Una semana en seguridad informática (del 11 al 17 de noviembre de 2019)

Una semana en seguridad (del 11 al 17 de noviembre)

Una semana en seguridad informatica (del 11 al 17 de noviembre de 2019)

Al corriente: por 

La semana pasada en Malwarebytes Labs, ofrecimos estadísticas e información sobre un nuevo y astuto malware troyano para Android , inspeccionamos un grupo de estafas actuales de Facebook y explicamos la importancia de asegurar la infraestructura de alimentos y agricultura .

También publicamos nuestro último informe sobre tácticas y técnicas de cibercrimen , que ofrece una nueva telemetría sobre las numerosas amenazas de ciberseguridad que enfrenta la industria de la salud. Puedes leer el informe completo aquí .

Otras noticias de ciberseguridad

Estafas de Facebook: anuncios malos, subvenciones falsas y promociones falsas acechan en las redes sociales

Estafas de Facebook: anuncios malos, subvenciones falsas y boletos falsos acechan en las redes sociales

Estafas de Facebook: anuncios malos, subvenciones falsas y promociones falsas  acechan en las redes sociales

Al corriente: por 

Recientemente destacamos nuevos pasos que Instagram está tomando para tratar de reprimir a los estafadores que envían mensajes falsos en su plataforma. Resulta que otros gigantes de las redes sociales están caminando por un camino similar para una variedad de anuncios falsos y otros ataques. Las estafas de Facebook en particular han despegado, a pesar de los esfuerzos de la compañía para eliminarlas.

Facebook ahora está extendiendo un despliegue de su herramienta de informes de anuncios falsos a Australia , después de que una variedad de celebridades australianas populares siguieran apareciendo en anuncios falsos. Los lectores habituales pueden recordar que la génesis de esta herramienta de informes es un incidente similar en el Reino Unido que involucra al popular experto en asesoramiento al consumidor Martin Lewis.

La herramienta de informes publicitarios de Facebook permitirá a los usuarios australianos marcar esquemas de inversión dudosos o pruebas de productos difíciles de cancelar, esto junto con las afirmaciones de la corporación de haber cerrado ya unos 2.200 millones de cuentas falsas en todo el mundo.

Si bien esta es una buena noticia para los usuarios de la plataforma de redes sociales, todavía hay una gran cantidad de anuncios malos actualmente en circulación fuera de estas ofertas y anuncios falsos. A continuación, lo guiaremos a través de algunas de las estafas más populares y actuales de Facebook, como los esfuerzos para secuestrar su cuenta de redes sociales, deslizar información personal y, por supuesto, separarlo de su dinero.

Campañas publicitarias rebeldes

Los estafadores comprometerán felizmente las cuentas de redes sociales y luego las usarán para comprar miles de dólares en espacio publicitario antes de que puedan cerrarse. En los ejemplos dados, una víctima solo tuvo que cerrar la campaña publicitaria porque su tarjeta de crédito venció; de lo contrario, temía haber sido golpeado por $ 10,000 en deuda de tarjeta de crédito. Otro tenía anuncios publicitarios por alrededor de $ 1,550 por día hasta que PayPal lo notificara. Irónicamente, una de las víctimas dirige un negocio centrado en anuncios con temas de privacidad.

Algunos de los anuncios falsos enumeran ciertos artículos a un precio barato para que parezca que tuvo que ser un error de precios de algún tipo. Esta es una táctica común que se remonta a muchos años, pero el giro aquí es que las páginas de destino contenían skimmers de tarjetas de crédito, por lo que cualquier persona que pagara una ganga tenía sus detalles de pago en su lugar.

Fakeouts de entradas para conciertos

Facebook es un lugar popular para algunos eventos sociales, especialmente en grupos dedicados y páginas de fans. Resulta que los mensajes falsos que anuncian boletos inexistentes también son, lamentablemente, bastante populares.

Así es como funciona: los estafadores de Facebook esperan a que se produzca un evento, cuanto más pequeño mejor volarán por debajo del radar. En este punto, cortan y pegan el mismo mensaje falso «Tengo entradas gratis pero no puedo» y esperan que lleguen las respuestas. Ellos enumerarán las razones típicas por las que no pueden ir: » Estoy fuera de la ciudad «,» Me someteré a una cirugía «o» hay una emergencia familiar «.

