesario. Pero para aquellos que dependen de la recuperación de la contraseña, eso implica mucho recordar las contraseñas de las cuentas de correo electrónico y confiar en que las credenciales del correo electrónico nunca serán comprometidas o robadas. Porque, ¿qué sucede cuando se piratea tu correo electrónico? Ahora todos sus enlaces de restablecimiento de contraseña se envían directamente a un cibercriminal. Hable sobre el despido.

Biometría

La biometría se refiere al uso de características físicas para identificar a los usuarios y permitirles acceder y controlar sus computadoras. En lugar de letras, números y símbolos escritos en un teclado, los dispositivos que usan autenticación biométrica miden y calculan los atributos físicos del cuerpo, desde la presión hasta las pequeñas huellas hechas por las huellas digitales, hasta el reconocimiento facial y la cadencia vocal.

Si bien la biometría definitivamente está ganando terreno, especialmente como uno de los factores de autenticación en MFA, hay un problema importante que acecha en el horizonte. ¿Qué pasa si alguien logra «robar» su autenticación biométrica levantando una huella digital? ¿O si «pierde» el acceso a él por algún tipo de accidente o cirugía reconstructiva? ¿Qué se supone que debes hacer? ¿Crecer un par de ojos nuevos? Incluso su número de dedos podría cambiar en algún momento.

La biometría conductual es algo de lo que cada vez más instituciones financieras comienzan a darse cuenta. Esta es una forma dinámica de autenticación que analiza los patrones de comportamiento de una persona, la forma en que interactúan con los sistemas y las tecnologías, para identificar a los usuarios.

Si bien su precisión es alta, la biometría del comportamiento aún no coincide al 100 por ciento, por lo que por ahora la tecnología se está utilizando para monitorear sesiones en lugar de durante la autenticación de inicio de sesión. Esto significa que un banco u otra organización puede usar la biometría del comportamiento para verificar si todavía está usando el sitio, o si alguien más se hizo cargo de la sesión y cerró la sesión en consecuencia.

Llaves físicas

Este es un tipo de autenticación que a menudo es parte de una autenticación de dos factores (2FA). Primero inicia sesión y luego demuestra que dice quién es presionando un botón en la tecla física. Este puede ser un dispositivo conectado a su computadora como una memoria USB o por Bluetooth o cualquier otro contacto de corto alcance. En febrero de 2019, Google anunció que los dispositivos Android con 7.0 y superior podrían usarse para registrar a las personas en sitios web y aplicaciones. Con FIDO2 , un estándar abierto desarrollado por FIDO Alliance, los usuarios de Android pueden iniciar sesión automáticamente en sus sitios mediante el inicio de sesión biométrico o de contraseña para su dispositivo en lugar de contraseñas individuales.

La desventaja de usar una clave de seguridad física es que requiere hardware adicional que puede perderse o romperse o, en el caso de los dispositivos Android, bastante costoso. Sin embargo, sería una buena alternativa si pudiera usarse en todas partes, lo que por el momento ni siquiera está cerca de la verdad.

Los dispositivos iOS actualmente no usan el estándar FIDO2, y alrededor del 42 por ciento de los usuarios de Android todavía están ejecutando el software de la versión 6.0 y anteriores. Además, aunque muchos navegadores adoptan el estándar FIDO, los desarrolladores de software y aplicaciones aún deben incorporar su API para poder utilizar la función para iniciar sesión en sus programas.

Aplicaciones de autenticación

Las aplicaciones de autenticación le permiten usar su teléfono para iniciar sesión en sitios específicos, generalmente escaneando un código QR en el sitio web y luego autenticándose a través de su teléfono utilizando datos biométricos o un código de acceso. Su teléfono enviará una confirmación al sitio web y, en consecuencia, se le permitirá continuar.

---

Lectura recomendada: ¿La autenticación de dos factores (2FA) es tan segura como parece?

---

Estas aplicaciones de autenticación a menudo son utilizadas por bancos y otras organizaciones públicas. Sin embargo, los códigos QR , o códigos de barras bidimensionales, tienen defectos conocidos que han sido explotados por ciberdelincuentes y utilizados con frecuencia en estafas.

Autenticación de puntaje de confianza

Esto está estrechamente relacionado con la biometría del comportamiento. Google , y tal vez otros, están trabajando en esto. Una puntuación de confianza se calcula en función de varios factores, como la ubicación, el reconocimiento facial y el patrón de escritura. Si la puntuación es lo suficientemente alta, se le otorgará acceso.

Suena genial, pero ¿te imaginas lo frustrante que puede ser cuando se te niega el acceso y no tienes idea de por qué? Y si dicho software de autenticación le dijera qué está haciendo diferente de lo habitual, esto abre la posibilidad de que un atacante se haga pasar por usted mediante prueba y error.

Certificados

Un certificado de autenticación de cliente es un certificado de seguridad utilizado para autenticar clientes durante un protocolo de enlace SSL. Autentica a los usuarios que acceden a un servidor intercambiando el certificado de autenticación del cliente. En pocas palabras, esto significa que tiene un certificado válido en su sistema que no ha expirado y fue emitido por una autoridad de certificación de confianza.

Parte de la información cifrada se envía de un lado a otro para garantizar que tenga la clave pública y privada que acompaña a ese certificado. Cuando ese intercambio tiene éxito, el servidor puede proporcionarle acceso a los recursos a los que tiene derecho. Sin embargo, los ciberdelincuentes han descubierto formas de abusar del sistema de certificados a través de malware, por lo que este método no es 100% infalible.

SQRL

Algo similar a los certificados de autenticación es el método de autenticación de GRC, que se denominó SQRL. Para obtener una descripción completa de cómo funciona SQRL, recomendamos leer Bienvenido a SQRL (PDF) . Es un concepto interesante que combina los puntos fuertes de algunos de los otros métodos, como el cifrado , en un método de autenticación de un solo factor.

Comprobación de credenciales robadas

Nos gustaría señalar algunos servicios que puede utilizar para verificar si sus credenciales de contraseña han sido robadas o comprometidas. La mayoría de nuestros lectores estarán familiarizados con ¿He sido pwned , donde se puede comprobar en base a la dirección de correo electrónico.

En el sitio de VeriCloud, puede buscar según la dirección de correo electrónico y el dominio (para organizaciones), y puede hacer que VeriCloud le envíe por correo electrónico las contraseñas filtradas. No se sienta culpable cuando su (s) dirección (es) de correo electrónico aparezcan en estos sitios. Le pasa a los mejores de nosotros! Pero compruebe dónde se encontraron y asegúrese de cambiar la contraseña que usó allí y no la reutilizó en otro lugar.

Datos matemáticos sobre contraseñas

En caso de que necesite crear nuevas contraseñas, esto es algo a tener en cuenta. ¿Sabías cuánta diferencia hacen esos pocos personajes extra?

Básicamente, la fuerza de la contraseña está determinada por dos factores diferentes y el número de posibilidades se puede calcular con la fórmula a a la potencia de b , donde a = el número de caracteres permitidos yb es la longitud de la contraseña.

Por ejemplo, una contraseña básica que puede contener seis letras minúsculas tendrá varias posibilidades 26 ^ 6, lo que equivale a 308,915,776. Puede parecer mucho, pero en un ataque de fuerza bruta, dicha contraseña durará menos de un segundo.

Agregar dos letras nos da aproximadamente 209 mil millones de opciones y dicha contraseña duraría contra un ataque de fuerza bruta durante unas horas. Si también puede usar letras mayúsculas, números y caracteres especiales, la base de la ecuación es 77, y podemos llegar a 208 mil millones con solo seis caracteres.

Aún así, estamos buscando una contraseña que tomaría solo unas horas para descifrar un ataque. Para construir una contraseña que dure toda la vida en el estado actual de las velocidades de cómputo requeriría una contraseña de 12 letras (95,428,956,661,682,176 opciones) o nueve caracteres si podemos usar el conjunto completo (95,151,694,449,171,437 opciones).

Tenga en cuenta que las velocidades de la computadora continúan aumentando y que aún existe la posibilidad de que su contraseña se filtre, por lo que no hay garantía de que dicha contraseña dure. Pero en este momento, la contraseña larga y de múltiples caracteres sigue siendo el rey. Mientras que otros métodos como la biometría, las claves físicas y la autenticación web están en proceso, ya se han identificado fallas de seguridad.

En cuanto al futuro, las ideas sobre microchips implantados, contraseñas cerebrales e identificación basada en ADN ya han circulado, pero las preocupaciones éticas cobran gran importancia. ¿Alguna vez habrá un sistema verdaderamente 100 por ciento seguro para reemplazar las contraseñas?

Nuestra suposición es no. De hecho, no existe una protección del 100 por ciento. Pero con la adopción generalizada de mejores prácticas y una tecnología más fácil e innovadora, el problema de la contraseña debería, como mínimo, porque es mucho menos molesto para los consumidores, lo que lo hará mucho más seguro para el mundo.

Los proveedores de servicios gestionados (MSP) han sido una bendición para las medianas empresas. Permiten descargar la deuda técnica a un agente con las habilidades y recursos para administrarla, dando así a la organización un espacio para enfocarse en el crecimiento de un negocio, en lugar de los detalles de la infraestructura.

Durante mucho tiempo, los proveedores de servicios externos no fueron atacados directamente por sus fallas de seguridad, ya que los objetivos lucrativos estaban más directamente disponibles. Pero con las mejores prácticas de seguridad obteniendo una adopción lenta en todas las organizaciones empresariales, los MSP se han vuelto gradualmente sujetos a amenazas, con sus clientes como el objetivo final, ya que se consideran una victoria más fácil que atacar a los clientes por la puerta principal.

Hoy en día, un MSP puede esperar ser atacado no solo por derecho propio, sino como un punto clave para obtener datos del cliente que de otro modo podrían defenderse mejor contra el ataque directo.

Pero, ¿qué tan malo es realmente el panorama de amenazas para los proveedores de servicios administrados? Los MSP generalmente operan en un entorno de recursos limitados, y seguramente los ataques secundarios no serían tan comunes como los ataques directos, ¿verdad?

Echemos un vistazo a lo que los proveedores de servicios externos enfrentan hoy en un intento de mantener a esos clientes seguros y felices.

Ataques de ransomware en MSP

El ransomware puede usarse en un ataque secundario apalancado contra datos específicos del cliente. También se puede implementar en un ataque oportunista, al igual que con los usuarios finales individuales. O puede servir como un ataque dirigido contra un segmento del mercado que sufrió graves daños por el tiempo de inactividad, como lo ha sido para las ciudades y escuelas de EE. UU.

En junio de 2019, se observaron ataques contra clientes de MSP utilizando PowerShell para impulsar el ransomware Sodinokibi a puntos finales administrados. Estas tácticas fueron empleadas previamente por los actores de ransomware GandCrab, que utilizaron una vulnerabilidad en el software de administración remota en un intento de infectar a todos los clientes de MSP a la vez.

Si bien el ransomware es una constante en el panorama de amenazas tanto para usuarios finales como para empresas de todos los tamaños, los ataques dirigidos a múltiples vectores que utilizan software auxiliar como punto de pivote solo se veían anteriormente con grupos APT . Dado el potencial de los actores de amenazas de monetizar la gran base de clientes de un MSP de una vez, los defensores deben esperar que los ataques complejos como estos aumenten en el futuro.

Los ataques APT son el foco de mucho esfuerzo en las conversaciones de seguridad empresarial, a pesar de que son bastante raros. El noventa por ciento de las organizaciones recibirían un mejor servicio al enfocarse en los 10 principales OWASP , la administración de activos y los errores de configuración predeterminados incluso antes de comenzar a abordar los ataques APT.

Dicho esto, los MSP con objetivos de alto valor como clientes pueden caer en el 10 por ciento de las empresas sujetas a ataques secundarios y dirigidos. Anteriormente visto con mayor frecuencia con firmas de abogados que prestan servicios a clientes sensibles, algunos movimientos de APT se han expandido para dirigirse a todos los proveedores de servicios que tienen datos en sus objetivos principales.

Entre 2017 y 2018, el grupo MenuPass utilizó credenciales robadas para obtener acceso a un MSP noruego con aproximadamente 850,000 clientes en total. Posteriormente enumeraron los datos de la red y la información patentada extraída, con la probable intención de obtener inteligencia sobre clientes específicos de MSP.

Notable en esta campaña fue el uso subrepticio de credenciales legítimas para afianzarse en las redes de víctimas. Estas tácticas se observaron en la naturaleza en la medida en que USCERT lanzó un aviso a los proveedores de servicios de TI para implementar una estrategia de defensa en profundidad para mitigar futuros ataques APT.

Los defensores deben tener en cuenta aquí el uso de credenciales legítimas. Los grupos APT son más conocidos por usar vulnerabilidades de día cero u otros ataques que requieren altos recursos y apoyo institucional. Pero al igual que otros grupos de amenazas menos sofisticados, no tienen la obligación de continuar haciéndolo: una gestión deficiente de las credenciales junto con un software de terceros sin parches es suficiente para permitir a los actores APT un camino claro hacia los datos de propiedad de un cliente a través de la red MSP.

Entonces, ¿cómo saber si su lista de clientes incluye «objetivos sensibles» sujetos a este tipo de ataque? El modelado de amenazas es un tema en sí mismo que puede recorrer un largo camino hacia la identificación de clientes en riesgo. (Consulte nuestra versión sobre el modelado de amenazas aquí .) Pero los ataques anteriores indican que los clientes involucrados en la ley, los contratos de defensa, la fabricación u organización de la disidencia política están potencialmente sujetos a ataques APT, ya sea directamente o a través de sus redes.

Los sospechosos de siempre

Habiendo revisado algunas operaciones interesantes centradas específicamente en los datos y clientes de MSP, sería negligente si no mencionáramos los ataques que, por peso, constituyen la mayor parte de las amenazas que enfrentan todas las organizaciones.

Aunque APT 10 lo utiliza para violar un MSP australiano, el mal manejo de las credenciales de administrador no es un ataque avanzado. El hecho de no examinar y parchear adecuadamente el software de terceros introduce un riesgo significativo que no requiere un actor sofisticado para explotar. (Más información sobre la seguridad de aplicaciones de terceros aquí ).

Para un ejemplo reciente, se ha descubierto que la plataforma de administración en la nube OnApp tiene una vulnerabilidad que permite el acceso a todos los servidores administrados con un proveedor de la nube, siempre que comiencen con el acceso a uno.

Por último, la gestión deficiente de los activos y la falta de herramientas de análisis de registro adecuadas (o, en algunos casos, la falta de uso) ha sido responsable de escalar un incidente de seguridad relativamente menor a una violación significativa en muchos casos, ya sea que el ataque fuera objetivo o no. Aunque los proveedores de servicios de TI enfrentan desafíos únicos como se enumeró anteriormente, ignorar los conceptos básicos puede dar como resultado ataques oportunistas tan dañinos como los APT potenciales.

La comida para llevar

Un MSP que busca proporcionar un servicio de primer nivel a un cliente valioso ya no puede centrarse exclusivamente en el tiempo de actividad como la única medida de calidad. Un panorama de amenazas cambiante ha convertido a los datos de alto valor en un objetivo destacado, independientemente de en qué red se encuentre. El aumento de la conciencia de seguridad en las organizaciones empresariales solo continuará aumentando la recompensa de atacar objetivos auxiliares, como los proveedores de servicios, en cumplimiento de los objetivos de los actores de amenazas.

Los proveedores de servicios de TI de terceros generalmente no son abiertamente negligentes, pero pueden encontrarse detrás de la curva de seguridad debido a la falta de experiencia actualizada en el tema, la falta de cobertura de los conceptos básicos y, lo más importante, la idea de que La seguridad es un centro de costos que debe minimizarse de la forma más agresiva posible.

La seguridad empresarial es, de hecho, una inversión en la confianza pública que se requiere para un crecimiento sostenido del capital. El MSP exitoso a largo plazo será el mejor capaz de mantener y capitalizar la confianza del cliente. Ignora esa confianza bajo tu propio riesgo.

La semana pasada en Malwarebytes Labs, observamos el posible futuro del seguro de ciberseguridad , describimos el proceso para asegurar el proveedor de servicios administrados de hoy y proporcionamos un explicador en profundidad sobre la táctica de espionaje comercial conocida como «envío de guerra».

Además, al considerar la intersección del Mes nacional de concientización sobre ciberseguridad y el Mes nacional de concientización sobre la violencia doméstica, presentamos un resumen del panorama actual de stalkerware , incluyendo por qué es difícil protegerse y por qué Malwarebytes se compromete a aumentar la seguridad para los usuarios en todas partes.

Otras noticias de ciberseguridad

• Los usuarios de Twitter vieron que sus números de teléfono, que habían proporcionado expresamente para la seguridad de autenticación multifactorial, también se usaban con fines publicitarios . (Fuente: placa base)
• Los investigadores de Google repararon ocho vulnerabilidades encontradas en su navegador Chrome , solo semanas después de haber reparado otras cuatro vulnerabilidades. (Fuente: Semana de la seguridad)
• GitHub, a pesar de enfrentar una reacción violenta de los empleados que acusó a la compañía de ser «cómplice de abusos generalizados a los derechos humanos» , renovará un contrato de $ 200,000 que tiene con el Servicio de Inmigración y Control de Aduanas de EE. UU . (Fuente: ángulo de silicio)
• Tres docenas de grupos de derechos civiles exigieron a los funcionarios locales, estatales y federales que corten las asociaciones actuales entre la compañía de seguridad del hogar de Amazon, Ring, y más de 400 agencias policiales. (Fuente: placa base)
• El servicio de correo electrónico Click2Mail sufrió una violación de datos que pudo haber comprometido los nombres, las direcciones de correo de la cuenta, las direcciones de correo electrónico y los números de teléfono de los usuarios. (Fuente: Lectura oscura)
• Un ciudadano de Singapur enfrenta 34 años de prisión por presuntamente usar los servicios informáticos robados de Amazon AWS y Google Cloud para extraer criptomonedas. (Fuente: Bleeping Computer)
• Bots y cuentas falsas impulsadas por inteligencia artificial se han vuelto cada vez más hábiles para imitar el comportamiento humano , según una nueva investigación de un equipo de científicos informáticos. (Fuente: Ayuda Net Security)
• California aprobó una ley que prohíbe el uso de software de reconocimiento facial en cámaras de cuerpos policiales . (Fuente: The Sacramento Bee)

La semana pasada , prometimos que, en honor a los meses de Conciencia Nacional de Ciberseguridad y Conciencia de Violencia Doméstica, continuaríamos la lucha contra el flagelo en línea conocido como stalkerware, o aplicaciones utilizadas para rastrear y espiar a las víctimas sin su consentimiento.

Les dijimos a los lectores que, a pesar de trabajar para protegerse contra los programas de stalkerware durante más de cinco años, era hora de llevar nuestros esfuerzos al siguiente nivel difundiendo la conciencia sobre stalkerware y sus peligros, y demostrando cómo la policía, los vendedores de ciberseguridad y los grupos de defensa puede formar equipo para obtener mejores resultados.

Presentamos nuestra visión y nuestros planes para acciones futuras, llamando a otros proveedores de seguridad, organizaciones e individuos a participar.

Y ahora estamos listos para volver al trabajo.

El NCSAM de este año enfatiza la responsabilidad personal, destacando la importancia de tomar medidas proactivas para mejorar la ciberseguridad en el hogar y en el lugar de trabajo. El tema general de 2019 se reduce a un ingenioso eslogan: Own IT. Asegúralo. Protegerlo . Si necesita que se deconstruya un poco, el mensaje pide a los usuarios que consideren las preocupaciones clave de seguridad, como mantener la privacidad en línea, proteger los dispositivos de los consumidores y las experiencias de navegación, y protegerse contra estafas y otras amenazas.

En el contexto de stalkerware, entonces, el objetivo de esta campaña en particular es aumentar la conciencia de esta amenaza, así como la dificultad de definir y, por lo tanto, proteger contra ella. Nuestro objetivo es ayudar a los usuarios a ser proactivos personalmente demostrando por qué el stalkerware es turbio y peligroso, dónde establecer la línea entre los programas legítimos de monitoreo y el stalkerware, y lo más importante, cómo protegerse contra el stalkerware si los usuarios sienten que se está utilizando contra ellos.

Lo que hace que el stalkerware sea peligroso

En blogs anteriores, ya describimos qué es stalkerware y qué puede hacer , especialmente en un dispositivo móvil. En pocas palabras: Stalkerware puede ver todo lo que ve en su dispositivo, escuchar todo lo que escucha, determinar su ubicación física e incluso controlar remotamente su cámara y micrófono. Las llamadas se pueden interceptar, espiar y grabar, todo sin el conocimiento del propietario del dispositivo.

Las aplicaciones de Stalkerware pueden realizar operaciones de vigilancia igualmente nefastas como el spyware , una categoría de amenazas que la industria de la ciberseguridad considera maliciosas. Sin embargo, a diferencia del spyware, el stalkerware está ampliamente disponible en el mercado abierto, incluido Google Play, para cualquiera que esté dispuesto a pagar.

A menudo se comercializan como herramientas de monitoreo parental , aunque a veces anuncian directamente su verdadero propósito (atrapar a un cónyuge infiel en el acto o «vigilar» a un socio), las aplicaciones de stalkerware pueden eludir muchos protocolos de detección de soluciones de seguridad cibernética porque, si se usan con consentimiento o como se comercializó originalmente, pueden no ser particularmente maliciosos.

El peligro es que existe una gran área gris entre el spyware malicioso utilizado por los estados nacionales y los programas de monitoreo legítimos utilizados por los padres o en el lugar de trabajo. Cuando la placa base de VICE informó por primera vez sobre el uso desenfrenado de las aplicaciones de vigilancia por parte de «personas normales», los amantes celosos o desconfiados a menudo fueron citados como los principales participantes. Y si bien las aplicaciones de stalkerware pueden ayudar a confirmar la sospecha persistente de un asunto, con mayor frecuencia se aprovechan como herramientas para el control y el abuso.

De hecho, según la línea directa nacional de violencia doméstica , la vigilancia digital es una forma de abuso en sí misma.

Tomemos un segundo para desempacar eso, porque es importante. Si alguien usa stalkerware para monitorear a su pareja sin saberlo, está participando en una forma de abuso . No es un gran salto desde allí a la manipulación en toda regla, e incluso a la violencia.

De hecho, de acuerdo con un estudio de 2014 realizado por NPR , un 85 por ciento de los refugios estadounidenses para mujeres maltratadas estaban trabajando directamente con una víctima que es rastreada por GPS; El 75 por ciento dijo que los abusadores de sus víctimas estaban escuchando a escondidas sus conversaciones de forma remota, utilizando aplicaciones móviles ocultas. Esto fue hace cinco años.

A pesar de los esfuerzos concertados para “eliminar” algunas aplicaciones conocidas de software de acosador para consumidores por parte de hacktivistas, incluida una violación de FlexiSpy y Retina-X , fabricantes de PhoneSheriff y SniperSpy, el mercado de vigilancia personal solo ha crecido.

En 2014, comenzamos con 421 firmas para aplicaciones definidas como stalkerware, incluidos programas de monitoreo y spyware. Las firmas se crean para identificar amenazas conocidas y se cargan en la base de datos de nuestro software para que cuando un usuario de Malwarebytes se encuentre con esa amenaza, la detectemos automáticamente.

Hoy, tenemos más de 4,300 firmas de monitoreo en nuestra base de datos, un aumento de más del 900 por ciento en cinco años. Y eso son solo firmas de amenazas conocidas.

A través de una tecnología llamada heurística del comportamiento, podemos identificar si una aplicación está actuando como una amenaza, en este caso, si está monitoreando la actividad del usuario, la ubicación, el historial del navegador o empleando otras técnicas de vigilancia, y detectarla en función de actividades sospechosas. De esa manera, detectamos muchas más amenazas que antes eran desconocidas. A través de la heurística y las firmas combinadas, ahora detectamos más de 150,000 aplicaciones de stalkerware.