Si pasa suficiente tiempo cavando, probablemente verá la misma misiva de cortar y pegar publicada por varias cuentas supuestamente independientes. Una transferencia de dinero dudosa y rápida más tarde y se quedará sin dinero para comprar entradas. Hacer un seguimiento de las páginas del organizador del evento cuando busca entradas es imprescindible para asegurarse de no caer en la misma estafa.

Clones, estafas de subvenciones de mensajería y travesuras de lotería

El viejo problema de las cuentas «clonadas» vuelve a tener su fea cabeza . La clonación ocurre cuando un estafador no puede obtener el control de una cuenta genuina en las redes sociales, por lo que hace lo siguiente mejor: robar la foto, la biografía y cualquier otra información pertinente para replicar la cosa real. A partir de ahí, intentan hacer ingeniería social para llegar al saldo bancario de la víctima.

La parte más inteligente de estas estafas de Facebook es la clonación y el mapeo de contactos potenciales para intentar engañar. Después de eso, las tácticas vuelven a ser más mundanas. Los estafadores enviarán mensajes a los contactos con: «He estado en un accidente y necesito ayuda» o «Estoy en el extranjero y he perdido mi billetera» pidiendo ayuda. En este caso, «Una subvención está disponible» es una técnica común y bastante antigua. Las palabras clave actuales para activar las alarmas incluyen tarjetas de regalo, banco mundial y subvenciones. Si ves que alguno de esos se dejó caer de repente en una conversación, seguramente será una estafa.

En caso de duda, verifique que la persona que habla con usted esté realmente en su lista de amigos; los clones no lo estarán. Además, si es realmente tu amigo, eso no significa que el peligro haya pasado. Lo que realmente significa es que probablemente estaban comprometidos y no lo saben. En ambos casos, encuentre un medio alternativo para ponerse en contacto y verificar quién, qué, cuándo, dónde y por qué.

Las estafas de mensajería de lotería funcionan en líneas similares. Ellos afirman que has ganado un premio , pero una vez que haya contactado a un tercero para reclamar sus ganancias, encontrará lo que necesita para enviarlos dinero para una variedad de razones no del todo plausibles. A menudo, los perfiles que te dicen que has ganado imitarán a Mark Zuckerberg.

No te dejes engañar en Facebook

Volviendo a nuestro problema inicial falso de anuncios de Facebook, puede leer un poco más sobre cómo funcionan bajo el capó en BuzzFeed . Hemos cubierto muchas falsificaciones de Facebook a lo largo de los años, siendo la más reciente la ola de perfiles falsos de Ellen que impulsan los servicios de transmisión de películas.

La buena noticia es que la mayoría, si no todas, de estas estafas de Facebook se han hecho antes. Si no está seguro, una búsqueda rápida revelará ejemplos anteriores cubiertos en sitios de noticias, blogs de seguridad o publicaciones en foros.

Siempre tenga cuidado, recuerde la vieja rutina «si es demasiado bueno para ser verdad, probablemente lo sea», y manténgase libre de estafas en las redes sociales.

Una semana en seguridad Informatica

Una semana en seguridad (4 de noviembre - 10 de noviembre)

Una semana en seguridad (4 de noviembre – 10 de noviembre)

Al corriente: por 

La semana pasada en Malwarebytes Labs, anunciamos el lanzamiento de Malwarebytes 4.0 , abordamos la legislación de privacidad de datos y exploramos algunas de las formas en que las llamadas automáticas vienen a buscar sus datos y su dinero . También presentamos los pasos involucrados en los ataques de compromiso de correo electrónico de proveedores populares .

Otras noticias de ciberseguridad

  • Bonanza de recompensas de errores: Rockstar Games abre su programa de recompensas para incluir el recientemente lanzado Red Dead Redemption 2 para PC. (Fuente: The Daily Swig)
  • El problema de las noticias falsas: un estudio muestra que son malas noticias para las personas que piensan que pueden evitar información falsa en los portales de redes sociales. (fuente: Ayuda Net Security)
  • A juicio por hackear … ¿tú mismo? Una historia muy confusa que involucra a un juez, la computadora de su oficina y una lección aprendida en informática forense en el lugar de trabajo. (Fuente: The Register)
  • ¿Quién está ahí? Una falla de seguridad: un timbre conectado a Internet causa dolores de cabeza a los propietarios . (Fuente: CyberScoop)
  • Más anuncios falsos en Facebook: una vieja estafa vuelve a imitar a la BBC y engaña a los entusiastas clickers. (Fuente: Naked Security)
  • Juegos de espionaje en redes sociales: un ex empleado de Twitter está acusado de espiar para Arabia Saudita. (Fuente: Reuters)
  • El poder de las ciudades se apaga: Johannesburgo en funcionamiento después de un ciberataque . (Fuente: BusinessTech)
  • Los ataques de sextortión siguen causando problemas: un nuevo informe afirma que estas estafas insidiosas todavía están causando dolor a las masas . (Fuente: noticias de Tricity)
  • Infosec basado en el espacio: si se preguntaba cómo influye el espacio en la estrategia cibernética nacional de EE. UU., Este artículo probablemente será útil . (Fuente: Quinto Dominio)