Además, miles de esas aplicaciones están actualmente activas en la naturaleza. En los últimos tres meses, hemos visto 2.332 programas que consideramos stalkerware detectados al menos una vez por Malwarebytes para Android. De esos, 107 fueron categorizados como spyware, mientras que los otros 2,225 fueron marcados como monitores.

El software de monitoreo está catalogado actualmente como un programa potencialmente no deseado (PUP) por Malwarebytes, por lo tanto, no se bloquea y elimina automáticamente de los sistemas del usuario. En su lugar, aislamos la aplicación y permitimos a los usuarios tomar la decisión de mantener o no el programa y evitar que nuestro software lo detecte en el futuro o lo deseche.

Si bien esto permite a los usuarios tomar una decisión autónoma sobre qué tipos de aplicaciones permitir en sus dispositivos, también representa un desafío si los abusadores simplemente pueden agregar programas de monitoreo a una lista de exclusión y seguir espiando sin intrusiones.

Puede comenzar a ver ahora por qué el stalkerware ha resultado problemático para la industria de la seguridad. ¿Dónde trazas la línea entre libertad y seguridad? Para nosotros, se reduce a un término simple: consentimiento.

Para monitorear, o no para monitorear

En un mundo donde las oportunidades para conectarse en el ámbito digital se traducen en oportunidades para engañar, engañar, intimidar, acosar, acosar y de otra manera ser bombardeados por lo horrible, no es de extrañar que los usuarios estén tentados a vigilar a aquellos que más les importan: parejas e hijos.

Como dijimos en nuestro artículo sobre la diferencia entre las aplicaciones de monitoreo parental y el stalkerware, no estamos aquí para decirle a las personas cómo criar a sus hijos. Tampoco estamos a punto de eliminar los consejos de relación. Pero podemos decirle lo que se considera una invasión de la privacidad o el acceso no autorizado a los ojos de la ley, así como a la comunidad de ciberseguridad.

Si elimina las razones para usar aplicaciones de monitoreo, que van desde el amor legítimo y la preocupación por la seguridad hasta el deseo de ejercer poder y control sobre un individuo, las capacidades de muchos programas de monitoreo y stalkerware no son diferentes, técnicamente, de los programas de vigilancia utilizados por Estados nacionales.

Echemos un vistazo a algunos ejemplos para demostrar nuestro significado.

A continuación hay cuatro aplicaciones de monitoreo que, hasta ahora, solo Malwarebytes detecta. Dos de ellos todavía están disponibles en Google Play y en la App Store de Apple.

Rastreador de pareja

• Nombre de detección: Android / Monitor.CoupleTracker
• Disponible en: plataformas de terceros, su propio sitio web
• Características: incluye ubicación y actividad del teléfono visible en tiempo real; prevención de eliminación, que evita que los socios oculten o eliminen mensajes de texto, llamadas u otro contenido; historial de llamadas y mensajes de texto

Track Boyfriend

• Nombre de detección: Android / Monitor.TrackFriend
• Disponible en: plataformas de terceros, su propio sitio web
• Características: incluye seguimiento de llamadas, correo electrónico y redes sociales; acceso a nombres de contactos, direcciones de correo electrónico y números de teléfono; capacidad de monitorear fechas y horas de contactos hechos con individuos, y número de veces contactadas

Shadow: Kid’s Key Logger

• Nombre de detección: Android / Monitor.SimplleKeyLogger
• Disponible en: Google Play
• Características: incluye registro de claves y eventos; navegador e historial de llamadas; aplicaciones accedidas; correo electrónico y contenido de texto; permite a los padres / socios modificar o eliminar archivos, aplicaciones e imágenes; registra el tiempo pasado en línea, usando aplicaciones o en otras actividades

Niño más seguro

• Nombre de detección: Android / Monitor.SaferKid
• Disponible en Google Play y App Store
• Características: monitoreo de mensajes de texto; gestión del tiempo de pantalla; navegador e historial de llamadas; acceso a nombres de contactos, direcciones de correo electrónico y números de teléfono; bloqueo de contenido para adultos; no se puede desactivar sin el conocimiento o consentimiento de los padres

Detectamos aplicaciones como estas bajo el pretexto de que podrían usarse legítimamente, pero también tienen el potencial de ser mal utilizadas. Más importante aún, muchas de las características y capacidades de estas aplicaciones pueden interpretarse como invasiones de la privacidad, incluso por parte de los padres que no intentan espiar a sus hijos. Y finalmente, si se implementa sin consentimiento, las aplicaciones de monitoreo cruzan la línea hacia territorio abusivo.

Por ejemplo, Couple Tracker requiere que ambos socios descarguen la aplicación en sus teléfonos y afirma que su ícono no se puede ocultar. Esto podría interpretarse como una señal de consentimiento, pero un abusador podría manipular fácilmente a una víctima para que participe o descargar la aplicación sin el conocimiento de su compañero, relegando el icono a un área menos visible en el teléfono.

Mientras tanto, Safer Kid permite a los padres monitorear la navegación web, los contactos telefónicos, los mensajes de texto y el historial de llamadas, al tiempo que restringe el acceso al contenido para adultos y las descargas de aplicaciones inapropiadas. Si bien limitar el acceso a Internet a contenido apropiado para la edad está dentro del derecho de los padres, las demás características de la aplicación anulan cualquier noción de privacidad. Y si un niño no conoce el conjunto completo de funciones de los controles parentales en su dispositivo, es probable que también se evapore cualquier confianza que haya establecido con ellos.

Si bien esta información por sí sola podría ser suficiente para disuadir a algunas personas, las aplicaciones de monitoreo, incluso aquellas utilizadas con consentimiento, a menudo están plagadas de vulnerabilidades y otros riesgos de seguridad.

En 2017, los investigadores de Cisco  revelaron múltiples vulnerabilidades para «Circle with Disney», una herramienta para monitorear el uso de Internet de un niño. En 2018, un investigador de ciberseguridad con sede en el Reino Unido  encontró dos servidores en la nube no seguros operados por TeenSafe . Los servidores incluían decenas de miles de detalles de cuentas, incluidas las direcciones de correo electrónico de los padres y las direcciones de correo electrónico de Apple ID de los niños.

El mes pasado, los investigadores de Avast descubrieron serias fallas de seguridad en 600,000 rastreadores portátiles para niños vendidos en Amazon y otros comerciantes en línea. Los dispositivos expusieron los datos enviados a la nube, incluidas las ubicaciones de GPS en tiempo real de los niños.

Armado con este conocimiento, si todavía está considerando una aplicación de monitoreo, trate de evitar estos marcadores importantes:

• ¿Se puede usar la aplicación sin el consentimiento de la persona que se está monitoreando?
• ¿El programa tiene capacidades que infringen la privacidad personal o permiten el acceso no autorizado según lo define la ley o su propio compás moral?
• ¿Existen riesgos de seguridad reales al usar la aplicación?

Si la respuesta es «sí» a cualquiera de estos, nuestro consejo es encontrar un programa diferente, o considerar abandonar la idea de vigilar a los seres queridos por completo.

Cómo protegerse contra el stalkerware

En el otro lado de la moneda están las víctimas de los acosadores, la mayoría de las veces parejas o cónyuges, con un guiño especial a aquellos involucrados en violencia doméstica. Dado que muchas de estas aplicaciones se pueden usar sin consentimiento e incluyen características ocultas que ocultan su presencia, es difícil para las víctimas de stalkerware saber exactamente a qué se enfrentan para determinar los siguientes mejores pasos.

Sin embargo, como se señaló anteriormente, la mayoría de las víctimas de violencia doméstica también son víctimas de abuso digital, incluido el seguimiento de sus ubicaciones y comunicaciones. Y la mayoría podría decirle que no sabían cómo lo hacía su compañero, pero sabían que, de alguna manera, habían «pirateado» su dispositivo.

Entonces, el primer paso es una verificación intestinal. Hay algunos síntomas técnicos de stalkerware, que incluyen una vida útil de la batería que se agota rápidamente y un mayor uso de datos, pero podrían ser síntomas de una multitud de otros problemas de malware, hardware o batería. Por lo tanto, cuando intente evaluar si su dispositivo ha sido infiltrado con stalkerware, tenga en cuenta los siguientes factores, que se detallan en nuestro artículo para víctimas de abuso doméstico sobre qué hacer cuando encuentra stalkerware en su dispositivo :

• ¿Su pareja tiene acceso físico a su dispositivo?
• ¿Su pareja conoce la contraseña de su dispositivo?
• ¿Tu pareja parece saber dónde estás sin decirle?
• ¿Su novia de repente hace preguntas urgentes sobre un tema que solo discutió por mensaje de texto o correo electrónico con otra persona?
• ¿Las fotos desaparecen repentinamente o aparecen en su dispositivo sin su manipulación?
• ¿Tu pareja parece saber demasiado ?

Los grupos de defensa de la violencia doméstica y las víctimas con las que hablamos señalaron la misma señal: una sensación de ser observados. Como Erica Olsen, directora del proyecto Safety Net para la Red Nacional para Terminar con la Violencia Doméstica, aconsejó a los usuarios en un blog anterior de Labs: confía en ti mismo. Conoces la sensación de ser observado y controlado. Confíe en esos sentimientos y nunca descarte sus propias preocupaciones.

Si bien documentamos previamente y cuidadosamente los próximos pasos para las víctimas de abuso, los siguientes pasos para los usuarios «regulares» no son tan matizados y complejos. Los usuarios de Android pueden descargar la versión gratuita de Malwarebytes para Android y ejecutar un escaneo para eliminar el stalkerware, spyware u otros programas de monitoreo. Si nuestro programa encuentra stalkerware en su dispositivo, le recomendamos que lo elimine e inmediatamente cambie la contraseña de su dispositivo (o cree una contraseña si no tiene una).

A partir de ahí, considere restablecer las contraseñas de otras cuentas utilizando un dispositivo limpio y seguro. Y en el futuro, preste especial atención a las aplicaciones en su dispositivo y los permisos disponibles para cada uno.

No conocemos los detalles de las relaciones de los usuarios con sus socios, y no nos atreveríamos a considerar asesorar sobre cómo averiguar quién puso el stalkerware en su dispositivo o si confrontar o no a una persona que usted sabe es responsable. Nuevamente, esto está fuera del contexto de la violencia doméstica. Para aquellos que son víctimas de abuso, es necesario un protocolo completamente diferente para garantizar la seguridad física. No podemos enfatizar eso lo suficiente.

Pero para aquellos que no corren el riesgo de tener parejas abusivas, podemos decir esto: mereces una experiencia autónoma, gratuita y segura con la tecnología. Quien infringe eso no es tu amigo. Si usted es un padre que quiere mantener a sus hijos seguros o una pareja que le preocupa que la persona que ama se extravíe, puede abordar estas situaciones sin destruir la confianza, con el consentimiento informado y con respeto a la privacidad personal.

ACTUALIZACIÓN 9/27, 11:00 am: actualizado por la idea errónea de que el bootrom realmente se estaba modificando. Aparentemente, el «permanente» solo se refiere al hecho de que el error está en el bootrom, donde no puede ser parcheado.

ACTUALIZACIÓN 9/27, 12:15 am: Después de hablar con @ axi0m8, aclaró algunos otros puntos, incluido el hecho de que esto no se puede explotar de forma remota.

Esta mañana, un investigador de iOS con el identificador de Twitter @ axi0mX anunció el lanzamiento de un nuevo exploit de iOS llamado checkm8 que promete tener serias consecuencias para el hardware de iPhone y iPad. Según el Tweet, este exploit es un «exploit bootrom permanente que no se puede parchar», capaz de afectar dispositivos desde 4S hasta el iPhone X.

Pero, ¿qué significa exactamente esto? Primero, expliquemos qué es bootrom. Un bootrom es un chip de memoria de solo lectura que contiene el primer código que se carga cuando se inicia un sistema. Dado que el código de bootrom es el núcleo del proceso de inicio del dispositivo, y no debería ser posible cambiarlo, encontrar un error en ese código es el Santo Grial de la piratería.

Según @ axi0mX, existe un error de este tipo, y el código necesario para explotarlo ahora está disponible gratuitamente en GitHub .