La Ley ACCESS podría mejorar la privacidad de los datos a través de la interoperabilidad

La Ley ACCESS podría mejorar la privacidad de los datos a través de la interoperabilidad

La Ley ACCESS podría mejorar la privacidad de los datos a través de la interoperabilidad

Al corriente: por 
Última actualización:

La privacidad de los datos está de vuelta en la mira de los legisladores del Congreso, ya que una nueva propuesta legislativa se enfoca no en la recolección, almacenamiento y venta de datos, sino en la idea de que los estadounidenses deberían poder empacar más fácilmente sus datos de usuario y llevarlos a una competencia servicio, tal vez uno que respete mejor la privacidad de sus datos.

El nuevo proyecto de ley también requeriría que ciertas compañías tecnológicas, incluidas Facebook , Google y Twitter, introduzcan «interoperabilidad» en sus productos, permitiendo a los usuarios interactuar a través de diferentes plataformas de competidores directos.

Estas reglas, referidas en el proyecto de ley como portabilidad e interoperabilidad de datos, presumiblemente permitirían a los estadounidenses, por ejemplo, descargar todos sus datos de Facebook y transferirlos a la red social centrada en la privacidad Ello . O hable directamente con los usuarios de Twitter mientras usa el competidor más pequeño y descentralizado de la compañía con sede en San Francisco, Mastodon . O incluso, tal vez, inicie sesión en su cuenta de Vimeo para comentar en los videos de YouTube.

La portabilidad e interoperabilidad de los datos no son nada nuevo: los usuarios de teléfonos móviles pueden mantener su número de teléfono cuando cambian de proveedor de servicios inalámbricos; El software empresarial puede leer hoy los archivos creados en programas de la competencia, como los diversos documentos creados por Apple Pages, Microsoft Word y Google Docs.

Pero pocos, si alguno, ejemplos notables de portabilidad e interoperabilidad de datos llegaron a instancias de la legislación federal. Queda por ver si este nuevo proyecto de ley tendrá éxito, de paso, en mejorar la portabilidad e interoperabilidad de los datos, y en su propósito declarado de mejorar la seguridad de los datos.

Avery Gardiner, investigador principal de competencia, datos y poder del Centro para la Democracia y la Tecnología, dijo que el proyecto de ley tiene algunas buenas ideas, pero al tratar de mejorar la privacidad de los datos, extrañamente no se centra en el tema en sí.

«Si tenemos un problema de privacidad, que tenemos en Estados Unidos, arreglemos eso con la legislación de privacidad», dijo Gardiner.

Cory Doctorow, escritor, activista y afiliado de investigación del MIT Media Lab, agradeció el enfoque del proyecto de ley en la interoperabilidad, un tema que podría usar la formulación inteligente de reglas y que está recibiendo poca atención en el Congreso, en oposición a los intentos constantes y posiblemente inútiles. para regular estrictamente a los delincuentes de Big Tech, como Facebook.

«Esto tiene como objetivo arreglar Internet», dijo Doctorow, «para que el comportamiento de Facebook ya no sea tan estándar».

La Ley de acceso

El 22 de octubre, los senadores de los EE. UU. Mark Warner (D-VA), Josh Hawley (R-MO) y Richard Blumenthal (D-CT) presentaron la Ley de aumento de compatibilidad y competencia al habilitar la Ley de cambio de servicio o la Ley ACCESS.

El proyecto de ley regularía lo que llama «grandes plataformas de comunicaciones», que son productos y servicios en línea que hacen dinero con la recolección, procesamiento, venta o intercambio de datos de usuarios, y que tienen más de 100 millones de usuarios activos mensuales en los Estados Unidos. . El proyecto de ley llama a los propietarios de estos productos «proveedores de comunicaciones».

Claramente, el proyecto de ley se aplica tanto a las compañías de Big Tech como a las plataformas que poseen y operan, incluidas Facebook y sus plataformas Messenger, WhatsApp e Instagram, Google y su plataforma de YouTube, y los principales productos de LinkedIn y Pinterest.

Pero en lugar de imponer nuevas reglas a estos gigantes tecnológicos en un esfuerzo por romperlos, un grito de guerra para algunos candidatos presidenciales demócratas, el proyecto de ley apunta a abrir la competencia contra ellos, creando potencialmente un campo de juego nivelado donde los usuarios pueden dejar fácilmente un plataforma que traiciona su confianza , entra en conflicto con los acuerdos federales o simplemente deja de proporcionar una experiencia agradable .

«El dominio exclusivo de Facebook y Google ha desplazado a la competencia significativa que se necesita para proteger la privacidad en línea y promover la innovación tecnológica», dijo el senador Blumenthal, quien ayudó a presentar el proyecto de ley, en un comunicado preparado . «La Ley ACCESS bipartidista empoderaría a los consumidores para finalmente hacer frente a Big Tech y mover sus datos a servicios que respeten sus derechos».

La Ley ACCESS tiene tres puntos: portabilidad de datos, interoperabilidad y «delegabilidad», que discutiremos a continuación.

Primero, en cuanto a la portabilidad de datos, cualquier empresa que opere una gran plataforma de comunicaciones necesitaría desarrollar una forma para que los usuarios puedan obtener sus datos de usuario y transferirlos a un competidor en un formato seguro, «estructurado, de uso común y legible por máquina». «

Si bien algunas empresas ya ofrecen una manera para que los usuarios descarguen sus datos ( un reportero de Verge descargó 138 GB de sus propios datos luego de la aprobación del Reglamento General de Protección de Datos de la Unión Europea), el potencial de transferirlos sin problemas a un competidor podría reducir las barreras para dejando atrás las compañías de Big Tech que dominan el ecosistema de redes sociales de hoy.

Gardiner de CDT dijo que el intento del proyecto de ley de introducir la portabilidad de datos es bueno, pero si será efectivo depende de un panorama robusto y competitivo en el que los advenedizos puedan aceptar los datos de un usuario de manera significativa. En este momento, dijo, ese paisaje no existe.

«La forma en que sus datos serían útiles es bastante específica de la forma en que ya está en la plataforma de alguien», dijo Gardiner. «No vas a transferir tus datos de Facebook a Twitter porque no te ayudaría a hacer nada, como usuario».

Gardiner dijo que entendía lo que el proyecto de ley está tratando de lograr, pero cuestionó si era la ruta más efectiva.

«Cuando leo las declaraciones de prensa, creo que parte de lo que dicen es que las fallas de privacidad de algunas de las compañías de Big Tech se deben, en parte, a la falta de competencia, por lo que debemos facilitar la competencia por las plataformas de comunicaciones». Dijo Gardiner. «Tengo un enfoque más simple para resolver ese problema, y ​​eso es aprobar una legislación de privacidad».

Sobre las demandas de interoperabilidad del proyecto de ley, las empresas deben desarrollar una «interfaz de interoperabilidad» para cada gran plataforma de comunicaciones que posean. Para una empresa como Facebook, que significaría que permite la interoperabilidad con sus plataformas Messenger, WhatsApp, Instagram y, como CEO, Mark Zuckerberg prom SED a principios de este año , así como con los competidores de fuera que quieren entrar en el campo.

Finalmente, en «delegabilidad», el proyecto de ley pide que los estadounidenses tengan la oportunidad de seleccionar un tercero para administrar su privacidad y la configuración de la cuenta en las diversas plataformas que utilizan. Esos terceros, que el proyecto de ley llama «agentes de custodia de terceros», deben registrarse en la Comisión Federal de Comercio de los EE. UU. Y cumplir con las normas que la Comisión necesitaría emitir después de la aprobación del proyecto de ley.

Los agentes de custodia de terceros podrían cobrar una tarifa por sus servicios, según el proyecto de ley, y deben proteger la privacidad y la seguridad de los datos de sus usuarios.  