Este exploit no es un jailbreak, que proporcionaría las capacidades para instalar software arbitrario, obtener permisos de root y escapar del entorno limitado. Sin embargo, bajaría la barra para romper el dispositivo de manera significativa, y es particularmente preocupante por el hecho de que se encuentra en un lugar donde no se puede reparar sin reemplazar el hardware.

Si eres un investigador de seguridad de iOS, es probable que esto sea lo más emocionante que escucharás durante todo el año, posiblemente incluso durante toda tu carrera hasta la fecha. Sin embargo, preveo mucho miedo, incertidumbre y dudas entre la mayoría de las personas que leen estas noticias. Entonces, ¿cuál es el impacto en el mundo real de este lanzamiento?

Dispositivos afectados

Los dispositivos que son vulnerables a checkm8 incluyen lo siguiente:

• iPhones desde los 4 hasta el iPhone X
• iPads desde la 2ª hasta la 7ª generación
• iPad Mini 2 y 3
• iPad Air de primera y segunda generación
• iPad Pro de 10.5 pulgadas y 12.9 pulgadas de segunda generación
• Apple Watch Series 1, Series 2 y Series 3
• Apple TV 3ra generación y 4k
• iPod Touch 5ta generación a 7ma generación

Probablemente esta no sea una lista exhaustiva, y como @axiOmX menciona, se agregarán más.

Sin embargo, la versión de iOS / iPadOS / watchOS / tvOS no debería importar en absoluto, ya que Apple no podrá parchear esto en las actualizaciones de software. Solo comprar un dispositivo nuevo y actualizado solucionaría el problema. Los chips A12 de Apple y posteriores, utilizados en dispositivos más nuevos (iPhone Xs, iPhone XR, iPhone 11 series, iPad Pro de tercera generación) no son vulnerables.

Trascendencia

Aunque checkm8 funcionará incluso en un dispositivo bloqueado, es importante comprender que checkm8 no es un exploit remoto. Para comprometer su iPhone, un atacante necesitaría tenerlo físicamente en sus manos. El dispositivo necesitaría estar conectado a una computadora y ponerse en modo DFU (Actualización del firmware del dispositivo) para poder explotarlo.

La vulnerabilidad checkm8 en sí misma no es suficiente para instalar malware persistente en un dispositivo. Sin embargo, podría estar encadenado junto con otras vulnerabilidades en iOS para obtener ese nivel de acceso.

Esta hazaña aún no se ha armado, por lo que nadie sabe. Aunque, por supuesto, ya podría estar en uso secreto por delincuentes, compañías forenses como Cellebrite y Grayshift, y compañías de vigilancia como NSO.

También es importante tener en cuenta que muchos archivos en el dispositivo estarán encriptados. Incluso si el dispositivo tiene jailbreak, eso no le da automáticamente al atacante acceso al contenido de esos archivos. Por supuesto, aún sería posible instalar malware que potencialmente podría tener acceso a los contenidos no cifrados de esos archivos en el transcurso del uso normal del dispositivo.

Finalmente, si tienes la suerte de tener el último hardware, estás a salvo de checkm8. El rey de Apple toma la torre de explotación para la victoria.

Posibles aplicaciones

Además de la amenaza obvia de la actividad criminal, en realidad hay algunos usos posibles beneficiosos de checkm8.

Para los investigadores de seguridad, esta es una gran ayuda, que debería ayudarlos a analizar cualquier versión de iOS que se ejecute en un iPhone X o anterior. Dado que la investigación de iOS realmente no se puede hacer en un dispositivo que no haya levantado las restricciones de seguridad de alguna manera, es probable que se convierta en una de las herramientas más importantes en los kits de herramientas de los investigadores. Esto puede beneficiar a los usuarios de iOS, ya que puede permitir a los investigadores localizar problemas e informarlos a Apple.

Para las fuerzas del orden y las empresas que los ayudan a desbloquear iPhones, esto es enorme. (Suponiendo, por supuesto, que compañías como Grayshift y Cellebrite ya no eran conscientes de esta vulnerabilidad). El exploit checkm8 necesitaría estar encadenado junto con otras vulnerabilidades para ser útil, pero sería atractivo como un enlace en la cadena ya que Apple no puede parcharlo.

Sin embargo, existe un debate sobre cuán beneficioso es esto para los usuarios. Por un lado, queremos que la policía haga su trabajo. Por otro lado, los abusos policiales son un problema, especialmente para las minorías desfavorecidas. Usar este exploit como palanca para la vigilancia u otros abusos de los derechos de privacidad podría dejar a los usuarios con pocas opciones para defenderse.

La reputación de iOS

Siguiendo los pasos del informe de Google Project Zero sobre el uso reciente de China de 14 vulnerabilidades diferentes para infectar iPhones propiedad de uigures con malware , esto se suma a la mancha en la reputación de seguridad de iOS. iOS se conoce desde hace mucho tiempo como el sistema móvil convencional más seguro del planeta. Sin embargo, estos incidentes conducen a preguntas difíciles sobre si ese sigue siendo el caso.

Por supuesto, los dispositivos Android tampoco son ajenos a estos problemas. De hecho, si busca «flash bootrom» en Internet, encontrará muchas instrucciones sobre cómo cambiar la sala de arranque para varios dispositivos Android.

Aún así, este es un problema grave. Si se usa en la naturaleza, será difícil determinar si un dispositivo se ha visto comprometido, debido a la naturaleza extremadamente cerrada de iOS. Al igual que con los hallazgos del Proyecto Cero del mes pasado, esta es otra razón por la que Apple necesita proporcionar más visibilidad sobre el estado de iOS. Incluso solo poder inspeccionar la lista de procesos en ejecución sin jailbreak sería un movimiento en la dirección correcta.

Jaque mate para iOS?

No se equivoque, este es un problema grave para la seguridad de Apple e iOS. Lo importante a tener en cuenta aquí es que, hasta ahora, checkm8 solo representa un peligro potencial . Después de que la ráfaga inicial se apaga, es posible que nunca escuchemos que se haya hecho algo malicioso con checkm8.

También es muy probable que esto sea utilizado para fines positivos, por investigadores de seguridad que quieran comprender mejor iOS y ayudar a hacerlo más seguro.

No veo checkm8 como algo que debería alejar a las personas de iOS. Personalmente, en lo que respecta a una vulnerabilidad permanente en el bootrom de mi teléfono, continuaré usando mi iPhone X hasta que tenga una razón más grande para actualizar. Tal vez esa razón sean nuevos desarrollos en la historia de checkm8; o tal vez sea la falla inevitable de la batería dentro de unos años. Sólo el tiempo dirá.

Hace exactamente una semana, Emotet, una de las amenazas más peligrosas para las organizaciones en el último año, reanudó sus campañas de spam malicioso después de varios meses de inactividad. Con base en nuestra telemetría, podemos ver que la botnet comenzó a hablar con sus servidores de comando y control (C2), aproximadamente una semana antes de que llegara el spam.

Para comenzar su campaña de spam la semana pasada, Emotet reanudó las tácticas de phishing que adoptó a fines de la primavera de 2019, secuestrando viejos hilos de correo electrónico con líneas de asunto personalizadas y apareciendo como facturas antiguas.

Esta semana, Emotet está probando una táctica diferente, incorporando las noticias sobre el nuevo libro Registro permanente del denunciante de la NSA Edward Snowden como señuelo. Las memorias, que ya están en la lista de los más vendidos de Amazon, han sido objeto de intensos debates. Además, el gobierno de los Estados Unidos también está demandando a Snowden por violar los acuerdos de confidencialidad y publicar sin aprobación previa.

Se sabe que los delincuentes aprovechan los eventos de interés periodístico para estafas y otros fines de ingeniería social . En este caso particular, los autores de Emotet supuestamente están ofreciendo las memorias de Snowden como un archivo adjunto de Word. Recopilamos correos electrónicos de nuestro honeypot de correo no deseado en inglés, italiano, español y alemán alegando que contenían una copia del libro de Snowden en forma de Word.

Al abrir el documento, se muestra un mensaje falso de que «Word no se ha activado» a las víctimas a las que se les solicita que habiliten el contenido con una advertencia de seguridad amarilla. Una vez que lo hacen, nada parece suceder. Sin embargo, lo que los usuarios no ven es el código de macro malicioso que se ejecutará una vez que hagan clic en el botón.

La macro activa un comando de PowerShell que recuperará el binario de malware Emotet de un sitio comprometido de WordPress. Después de la infección, la máquina intentará comunicarse con uno de los muchos C2 de Emotet:

A medida que avanza cada nueva semana, los actores de amenazas detrás de Emotet siempre son puntuales con la entrega de sus mensajes de spam, gracias a su gran botnet. Y una vez que han enviado spam e infiltrado en un punto final, su trabajo está lejos de terminar. Como hemos dicho antes , Emotet es una amenaza doble o incluso triple si no se pone en cuarentena de inmediato.

Las cargas útiles de seguimiento, como TrickBot y Ryuk ransomware, son las que realmente pueden paralizar cualquier negocio que no esté preparado.

Los usuarios comerciales de Malwarebytes y los usuarios domésticos Premium ya están protegidos contra esta amenaza.

Indicadores de compromiso (COI)

Documento de Word malicioso

5ab7a5cf290ebf52647771f893a2fa322a9b1891e5a5e54811c500dd290c8477

Carga útil de Emotet

757b35d20f05b98f2c51fc7a9b6a57ccbbd428576563d3aff7e0c6b70d544975

Tráfico de red

Emotet: www.cia.com[.]py/wp-content/uploads/2019/09/XNFerERN/  
Emotet C2: 62.75.171.248:7080/chunk/window/ringin/  
Emotet C2: 133.130.73[.]156
Emotet C2: 178.32.255[.]133

Después de una pausa bastante larga que duró casi cuatro meses, Emotet regresó con una campaña activa de distribución de spam. Durante algunas semanas, hubo indicios de que la botnet estaba poniendo en marcha sus engranajes nuevamente, ya que observamos la actividad del servidor de comando y control (C2). Pero esta mañana, el troyano comenzó a bombear spam, una clara indicación de que está listo para volver a la acción.

Los correos electrónicos maliciosos comenzaron en las primeras horas del lunes por la mañana, con plantillas en alemán, polaco e italiano . Nuestro equipo de Inteligencia de amenazas comenzó a ver correos electrónicos de phishing enviados en inglés también con el asunto «Aviso de envío de pagos».

Tenga en cuenta la personalización en las líneas de asunto del correo electrónico. Tomando prestada una táctica de los actores del estado nación de Corea del Norte, los creadores de Emotet están trayendo de vuelta una funcionalidad altamente sofisticada de phishing lanzada en abril de 2019, que incluye el secuestro de viejos hilos de correo electrónico y referencias al usuario por su nombre.

Las víctimas son atraídas para abrir el documento adjunto y permitir que la macro inicie el proceso de infección.

El comando PowerShell desencadenado por los intentos de macro para descargar Emotet de sitios comprometidos, que a menudo se ejecuta en el sistema de administración de contenido (CMS) de WordPress.

También hay técnicas de entrega alternativas. Por ejemplo, algunas instancias del documento malicioso se basan en un script de descarga en su lugar.

Una vez que la descarga es exitosa y Emotet está instalado en el punto final, comienza a propagarse extendiéndose lateralmente a otros puntos finales en la red y más allá. También roba credenciales de las aplicaciones instaladas y envía la lista de contactos del usuario. Sin embargo, quizás la mayor amenaza es que Emotet sirve como un vector de entrega para cargas útiles más peligrosas, como TrickBot y otras familias de ransomware .

Emotet es más notorio por el daño colateral infligido como parte de un ataque combinado. Apodado la «triple amenaza» por muchos en seguridad, Emotet se asocia con el ransomware TrickBot y Ryuk para un combo extraíble que asegura la máxima penetración a través de la red para que los datos valiosos puedan ser robados y vendidos con fines de lucro, mientras que el resto está encriptado para extorsionar organizaciones a pagar el rescate para recuperar sus archivos y sistemas.