Importancia de la interoperabilidad

La Ley ACCESS busca un tipo de interoperabilidad en el que los competidores puedan atraer nuevos usuarios a sus plataformas al hacer que sus servicios sean compatibles con un jugador dominante en el mercado. Si los usuarios no necesitan usar el Messenger de Facebook para mantenerse en contacto con sus amigos, por ejemplo, puede que les resulte más fácil dejar atrás Messenger por completo, aflojando el control de Facebook sobre los usuarios de hoy.

Este tipo de interoperabilidad ya ha ayudado a desalojar los casi monopolios de Microsoft e IBM de sus respectivos mercados: las aplicaciones de software empresarial Word, Excel y Powerpoint; y la PC en sí.

Pero la interoperabilidad podría hacer más que vigilar a las grandes empresas tecnológicas. De hecho, podría conducir a una Internet más segura para los usuarios, dijo Doctorow.

Doctorow contó una anécdota sobre su amigo, un escritor de cómics que recibe acoso selectivo de un grupo de usuarios predominantemente masculinos de Twitter. Las usuarias, enojadas por las opiniones feministas de la escritora, le envían mensajes directos amenazantes. Pero, después de que ella lee los mensajes directos, los eliminan.

Esto es por dos razones, dijo Doctorow. Uno, los usuarios no pueden informar un mensaje directo a Twitter a menos que ese mensaje directo todavía esté disponible y no se elimine. Twitter no acepta capturas de pantalla en informes de acoso debido a la posibilidad de reclamos falsos.

Dos, una vez que se ha eliminado el mensaje directo, los mismos acosadores comentarán públicamente en el feed de Twitter de la escritora de cómics, y a varias otras mujeres en su comunidad en línea. Estos comentarios públicos, dijo Doctorow, hacen referencia al mismo contenido de los mensajes directos amenazantes, retraumatizando al escritor.

Este es un ciclo de acoso en el que las amenazas directas sortean las consecuencias, solo para reaparecer en contenido similar, aumentando la sensación de impotencia para la víctima.

Curiosamente, dijo Doctorow, podría haber una oportunidad para que la interoperabilidad ayude.

La escritora de cómics y su pequeña comunidad de amigos podrían usar un competidor externo (o desarrollar uno ellos mismos) para continuar sus discusiones, que generalmente tienen lugar en Twitter, al tiempo que establecen reglas que evitarían que los mensajes directos y los Tweets de los acosadores aparecieran en sus alimentaciones y bandejas de entrada.

Es más que una lista de bloqueo, dijo Doctorow. Está dando poder a los usuarios para interactuar con comunidades significativas en línea que ya existen de una manera que los respalde y proteja.

La interoperabilidad, entonces, podría ofrecer una solución potencial para que los usuarios eviten el acoso en línea, hasta que los agresores los encuentren en una nueva plataforma. ¿Pero la interoperabilidad realmente servirá al objetivo declarado de la Ley ACCESS de mejorar la privacidad de los datos?

Cómo regular la privacidad de los datos.

La Ley ACCESS es al menos el sexto proyecto de ley federal propuesto en el último año que tiene como objetivo mejorar la privacidad de los datos de los estadounidenses.

Como ha informado Malwarebytes Labs, cada proyecto de ley federal busca mejorar la privacidad de los datos a través de diversos medios. Un proyecto de ley del Senador impondría una lista de «No rastrear», otro crearía un «deber de cuidar» los datos del usuario y otro requeriría acuerdos de términos de servicio claros y concisos.

La Ley ACCESS, por otro lado, es la primera ley de privacidad de datos que se enfoca en la portabilidad e interoperabilidad de datos. Ambos conceptos han proporcionado mejores experiencias comprobadas para usuarios de tecnología en múltiples sectores. Los estudiantes universitarios pueden llevar sus transcripciones a una nueva universidad cuando deseen transferir escuelas. Los pacientes de atención médica pueden llevar sus registros a un nuevo proveedor.

Pero con el Congreso tomando un receso de invierno en solo seis semanas, es esencialmente cero la posibilidad de que cualquiera de estos proyectos de ley de privacidad de datos se apruebe en 2019.

Quizás 2020 sea mejor para los usuarios y su privacidad de datos.

Las pymes carecen de recursos para defenderse de los ataques cibernéticos, además de pagar más después

Las pymes carecen de recursos para defenderse de los ataques cibernéticos, además de pagar más después

Las pymes carecen de recursos para defenderse de los ataques cibernéticos, además de pagar más después

Publicado: 31 de octubre de 2019 por 
Última actualización: 5 de noviembre de 2019

Los ataques cibernéticos, muchos han notado, son el crimen económico de más rápido crecimiento no solo en los Estados Unidos, sino también en todo el mundo. Esta tendencia al alza se ha observado desde 2014, según PricewaterhouseCoopers (PwC) , y es probable que no se desacelere en el corto plazo.