Alternativamente, las máquinas comprometidas pueden permanecer inactivas hasta que los operadores decidan entregar el trabajo a otros grupos criminales que exigirán grandes sumas de dinero, hasta US $ 5 millones, a sus víctimas. En el pasado, hemos visto el infame ransomware Ryuk desplegado de esta manera .

Si bien Emotet generalmente se enfoca en infectar organizaciones, los consumidores individuales también pueden estar en riesgo. Los clientes comerciales de Malwarebytes y los usuarios domésticos de Malwarebytes para Windows Premium ya están protegidos contra esta campaña, gracias a nuestra tecnología anti-exploit sin firma. Como siempre, recomendamos a los usuarios que sean cautelosos al abrir correos electrónicos con archivos adjuntos , incluso si parecen provenir de conocidos.

Protección y remediación

Los usuarios que no son clientes de Malwarebytes o que usan el escáner gratuito querrán tomar medidas adicionales para protegerse contra Emotet o limpiar la infección, si ya han sido afectados. Las empresas y organizaciones que actualmente pueden estar luchando contra una infección de Emotet pueden comunicarse con Malwarebytes para obtener ayuda inmediata . O bien, para obtener más información general sobre cómo funciona Emotet y una lista de consejos para la reparación y consejos, descargue nuestro kit de emergencia de Emotet .

Como esta campaña no tiene ni un día, todavía no sabemos el impacto en las organizaciones y otros usuarios. Continuaremos actualizando esta publicación a medida que aprendamos más durante el día. Mientras tanto, advierta a sus compañeros de trabajo, amigos y familiares que tengan cuidado con los correos electrónicos disfrazados de facturas o cualquier otra instancia «phishy» .

Indicadores de compromiso (COI)

Líneas de asunto del correo electrónico

Asesoramiento de pago de remesas
Numero Fattura 2019…

Documentos de Word maliciosos

eee144531839763b15051badbbda9daae38f60c02abaa7794a046f96a68cd10b
fb25f35c54831b3641c50c760eb94ec57481d8c8b1da98dd05ba97080d54ee6a
bee23d63404d97d2b03fbc38e4c554a55a7734d83dbd87f2bf1baf7ed2e39e3e
5d9775369ab5486b5f2d0faac423e213cee20daf5aaaaa9c8b4c3b4e66ea8224

Sitios web pirateados que alojan el binario Emotet

danangluxury [.] com / wp-content / uploads / KTgQsblu /
gcesab [.] com / wp-includes / personaliza / zUfJervuM /
autorepuestosdml [.] com / wp-content / CiloXIptI /
covergt [.] com / wordpress / geh7l30- xq85i1-558 /
zhaoyouxiu [.] com / wp-includes / vxqo-84953w-5062 /
rockstareats [.] com / wp-content / themes / NUOAajdJ /
inwil [.] com / wp-content / oyFhKHoe
inesmanila [.] com / cgi-bin / otxpnmxm-3okvb2-29756 /
dateandoando [.] com / wp-includes / y0mcdp2zyq_lx14j2wh2-0551284557 /

Binarios Emotet

8f05aa95aa7b2146ee490c2305a2450e58ce1d1e3103e6f9019767e5568f233e
7080e1b236a19ed46ea28754916c43a7e8b68727c33cbf81b96077374f4dc205
61e0ac40dc2680aad77a71f1e6d845a37ab12aa8cd6b638d2dbcebe9195b0f6
f5af8586f0289163951adaaf7eb9726b82b05daa3bb0cc2c0ba5970f6119c77a
6076e26a123aaff20c0529ab13b2c5f11259f481e43d62659b33517060bb63c5

Tráfico posterior a la infección (C2)

187 [.] 155 [.] 233 [.] 46
83 [.] 29 [.] 180 [.] 97
181 [.] 36 [.] 42 [.] 205
200 [.] 21 [.] 90 [.] ] 6
123 [.] 168 [.] 4 [.] 66
151 [.] 80 [.] 142 [.] 33
159 [.] 65 [.] 241 [.] 220
109 [.] 104 [.] 79 [.] 48
43 [.] 229 [.] 62 [.] 186
72 [.] 47 [.] 248 [.] 48
190 [.] 1 [.] 37 [.] 125
46 [.] 29 [.] ] 183 [.] 211
91 [.] 205 [.] 215 [.] 57
178 [.] 79 [.] 163 [.] 131
187 [.] 188 [.] 166 [.] 192
181 [.] 188 [.] 149 [.] 134
125 [.] 99 [.] 61 [.] 162
77 [.] 245 [.] 101 [.] 134
138 [.] 68 [.] 106 [.] 4
187 [.] ] 242 [.] 204 [.] 142
190 [.] 19 [.] 42 [.] 131
213 [.] 120 [.] 104 [.] 180
149 [.] 62 [.] 173 [.] 247
181 [.] 48 [.] 174 [.] 242
80 [.] 85 [.] 87 [.]
122183 [.] 82 [.] 97 [.] 25
185 [.] 86 [.] 148 [.] 222
90 [.] 69 [.] 208 [.] 50
91 [.] 83 [.] 93 [.]
124183 [.] 87 [.] 87 [.] ] 73
62 [.] 210 [.] 142 [.] 58
186 [.] 83 [.] 133 [.] 253
109 [.] 169 [.] 86 [.] 13
179 [.] 62 [.] 18 [.] 56
81 [.] 169 [.] 140 [.] 14
187 [.] 144 [.] 227 [.] 2
69 [.] 163 [.] 33 [.] 82
88 [.] 250 [.] ] 223 [.] 190
190 [.] 230 [.] 60 [.] 129
37 [.] 59 [.] 1 [.] 74
203 [.] 25 [.] 159 [.] 3
79 [.] 143 [.] 182 [.] 254
200 [.] 57 [.] 102 [.] 71
217 [.] 199 [.] 175 [.] 216
201 [.] 219 [.] 183 [.] 243
196 [. ] 6 [.] 112 [.] 70
200 [.] 58 [.] 171 [.] 51
5 [.] 77 [.] 13 [.] 70
217 [.] 113 [.] 27 [.] 158
46 [.] 249 [.] 204 [.] 99
159 [.] 203 [.] 204 [.] 126
170 [.] 247 [.] 122 [.] 37
200 [.] 80 [.] 198 [.] 34
62 [.] 75 [.] 143 [.] 100
89 [.] 188 [.] 124 [.] 145
143 [.] 0 [.] 245 [.] ] 169
190 [.] 117 [.] 206 [.] 153
77 [.] 122 [.] 183 [.] 203
46 [.] 21 [.] 105 [.] 59
181 [.] 39 [.] 134 [.] 122
86 [.] 42 [.] 166 [.] 147
23 [.] 92 [.] 22 [.] 225

179 [.] 12 [.] 170 [.] 88
182 [.] 76 [.] 6 [.] 2
201 [.] 250 [.] 11 [.] 236
86 [.] 98 [.] 25 [.] ] 30
198 [.] 199 [.] 88 [.] 162
178 [.] 62 [.] 37 [.] 188
92 [.] 51 [.] 129 [.] 249
92 [.] 222 [.] 125 [.] 16
142 [.] 44 [.] 162 [.] 209
92 [.] 222 [.] 216 [.] 44
138 [.] 201 [.] 140 [.] 110
64 [.] 13 [.] ] 225 [.] 150
182 [.] 176 [.] 132 [.] 213
37 [.] 157 [.] 194 [.] 134
206 [.] 189 [.] 98 [.] 125
45 [.] 123 [.] 3 [.] 54
45 [.] 33 [.] 49 [.] 124
178 [.] 79 [.] 161 [.] 166
104 [.] 131 [.] 11 [.] 150
173 [.] ] 212 [.] 203 [.] 26
88 [.] 156 [.] 97 [.] 210
190 [.] 145 [.] 67 [.] 134
144 [.] 139 [.] 247 [.] 220
159 [.] 65 [.] 25 [.] 128
186 [.] 4 [.] 172 [.] 5
87 [.] 106 [.] 136 [.] 232
189 [.] 209 [.] 217 [.] 49
149 [.] 202 [.] 153 [.] 252
78 [.] 24 [.] 219 [.] 147
125 [.] 99 [.] 106 [.] ] 226
95 [.] 128 [.] 43 [.] 213
47 [.] 41 [.] 213 [.] 2
37 [.] 208 [.] 39 [.] 59
185 [.] 94 [.] 252 [.] 13
212 [.] 71 [.] 234 [.] 16
87 [.] 106 [.] 139 [.] 101
188 [.] 166 [.] 253 [.] 46
175 [.] 100 [.] ] 138 [.] 82
85 [.] 104 [.] 59 [.] 244
62 [.] 75 [.] 187 [.] 192
91 [.] 205 [.] 215 [.] 66
136 [.] 243 [.] 177 [.] 26
190 [.] 186 [.] 203 [.] 55
162 [.] 243 [.] 125 [.] 212
91 [.] 83 [.] 93 [.] 103
217 [.] ] 160 [.] 182 [.] 191
94 [.] 205 [.] 247 [.] 10
211 [.] 63 [.] 71 [.] 72
41 [.] 220 [.] 119 [.] 246
104 [.] 236 [.] 246 [.] 93
117 [.] 197 [.] 124 [.] 36
75 [.] 127 [.] 14 [.] 170
31 [.] 12 [.] 67 [.] 62
169 [.] 239 [.] 182 [.] 217
179 [.] 32 [.] 19 [.] 219
177 [.] 246 [.] 193 [.] ] 139
31 [.] 172 [.] 240 [.] 91
152 [.] 169 [.] 236 [.] 172
201 [.] 212 [.] 57 [.] 109
222 [.] 214 [.] 218 [.] 192
87 [.] 230 [.] 19 [.] 21
46 [.] 105 [.] 131 [.] 87
182 [.] 176 [.] 106 [.] 43

Los tiempos están cambiando’. Cuando los usuarios alguna vez se sintieron libres de navegar por Internet de forma anónima, publicar sobre sus vidas más íntimas en las redes sociales y descargar aplicaciones con frivolidad, la gente está jugando cosas un poco más cerca del chaleco en estos días.

Hoy en día, los usuarios prestan más atención a la privacidad y a cómo se transmite, procesa, almacena y comparte su información personal. Casi todos los días, son bombardeados con noticias de violaciones de datos , abusos o negligencia de información personal por parte de gigantes tecnológicos, y la creciente sofisticación de las tácticas y estafas cibercriminales .

No es de extrañar que los usuarios de Internet estén buscando ciertas herramientas que les brinden mayor privacidad, y no solo seguridad, mientras navegan por la web, ya sea en casa, en la oficina o mientras viajan.

Si bien algunos podrían optar por Tor o un servidor proxy para abordar su necesidad de privacidad, muchos usuarios hoy en día adoptan redes privadas virtuales o VPN .

Dependiendo de a quién le pregunte, una VPN es cualquiera de estos: [1] un túnel que se encuentra entre su dispositivo informático e Internet, [2] lo ayuda a permanecer anónimo en línea, evitando la vigilancia gubernamental, el espionaje y la recopilación excesiva de datos de grandes empresas, [3] una herramienta que encripta su conexión y enmascara su verdadera dirección IP con una que pertenece a su proveedor de VPN, [4] un software o aplicación que le permite acceder a recursos privados (como archivos de la empresa en su intranet de trabajo) o sitios que generalmente están bloqueados en su país o región.

Sin embargo, no todas las VPN se crean de la misma manera, y esto es cierto independientemente de la plataforma que utilice. Del creciente número de aplicaciones VPN que ya existen, que actualmente se encuentra en cientos, un número notable de ellas se clasifican como inseguras, especialmente aquellas que son gratuitas.

En esta publicación, veremos más de cerca las VPN gratuitas para dispositivos móviles, una categoría que, según muchos, tiene la mayor cantidad de aplicaciones inseguras.

Pero primero, lo básico.

¿Cómo funcionan las VPN?

Rob Mardisalu de TheBestVPN ilustró un diagrama rápido de cómo funcionan las VPN, y es casi tan simple como parece.

Normalmente, usar una VPN requiere la descarga e instalación de una aplicación o archivo que llamamos un cliente VPN. Instalar y ejecutar el cliente crea un túnel encriptado que conecta el dispositivo informático del usuario a la red.

La mayoría de los proveedores de VPN solicitan a los usuarios que se registren con una dirección de correo electrónico y una contraseña, que serían las credenciales de su cuenta, y ofrecen un método de autenticación, ya sea por SMS, correo electrónico o escaneo de códigos QR, para verificar que el usuario es realmente quien dice que son.

Una vez que esté completamente registrado y configurado, el usuario ahora puede navegar por Internet público de manera normal, pero con mayor seguridad y privacidad.

Digamos que el usuario realiza una búsqueda en su navegador o visita directamente el sitio web oficial de su banco. El cliente VPN encripta la consulta o los datos que ingresa el usuario. A partir de ahí, los datos cifrados van al proveedor de servicios de Internet (ISP) del usuario y luego al servidor VPN. El servidor luego se conecta a Internet público, señalando al usuario los resultados de la consulta o el sitio web bancario.

Independientemente de qué datos se envíen, el sitio web de destino siempre ve el origen de los datos como el servidor VPN y su ubicación, y no la dirección y ubicación IP del usuario. Aseado, ¿eh?

Lo que las VPN no hacen

Por muy reconfortante que sea el uso de VPN, tenga en cuenta que no pueden ser todo lo relacionado con la privacidad y la seguridad para todos los usuarios. Hay ciertas funciones que no pueden o no completarán, y esto no se limita al tipo de VPN que utiliza.

Aquí hay algunas restricciones a tener en cuenta. Las VPN no:

• Ofrecer pleno anonimato. Mantenerlo en el anonimato debería ser inherente a todas las VPN disponibles en el mercado. Sin embargo, lograr el anonimato completo en línea usando VPN es casi imposible. Siempre habrá rastros de datos suyos que las VPN recopilan, incluso aquellos que no guardan registros, y por registros, nos referimos al historial de navegación, las direcciones IP, las marcas de tiempo y el ancho de banda.
• Conectarte a la web oscura. Una VPN en sí misma no lo conectará a la web oscura si desea explorarla. Un navegador de cebolla , como el navegador Tor, puede hacer esto por usted. Y muchos están adoptando el uso de ambas tecnologías, con la VPN enmascarando el tráfico de Tor, por lo que su ISP no sabrá que está usando Tor, cuando navega por la web.
• Ofrezca a los usuarios acceso completo a su servicio de forma gratuita. Siempre. Algunas VPN verdaderamente legítimas ofrecen sus servicios de forma gratuita durante un tiempo limitado. Y una vez que expira la fase de prueba, los usuarios deben decidir si pagarían por esta VPN o si buscarían algo más gratis.
• Protegerte de la aplicación de la ley cuando te citan . Las VPN no se dejarán arrastrar a los tribunales si la policía tiene motivos para creer que está participando en actividades ilegales en línea. Cuando se convoca a los proveedores de VPN para que proporcionen evidencia de sus actividades de usuario, tienen cero razones convincentes para no cumplir.
• Protegerte de ti mismo. Ninguna compañía antimalware que valga la pena recomendaría a los usuarios que visiten el sitio web que deseen, abran cada archivo adjunto de correo electrónico o hagan clic en todos los enlaces bajo el sol porque su producto de seguridad los protege. Tener cuidado en línea y evitar comportamientos riesgosos, incluso cuando se utiliza un producto de seguridad, sigue siendo una forma importante de protección contra la infección de malware o el intento de fraude. Los usuarios deben aplicar la misma vigilancia de seguridad cuando usan VPN.

¿Quién usa VPN y por qué?

Lo que comenzó como un producto exclusivo para las empresas para garantizar la seguridad de los archivos compartidos entre colegas de diferentes ubicaciones se ha convertido en una de las herramientas de acceso mundial para la privacidad personal y el anonimato.

Los usuarios promedio de Internet ahora tienen acceso a más de 300 marcas de VPN en el mercado, y pueden usarse para diversos fines.

Según los últimos hallazgos sobre el uso de VPN de la compañía de investigación de mercado GlobalWebIndex, las tres razones principales por las que los usuarios de Internet de todo el mundo usarían un servicio VPN son:

1. para acceder a contenido de entretenimiento restringido por ubicación
2. usar redes sociales y / o servicios de noticias (que también pueden tener restricciones de ubicación)
3. para mantener el anonimato mientras navega por la web

Eso sí, estos no son nuevos. Estas razones han obtenido puntajes altos en muchos estudios de uso de VPN publicados anteriormente.

Los usuarios de los mercados emergentes son los principales usuarios de VPN en todo el mundo, particularmente Indonesia con un 55 por ciento, India con un 43 por ciento, Emiratos Árabes Unidos con un 38 por ciento, Tailandia con un 38 por ciento, Malasia con un 38 por ciento, Arabia Saudita con un 37 por ciento, Filipinas con un 37 por ciento , Turquía con 36 por ciento, Sudáfrica con 36 por ciento y Singapur con 33 por ciento.

El informe también señaló que entre los 40 países estudiados, los factores de motivación para usar VPN varían. A continuación se muestra una tabla resumen de esta relación:

Las aplicaciones VPN móviles son las más populares

Un par de conclusiones más interesantes del informe: la mayoría de los usuarios más jóvenes navegan por Internet con VPN, especialmente en dispositivos móviles. Los detalles son los siguientes:

• La gran mayoría de los usuarios de Internet de entre 16 y 24 años (74 por ciento) y entre 25 y 34 (67 por ciento) usan VPN.
• Los usuarios acceden a Internet utilizando VPN en dispositivos móviles, que en este caso incluyen teléfonos inteligentes (69 por ciento) y tabletas (33 por ciento).
• El 32 por ciento usa VPN en dispositivos móviles casi a diario en comparación con el 29 por ciento a esta frecuencia en una PC o computadora portátil.

Con tantos usuarios (en su mayoría más jóvenes) que adoptan VPN móviles y de escritorio para ver contenido pago o reforzar la privacidad, no es de extrañar que los usuarios de Android e iOS a menudo opten por aplicaciones VPN móviles gratuitas en lugar de productos pagos que pertenecen a nombres más establecidos.

Pero analizar cientos de marcas no es tarea fácil. Y cuanto más investigas, más difícil es elegir. Para el usuario promedio, esto es demasiado trabajo cuando todo lo que quieren hacer es mirar Black Mirror en Netflix. Y es probable que por eso tantas aplicaciones inseguras lleguen al mercado y se instalen en los dispositivos móviles de los usuarios.

«Gratis» no significa «libre de riesgo»

Cuando se trata de cosas gratis en Internet, la mayoría de nosotros sabemos que realmente no obtenemos algo por nada. La mayoría de las veces, pagamos con nuestros datos e información. Si cree que esto no se aplica a las aplicaciones VPN móviles gratuitas, piénselo de nuevo.

«Hay un problema importante con las aplicaciones VPN gratuitas en Google Play y la App Store de Apple», dice Simon Migliano, jefe de investigación en Top10VPN , en una entrevista por correo electrónico. Explica además: “[V] pocos proveedores de VPN ofrecen transparencia sobre su aptitud para operar un servicio tan sensible. Las políticas de privacidad son en gran medida basura, mientras que el 25 por ciento de las aplicaciones sufren fugas de DNS y exponen su identidad. La mayoría está plagada de rastreadores de anuncios y, en el mejor de los casos, es un adware glorificado, en el peor, un spyware «.

En diciembre de 2018, Migliano publicó un informe de investigación sobre las 20 mejores aplicaciones VPN gratuitas en Android que aparece en las búsquedas de Google Play en el Reino Unido y EE. UU. Según el informe, más de las tres cuartas partes (86 por ciento) de estas aplicaciones VPN, que tienen millones de descargas, tienen políticas de privacidad que se consideran inaceptables: el uso de plantillas de políticas de privacidad genéricas que no tienen cláusulas específicas de VPN; las aplicaciones rastrean la actividad del usuario o comparten datos del usuario con terceros; y pocos detalles sobre las políticas de registro que, en su ausencia, «podrían inducir a las personas a [una] falsa sensación de seguridad», por nombrar algunas. La privacidad es solo una de las muchas preocupaciones que Top10VPN había descubierto.

Las principales aplicaciones VPN gratuitas dirigidas a usuarios de iPhone tienen problemas similares. De hecho, en un informe de investigación de seguimiento , el 80 por ciento de estos se consideraron no conformes con la Pauta 5.4, una nueva adición a las Pautas de revisión de la tienda de aplicaciones de Apple , que se introdujo hace un mes.

Top10VPN también señaló que varias de las 20 mejores aplicaciones VPN en Android e iOS tienen vínculos con China.

Hubo otras investigaciones en el pasado sobre aplicaciones VPN móviles, tanto gratuitas como comerciales. Gracias a ellos, hemos visto mejoras a lo largo de los años, pero algunas de estas preocupaciones persisten. También tenga en cuenta la grave falta de conocimiento de los usuarios, lo que ayudó a que tales aplicaciones VPN gratuitas cuestionables tengan altas calificaciones, fomentando más descargas y posiblemente manteniéndolas en la cima de las filas.

En un informe de investigación exhaustivo de 2016 [PDF] publicado por la Organización de Investigación Científica e Industrial de la Commonwealth (CSIRO) junto con la Universidad de Gales del Sur y UC Berkeley, los investigadores revelaron que algunas aplicaciones VPN móviles, tanto de pago como gratuitas, filtran tráfico de usuarios (84 por ciento para IPv6 y 66 por ciento para DNS), solicitan datos confidenciales de los usuarios (80+ por ciento), emplean encriptación de tráfico cero (18 por ciento) y más de una cuarta parte (38 por ciento) usan malware o publicidad maliciosa .

La fuga de tráfico era un problema no exclusivo de las aplicaciones VPN gratuitas. Investigadores de la Universidad Queen Mary de Londres y la Universidad Sapienza de Roma descubrieron que incluso las aplicaciones VPN comerciales eran culpables del mismo problema. También descubrieron que las configuraciones de DNS de estas aplicaciones de VPN podrían saltarse usando tácticas de secuestro de DNS . Los detalles de su estudio se pueden ver en esta página de Semantic Scholar .

VPN gratis que se comportan mal

Los hallazgos de la investigación son una cosa, pero las organizaciones y las personas que encuentran y comparten sus experiencias sobre los problemas que rodean a las VPN gratuitas hacen que todo lo técnico en papel se vuelva real. Aquí hay ejemplos de eventos en los que las VPN gratuitas estaban (o continúan estando) bajo escrutinio y denunciaron su mal comportamiento.

La queja de Hotspot Shield. El desarrollador de la aplicación VPN móvil AnchorFree, Inc. estuvo en el centro de atención hace un par de años, y no por una buena razón. El Centro para la Democracia y la Tecnología (CDT), un grupo de defensa de los derechos digitales, presentó una queja [PDF] ante la FTC por “intercambio de datos no revelado y poco claro y redirección de tráfico que ocurre en Hotspot Shield Free VPN que debe considerarse comercio injusto y engañoso prácticas bajo la Sección 5 de la Ley FTC «.

La queja decía que se descubrió que Hotspot Shield inyectaba código JavaScript en los navegadores de los usuarios para publicidad y seguimiento, por lo tanto, también los exponía al monitoreo de las fuerzas del orden y otras entidades. La queja de CDT condujo a una denegación de las reclamaciones por parte del desarrollador de la aplicación y la consiguiente formación de su informe anual de transparencia .

HolaVPN atrapado con las manos en la masa. HolaVPN es una de las muchas aplicaciones VPN móviles reconocibles y gratuitas. En 2015, un spammer con el seudónimo de Bui comenzó un ataque de spam contra 8chan, que luego reveló que pudo hacerlo con la ayuda de Luminati, una conocida red de representantes y una compañía hermana de HolaVPN. Lorenzo Franceschi-Bicchierai señaló en su pieza de la placa base que el sitio web de Luminati se jactaba de tener «millones» de nodos de salida. Por supuesto, estos nodos eran todos usuarios gratuitos de HolaVPN.