Los ciberataques, al igual que el avance de la tecnología, el entretejido de vidas digitales entre familiares y extraños a través de las redes sociales y la ampliación de la adopción de Internet, están aquí para quedarse.

Por mucho que Internet haya cambiado la vida de las personas en el planeta, para bien o para mal, ha cambiado aún más la forma de hacer negocios. La realidad actual es que un negocio no es un gran negocio si no está en línea. Incluso las pequeñas empresas locales, como restaurantes, empresas de renovación de viviendas o estudios de baile, requieren algún tipo de presencia en Internet para prosperar.

Sin embargo, entrar en el reino en línea como negocio es, en sí mismo, una espada de doble filo. Si bien la visibilidad que Internet brinda a los empresarios casi garantiza el crecimiento, por otro lado, las organizaciones también se exponen a riesgos de amenazas a través de Internet. Los minoristas en línea pueden entrar en conflicto con las tácticas de descremado web . Los editores y blogueros en línea que usan sistemas de gestión de contenido pueden ser pirateados, o sus anuncios envenenados por publicidad maliciosa . Incluso simplemente abrir correos electrónicos puede poner en riesgo a una empresa.

Las organizaciones de todos los tamaños deben entender que en el mundo de hoy, los ataques cibernéticos son inevitables.

Desafortunadamente, la mayoría de las pequeñas y medianas empresas (PYMES) no están preparadas para ninguna forma de asalto digital, mucho menos conscientes de su inevitabilidad. Al final, algunas organizaciones afectadas emergen de un ataque con pérdidas tan excesivas que se cierran permanentemente.

Entonces, ¿qué tan poco preparados están las pymes para un eventual ciberataque? Para ayudar a pintar una imagen de su postura actual de seguridad cibernética, reunimos algunas estadísticas notables. Basta decir que no son buenos.

Postura de ciberseguridad de las pymes

Echamos un vistazo a varios factores que afectan la seguridad cibernética de las PYMES, desde la tasa de incidentes y la escasez de personal hasta los costos asumidos después de un ataque. Así es como funcionan:

Ciber incidentes

Las empresas no empresariales informaron más incidentes cibernéticos en 2019 en comparación con el año anterior, según el Informe de preparación cibernética de Hiscox .

  • Para las pequeñas empresas que informan al menos uno o más incidentes cibernéticos, la proporción ha aumentado del 33 por ciento de los encuestados al 47 por ciento.
  • Para las empresas medianas, el aumento es aún mayor, pasando del 36 por ciento en 2018 al 63 por ciento en 2019.
  • El Informe de investigaciones de violación de datos de 2019 de Verizon encontró que el 43 por ciento de todas las víctimas de violaciones eran pequeñas empresas.

Falta de recursos

Las pequeñas y medianas empresas generalmente tienen menos recursos para la protección de la seguridad cibernética, ya sea un presupuesto más pequeño para soluciones de software o personal de TI sobrecargado o poco capacitado. Esto puede resultar en negligencia que en última instancia conduce a una violación.

  • En promedio, una SMB puede enfrentar hasta 5,000 alertas de seguridad por día, sin embargo, solo el 55.6 por ciento de ellas investiga estas alertas, según Cisco .
  • Según el informe del Instituto Keeper Security-Ponemon mencionado anteriormente, 6 de cada 10 PYMES informan que los ataques contra ellos son más selectivos, sofisticados y perjudiciales; sin embargo, el 47 por ciento de ellos no tiene idea de cómo proteger a sus empresas del ataque cibernético.
  • El 52 por ciento de las PYMES afirman que no tienen un profesional de TI interno en el personal, según el Informe de seguridad de TI de SMB 2019 de Untangle .
  • Untangle también descubrió que el 48 por ciento de las organizaciones afirman que el presupuesto limitado es una de las pocas barreras que enfrentan cuando se trata de seguridad de TI.

Costo de un ataque.