En diciembre de 2018, la compañía AV, Trend Micro, reveló que encontraron evidencia de la antigua pandilla de delitos cibernéticos KlipVip (que se sabía que difundían software AV falso o rogueware ) usando Luminati para llevar a cabo lo que los investigadores creen que es una campaña de fraude publicitario a gran escala.

Innet VPN y Secnet VPN malvertising. En abril pasado, Lawrence Abrams de BleepingComputer alertó a los usuarios de iPhone de algunas VPN móviles que sacaban una página del libro falso de AV en promoción publicitaria: tácticas de miedo. Los usuarios que hicieron clic en un anuncio falso en sitios populares se encontraron con mensajes emergentes que alegaban que su dispositivo móvil estaba infectado o que estaban siendo rastreados.

Desafortunadamente, esa no fue la primera vez que sucedió esto, y puede que no sea la última. Nuestro propio Jérôme Segura vio de primera mano una campaña similar exactamente un año antes del informe de Bleeping Computer, pero estaba presionando a los usuarios a descargar una VPN llamada MyMobileSecure.

Las VPN no son intrínsecamente malas

A pesar de la evidencia indiscutible del lado sombrío de las aplicaciones VPN móviles gratuitas, el hecho es que no todas son malas. Esta es la razón por la cual es crucial para los usuarios móviles que actualmente usan o buscan usar un servicio VPN gratuito para realizar una investigación sobre qué marcas pueden confiar con sus datos y privacidad. Nadie quiere una aplicación que prometa una cosa, pero hace todo lo contrario.

Cuando los usuarios insisten en usar un servicio VPN gratuito, Migliano sugiere que deberían suscribirse a un servicio basado en el modelo freemium, ya que estas plataformas no tienen publicidad, por lo que mantiene la privacidad intacta. También ofreció preguntas útiles que los usuarios deben hacerse al elegir la mejor VPN que se ajuste a sus necesidades.

“Busque información sobre la empresa. ¿Son [sic] una compañía real con personas reales, con una dirección, número de teléfono y todas las cosas que las compañías normales tienden a tener? ¿Tienen una política de privacidad específica de VPN que explique sus políticas de registro y retención de datos? ¿Han tomado medidas para minimizar el riesgo de uso indebido de datos, como eliminar todos los registros del servidor en tiempo real, por ejemplo? ¿Tienen el soporte al cliente adecuado?

También ten cuidado con las revisiones de VPN. Pueden ser anuncios disfrazados.

Finalmente, los usuarios tienen la opción de optar por un servicio pago, que es un modelo de negocio que siguen la mayoría de los servicios de VPN móviles bien establecidos y legítimos. O pueden crear los suyos . Como no todos son lo suficientemente inteligentes como para hacer lo último, lo primero es la siguiente opción lógica. Migliano está de acuerdo.

«Lo mejor que puedes hacer es pagar por una VPN», dijo. “Cuesta dinero operar una red VPN y, por lo tanto, si no paga directamente, sus datos de navegación se monetizan. Esto es claramente una cruel ironía dado que una VPN está destinada a proteger la privacidad de un usuario «.

La semana pasada, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) anunció que había requerido que Google y YouTube pagaran una tarifa de liquidación por un total de $ 170 millones después de que se descubriera que su plataforma para compartir videos violaba la Ley de Protección de Privacidad en Línea para Niños (COPPA) . La denuncia fue presentada por la FTC y el Fiscal General de Nueva York, y el primero recibió la multa de $ 136 millones y el último $ 34 millones.

Según el comunicado de prensa de la FTC , esta sanción «es, con mucho, la mayor cantidad que la FTC haya obtenido en un caso de COPPA desde que el Congreso promulgó la ley en 1998».

Tenga en cuenta que la queja no involucra la aplicación YouTube Kids, un servicio de YouTube dedicado a mostrar solo contenido dirigido a niños. Aunque la aplicación todavía muestra anuncios , aunque en un grado limitado, no rastrea los datos secundarios para este propósito.

Este triunfo sobre Google y YouTube sigue los pasos de varias quejas presentadas por la FTC en 2019 con el objetivo de proteger la privacidad de los niños en línea. En mayo, se eliminaron tres aplicaciones de citas de los mercados de Apple y Google después de que la FTC alegara que las aplicaciones permitían el acceso a niños de 12 años.

i-Dressup.com, un sitio web de juegos de disfraces, acordó resolver los cargos en abril después de que la FTC presentó una queja, alegando que los operadores del sitio web no solicitaron el consentimiento de los padres al recopilar datos de niños menores de 13 años.

En un caso similar en febrero, la FTC llegó a un acuerdo con Musical.ly , ahora conocido popularmente como TikTok, luego de que se descubriera que sus operadores recopilaban datos de niños pequeños, que incluyen sus nombres completos, direcciones de correo electrónico y otra información de identificación personal ( PII) sin el consentimiento de sus padres.

Un resumen de la violación de YouTube

Desde su inicio, YouTube se ha promocionado como una plataforma para compartir videos para contenido de audiencia general. Fue creado para adultos y no está destinado a niños menores de 13 años.

A través de los años, sin embargo, YouTube se ha convertido en un compañero constante de niños pequeños. De hecho, según la compañía de investigación de mercado, Smarty Pants, YouTube es reconocida como la marca más querida entre los niños estadounidenses de 6 a 12 años durante cuatro años consecutivos desde 2016. [ 1 ] [ 2 ] [ 3 ] [ 4 ]

También es extremadamente difícil defender el argumento de que «YouTube no es para niños» cuando una cantidad considerable de contenido dirigido a niños ya está presente, y continúa creciendo y acumulando miles de millones de visitas, en la plataforma.

El modelo de negocio de YouTube depende de la recopilación de información personal e identificadores persistentes (es decir, cookies ) de los usuarios para publicidad conductual o personalizada. Los propietarios de canales dirigidos por niños que optaron por monetizar su contenido permitieron a YouTube recopilar datos de su público objetivo: niños menores de 13 años, el grupo de edad de YouTube dijo que no estaba hecho para ellos.

Es fácil suponer que YouTube puede no tener los medios para saber qué datos pertenecen a qué grupo de edad, de lo contrario habrían actuado sobre ellos. Sin embargo, según la queja [PDF], YouTube sabía que estaban recopilando datos de niños.

Más sorprendente, incluso, es el hecho de que Google utilizó la popularidad de la marca de YouTube entre los niños pequeños como parte de su táctica de marketing, vendiéndose a fabricantes y marcas de productos y servicios centrados en los niños como «los nuevos dibujos animados de Saturday Morning Cartoons», entre otros.

A pesar de este conocimiento, YouTube nunca intentó notificar a los padres sobre su proceso de recopilación de datos, ni les pidió a los padres su consentimiento en la recopilación de datos. A los ojos de COPPA, estas son enormes banderas rojas.

Buenas noticias: el cambio positivo está a la mano

El acuerdo acordado entre la FTC y Google / YouTube incluye una compensación monetaria, el pago de $ 170 millones en este caso, y tres medidas cautelares, que se definen como un acto o prohibición que las empresas deben completar según lo ordenado por el tribunal. Según el comunicado de prensa, los mandamientos judiciales son los siguientes:

• Google y YouTube deben «desarrollar, implementar y mantener un sistema que permita a los propietarios de canales identificar su contenido dirigido a niños en la plataforma de YouTube para que YouTube pueda garantizar que cumple con COPPA».
• Google y YouTube deben «notificar a los propietarios de canales que su contenido dirigido a niños puede estar sujeto a las obligaciones de la Regla COPPA y proporcionar capacitación anual sobre el cumplimiento de COPPA para los empleados que tratan con propietarios de canales de YouTube».
• Se prohíbe a Google y YouTube violar la Regla COPPA, y la orden judicial «requiere que notifiquen sobre sus prácticas de recopilación de datos y obtengan el consentimiento de los padres verificables antes de recopilar información personal de los niños».

Como los creadores de contenido también son culpables al informar a la plataforma sobre el tipo de contenido que están produciendo y publicando, la FTC ha notado que si no informa a YouTube que su contenido está dirigido a niños podría estar sujeto a su eliminación de YouTube y otras sanciones civiles .

Susan Wojcicki, CEO de YouTube, visitó su blog oficial para actualizar personalmente a los lectores al ampliar estos cambios y recordar a los usuarios que la compañía ha estado haciendo cambios activamente dentro de la plataforma de video desde el cuarto trimestre de 2017.

«Hemos estado invirtiendo significativamente en las  políticas ,  productos  y  prácticas para ayudarnos a hacer esto», escribió Wojcicki. “Desde sus primeros días, YouTube ha sido un sitio para personas mayores de 13 años, pero con un auge en el contenido familiar y el aumento de dispositivos compartidos, la probabilidad de que los niños vean sin supervisión ha aumentado. Hemos estado analizando detenidamente las áreas donde podemos hacer más para abordar esto … «

Aquí hay una lista de cambios ampliados que YouTube sufrirá en los próximos meses:

• En cuatro meses, los datos de cualquier persona que vea contenido dirigido a niños serán tratados como provenientes de un niño, independientemente de la edad real del espectador.
• Los anuncios personalizados ya no se publicarán en contenido dirigido a niños. (Tenga en cuenta que esto no significa que no se mostrarán anuncios).
• Algunas funciones de YouTube, como comentarios y notificaciones, no estarán disponibles en dicho contenido.
• YouTube utilizará el aprendizaje automático para encontrar contenido dirigido a niños.
• YouTube promocionará aún más su aplicación YouTube Kids a los padres mediante la realización de una campaña en YouTube y creando una versión de escritorio de la aplicación.
• YouTube brindará apoyo a los creadores de contenido para familias y niños durante la fase de transición.
• YouTube está lanzando un fondo de $ 100 millones para que los creadores creen contenido original y reflexivo. Este fondo se dispersa en los próximos tres años.

Insatisfacción general con los resultados.

Mientras que algunos pueden ver esto como una victoria histórica para la FTC y el Fiscal General de Nueva York, otros lo ven como otro ejercicio para evitar el castigo debido a otra gran empresa que infringe la ley.

Caso en cuestión: el Comisionado Rohit Chopra, uno de los dos comisionados que votaron en contra del acuerdo, señaló en su declaración [PDF] los mismos errores que cometió la Comisión en un caso similar de Facebook: “[No hay] responsabilidad individual, remedios insuficientes para abordar los incentivos financieros de la compañía, y una multa que aún le permite a la compañía beneficiarse de su infracción de la ley «.

Chopra también notó inconsistencias con la forma en que la FTC maneja los casos de pequeñas empresas versus grandes empresas. Ergo, el primero es penalizado en exceso, mientras que el segundo es fácil. Con este punto, James P. Steyer, fundador y CEO de Common Sense Media, está de acuerdo.

«El acuerdo no es más que una palmada en la muñeca para una empresa tan grande como Google, y no impone cambios significativos para proteger verdaderamente los datos y la privacidad de los niños», dijo Steyer en un comunicado oficial.

Sin embargo, también reconoció que las reformas declaradas de YouTube están haciendo avanzar el diálogo. “El compromiso de YouTube para promulgar reformas específicas en la plataforma también es un paso en la dirección correcta, pero ahora deben poner recursos detrás de su declaración. Los niños y las familias deben ser una prioridad en Washington, DC y en Silicon Valley ”.

La comisionada Rebecca Slaughter, la otra parte disidente, planteó en su propia declaración [PDF] que las medidas cautelares son incompletas, ya que carecen de las órdenes y / o mecanismos (un «respaldo tecnológico») que garantice que los creadores de contenido estén diciendo la verdad al designar adecuadamente canales de contenido dirigido a niños.

Slaughter no es el único que menciona lo que falta en el asentamiento. Hablando con Angelique Carson, editora de la Asociación Internacional de Privacidad (IAPP) en The Privacy Advisory Podcast , Linnette Attai, presidenta de la firma de cumplimiento global PlayWell y experta de COPPA, expresó sus preocupaciones.

“No estamos viendo la rigurosa auditoría de terceros que hemos visto, tradicionalmente, en los acuerdos de COPPA. No estamos viendo los requisitos para eliminar datos, que es algo que verá en los primeros asentamientos de COPPA, pero parece haberse reducido como una opción para la FTC en los últimos años ”, dijo. “Una cosa es decir: ‘No puedes usar esta información’. Otra muy distinta es decir, ‘Tienes que eliminarlo’, lo que garantiza que no puedas usarlo accidentalmente ”.

V para vigilancia

Todas las personas tienen datos , y en este día y edad, se transmiten regularmente, a menudo con indiferencia, a aquellos que pueden o no apreciar su valor. Si los usuarios no se preocupan por las grandes y pequeñas empresas que cruzan líneas para monetizar datos personales, tal vez un claro recordatorio de que los cibercriminales también persiguen su PII también lo hará considerar seriamente cómo aborda su privacidad de datos.

Los datos de los niños también están siendo atacados por actores de amenazas. De hecho, cuando se trata de fraude, los ciberdelincuentes prefieren los datos que pertenecen a niños que a adultos. Esta es la razón por la cual los padres y los cuidadores deben estar más atentos para mantener seguros sus datos, y los de sus pequeños. Hablar con sus hijos sobre cómo es en línea [PDF], conocer las formas en que puede proteger la privacidad de su hijo e informar a las empresas ante la FTC por posibles violaciones de los derechos de COPPA son tres grandes pasos que puede tomar para no solo mejorar la postura de privacidad de su hijo, sino también su postura de seguridad también

Los iPhones tienen fama de ser notoriamente seguros. Después de todo, causaron una gran confusión entre Apple y el FBI porque, desde el punto de vista del FBI, son demasiado seguros. Sin embargo, no dejes que eso te adormezca con una falsa sensación de seguridad. El uso de un iPhone no es una garantía automática de invulnerabilidad, incluso mientras Apple continúa iterando en su producto más popular y rentable.

Aunque el hardware de Apple se está volviendo más seguro todo el tiempo, esa seguridad se vuelve inútil si permite compromisos a través de malos hábitos de ciberseguridad . Los siguientes siete consejos lo ayudarán a asegurarse de que su iPhone sea la fortaleza digital que debería ser.

1. Use una frase de contraseña larga

La mayoría de las personas establece un código PIN de cuatro dígitos, o tal vez el PIN de seis dígitos un poco más seguro, para proteger sus teléfonos. Y claro, esto parece una protección perfectamente aceptable, dado que el teléfono se bloqueará por períodos de tiempo cada vez mayores si un ladrón intenta desbloquearlo con el código incorrecto demasiadas veces. Dependiendo de su configuración, puede borrarse después de 10 intentos incorrectos.

¿Qué puede salir mal? De un posible 10,000 combinaciones, el atacante tiene que adivinar correctamente en los primeros 10 intentos. Las posibilidades de hacerlo son bastante bajas, una en 1,000, para ser precisos. El uso de seis dígitos aumenta aún más sus probabilidades.

Sin embargo, no todos los ataques implican introducir números en la pantalla repetidamente. A lo largo de los años, ha habido muchos dispositivos capaces de volver a intentar números PIN sin fin, sin penalizaciones, aprovechando las vulnerabilidades en el hardware o el software del iPhone. El último de ellos, el dispositivo GrayKey , puede descifrar un PIN de cuatro dígitos en una o dos horas, y un PIN de seis dígitos en tres días o menos.

Si hay una verdad universal sobre estos códigos de acceso, es que más tiempo es mejor. Lo mejor que puede hacer es comenzar a usar una contraseña alfanumérica más larga en lugar de un código PIN. Cada carácter adicional de longitud aumenta el tiempo necesario exponencialmente, y ese tiempo se vuelve aún más largo al agregar letras y símbolos a la mezcla.

Para cambiar a una contraseña más larga, abra la aplicación Configuración, luego toque Touch ID & Passcode. Ingrese su PIN actual, luego toque Cambiar contraseña en la siguiente pantalla. Ingrese su contraseña nuevamente, pero luego, en lugar de ingresar una nueva contraseña, toque Opciones de contraseña. Esto le dará la opción de elegir, entre otras cosas, un código alfanumérico personalizado.

Sé lo que estás pensando. ¿Quién quiere ingresar una contraseña larga cada vez que desbloquean su teléfono? Afortunadamente, los iPhones modernos tienen opciones biométricas convenientes para acceder al dispositivo sin ingresar la contraseña cada vez. Touch ID o Face ID te permiten acceder rápidamente a tu teléfono, sin necesidad de ingresar la contraseña.

Por supuesto, Touch ID y Face ID son características convenientes, no características de seguridad. Existen preocupaciones válidas sobre la seguridad del uso de un patrón biométrico que no se puede cambiar como reemplazo de una contraseña.

Aún así, si le permiten usar una contraseña más larga convenientemente , vale mucho más que evitarlas, sino usar un código PIN corto. Siempre puede bloquear temporalmente el dispositivo para que Touch ID y Face ID no funcionen. Para obtener más información, consulte la información de Apple sobre la seguridad de Touch ID y Face ID .

2. Bloquee su ID de Apple con 2FA

¿Con qué ahora? Esa abreviatura divertida (2FA) significa autenticación de dos factores , un medio de autenticación que requiere no solo algo que sabes , como una contraseña, sino también algo que tienes , como un código temporal de una sola vez. Sin ambos, un atacante no puede acceder a su cuenta.

Su ID de Apple proporciona las claves del reino. Está vinculado a todos los dispositivos que posee. Probablemente tenga una tarjeta de crédito asociada. Su ID de Apple también es su cuenta de iCloud y, como tal, puede contener todo tipo de golosinas tentadoras, incluidas las contraseñas.

Afortunadamente, Apple ofrece 2FA en su ID de Apple , y se recomienda encarecidamente que aproveche esto. Hacerlo significa que siempre tendrá que ingresar su contraseña y un código de seis dígitos enviado a un dispositivo confiable antes de iniciar sesión en su cuenta desde una nueva máquina. Esto hace que sea muy difícil para un hacker acceder a su ID de Apple y a la gran cantidad de datos a los que puede dar acceso.

3. Mantenga su iPhone actualizado

Mantener su sistema y todas sus aplicaciones actualizadas es una parte importante para mantenerse seguro. iOS (el sistema que se ejecuta en iPhones) se actualiza con frecuencia para corregir vulnerabilidades que podrían usarse en varios escenarios para atacar su dispositivo. Algunos de estos son menores, otros son problemas importantes.

Las noticias recientes sobre China infectando los iPhones de personas uigures a través de una serie de vulnerabilidades de iOS es el ejemplo perfecto de por qué es importante la actualización. De las 14 vulnerabilidades utilizadas en estos ataques, como lo documenta Google Project Zero, ¡12 de ellas ya habían sido reparadas por Apple! Sin embargo, todavía estaban en uso, porque muchas de las víctimas no habían actualizado sus teléfonos, por lo que las vulnerabilidades continuaron siendo efectivas.

Peor aún, una vez que se repara una vulnerabilidad y Apple publica sus notas de lanzamiento, eso proporciona a los piratas informáticos un poco de información adicional que puede ayudarlos a encontrar la vulnerabilidad, lo que significa que los sistemas más antiguos están potencialmente en mayor peligro después de ese punto.

4. Use una VPN con Wi-Fi gratis

El wifi público puede ser extremadamente peligroso. Cualquier otra persona en la misma red puede ver las transmisiones de red sin cifrar que realice, y una red no confiable puede realizar todo tipo de ataques de intermediario para phishing u otros fines maliciosos. Por ejemplo, si intenta iniciar sesión en el sitio de su banco con Wi-Fi público, es posible que no esté iniciando sesión en el sitio de su banco. Podría ser un sitio malicioso similar al que los malos actores dentro de la red Wi-Fi te envían.

Siempre puede usar datos celulares cuando está en público, apagando el Wi-Fi en la configuración, pero eso no siempre es práctico, especialmente con los límites de datos en la mayoría de los planes de datos celulares. Afortunadamente, hay una buena solución: una VPN o red privada virtual. Usar una buena VPN significa que todo el tráfico de su red se canaliza a través de una conexión cifrada a un servidor ubicado en otro lugar.

Desafortunadamente, hay muchas VPN inseguras o poco confiables . No ayuda mucho a su seguridad si la VPN es descuidada con sus datos, o si no actúa en su mejor interés. Existen muchas VPN gratuitas, pero recuerda la primera regla de los servicios gratuitos en Internet: si no estás pagando por ello, eres el producto.

Encontrar una VPN segura y confiable puede llevar un poco de trabajo. Afortunadamente, un excelente artículo de Brian Krebs proporciona detalles sobre las VPN y cómo seleccionar una buena. Asegúrese de que la VPN que elija tenga un buen soporte para iOS; todo lo que requiera que descargue una aplicación, pero no ofrezca una aplicación iOS, está fuera de la mesa desde el principio.

5. Use encriptación adicional

El cifrado en el iPhone es una de sus mejores características, pero no es perfecto. Mientras haya alguna posibilidad de descifrar el código de acceso de su iPhone o de obtener acceso a copias de seguridad sin cifrar, sus datos no estarán seguros. Para sus datos particularmente sensibles, como contraseñas, números de seguridad social, números de tarjetas de crédito y similares, necesita un cifrado adicional.

Usar un administrador de contraseñas con su propio cifrado seguro y una contraseña segura diferente de cualquier otra contraseña que use puede ser extremadamente útil. Una utilidad como 1Password puede almacenar una bóveda en iCloud que está encriptada de forma independiente, lo que significa que un atacante que busque sus contraseñas necesitaría primero descifrar su teléfono o cuenta de iCloud para acceder a la bóveda, luego descifrar la bóveda en sí.

Del mismo modo, la propia aplicación de notas de Apple ahora permite la creación de notas cifradas, que se pueden proteger con una contraseña de su elección. El uso de una contraseña segura y única significa que los datos que contiene dicha nota también son bastante seguros.

Cuando se trata de las copias de seguridad de su iPhone, considere hacer una copia de seguridad en su computadora usando iTunes, y configure iTunes para encriptar esas copias de seguridad . Dicha encriptación usará una contraseña separada que establezca, así que asegúrese de usar una contraseña segura y única para eso.

6. Audite la configuración de privacidad periódicamente

Hay muchos permisos que se pueden otorgar a las aplicaciones, como el acceso a la cámara, el micrófono, sus contactos y su ubicación. Es una buena idea realizar un seguimiento de los permisos que ha otorgado a las aplicaciones y revocar los permisos que no sean estrictamente necesarios. Por ejemplo, si publicó una foto en Twitter una vez, pero no es probable que lo vuelva a hacer, sería una buena idea eliminar el derecho de mirar sus fotos desde la aplicación de Twitter.

En Configuración, toque Privacidad. Aquí reside la lista maestra de todos los permisos y a qué aplicaciones les ha otorgado. Revíselos periódicamente y revoque cualquier permiso que no crea que una aplicación en particular necesita.

7. Cuidado con las estafas

El uso de un iPhone no hace nada para protegerte contra llamadas telefónicas o mensajes de texto fraudulentos . Siempre tenga cuidado con las llamadas o mensajes de remitentes desconocidos. Trate cualquier enlace recibido en mensajes de texto con extrema sospecha, incluso si es de alguien que usted conoce, ya que el remitente podría haber sido falsificado o su teléfono podría haber sido robado.

Si toca un enlace en un mensaje y el sitio desea que inicie sesión o proporcione otra información personal, verifique con el remitente que sea legítimo. Si parece ser un sitio con el que está familiarizado, considere visitar el sitio a través de un marcador en lugar del enlace.

También puede considerar el uso de un software de seguridad que puede detectar y bloquear llamadas y textos fraudulentos, como Malwarebytes para iOS .

El teléfono más seguro

Está bien sentirse seguro como propietario de un iPhone. Actualmente, los iPhones son los teléfonos inteligentes más seguros del planeta. Sin embargo, como se demostró aquí, todavía hay muchas maneras en que puede convertirse en una víctima. Así que no asuma que está a salvo automáticamente en virtud de ser dueño de un iPhone.

Hacer las cosas correctas para mantenerse seguro a menudo puede ser más importante que tener el teléfono más seguro.