  • Las pequeñas y medianas empresas asumen un costo más alto en relación con su tamaño en comparación con las organizaciones más grandes, según el Informe de costo de violación de datos de IBM .
  • Las organizaciones con una plantilla de entre 500 y 1,000 desembolsaron un promedio de US $ 2,65 millones en costos totales de violación de datos.
  • El costo total para las organizaciones con más de 25,000 empleados promedió $ 204 por empleado, mientras que las organizaciones con entre 500 y 1,000 empleados tuvieron un costo promedio de $ 3,533 por empleado.

Curiosamente, dos informes publicados de forma independiente, a saber, el informe especial de Cisco Small and Mighty [PDF] sobre pequeñas y medianas empresas y Keeper Security y el estado de ciberseguridad en pequeñas y medianas empresas del Instituto Ponemon, reflejaron un rango similar de costos.

En el mismo informe de Small and Mighty, Cisco también revela que las pymes tienen más probabilidades de ceder a los actores de amenazas que pagan sus demandas de rescate, ya que no pueden operar sin acceso a datos críticos y no pueden permitirse las usuales 8+ horas de tiempo de inactividad.

Principales amenazas a las pymes y formas de combatirlas

¿Significa esto que las pymes deben mantenerse alejadas de Internet? Claramente, esa no es la respuesta. Sin embargo, si las organizaciones grandes y pequeñas no toman medidas para proteger sus negocios contra los ataques cibernéticos, no solo se están poniendo en riesgo de pérdida de ganancias, sino que pueden estar obstaculizando el crecimiento económico global. Según Accenture , una economía digital confiable podría estimular un crecimiento adicional de 2.8 por ciento en las organizaciones durante los próximos cinco años, lo que se traduciría en $ 5.2 billones en oportunidades de creación de valor para la sociedad en general.

Sin embargo, las pymes se enfrentan a sofisticados métodos de ciberataque con muchos menos recursos que las grandes organizaciones empresariales para combatirlos. A continuación, enumeramos algunas de las principales amenazas para las PYMES, así como nuestras recomendaciones sobre las mejores formas de combatirlas, teniendo en cuenta las limitaciones presupuestarias y de personal.

Malware

En lo que respecta a las amenazas en línea, los ataques maliciosos de los ciberdelincuentes a través del malware siguen siendo el principal desafío para las PYMES en varios informes. En la mayoría de los casos, el malware no solo es difícil de detectar, sino que también es costoso remediarlo y mitigarlo. Cualquiera que sea la amenaza, no olvidemos que los actores potenciales de la amenaza están motivados para obtener ganancias financieras mediante extorsión, coerción, fraude o robo de información confidencial y clasificada que puede venderse al mejor postor.

En 2019, las pymes se han visto especialmente afectadas por ransomware y troyanos, como Emotet y TrickBot, de acuerdo con nuestra telemetría de productos.

Recomendaciones: Para abordar el desafío de los sofisticados ataques de malware, las pymes deben crear ante todo un plan de respaldo para que no pierdan datos críticos en caso de un ataque de ransomware. Los datos se pueden almacenar de forma segura en la nube y acceder a ellos desde cualquier lugar, en caso de que las máquinas se congelen en un ataque. Además, la compra de una solución de protección de punto final económica que bloquea ataques sofisticados puede ayudar a llevar parte de la carga en lugar de un personal de TI altamente capacitado.

Ataques basados ​​en la web

Según el informe El costo del delito cibernético de Accenture , los ataques basados ​​en la web se encuentran entre las principales razones por las cuales las empresas pierden ingresos. Tales ataques normalmente utilizan un navegador de Internet y el sitio web oficial de una PYME como plataforma de ataque para realizar actos delictivos, como acceder y robar información confidencial del cliente o comprometer el sitio para que infecte a los visitantes. Ejemplos de ataques basados ​​en la web son cross-scripting (XSS) , descargas automáticas e inyección SQL (SQLi) .

Recomendaciones: La mayoría de los ataques basados ​​en la web comienzan cuando los actores de amenazas intentan manipular o alterar la funcionalidad de un sitio web utilizando el código como entrada para los campos de entrada. Evitar la representación de dicho código es una medida de seguridad general que las PYMES podrían comenzar a adoptar. De esta forma, las empresas pueden tener un mejor control sobre los tipos de entrada de usuarios que sus sitios web aceptan y procesan cuando alguien interactúa con ellos.

Para las PYMES, mitigar los ataques y amenazas basados ​​en la web puede implicar invitar a un profesional de seguridad a auditar el código de su sitio web para detectar posibles lagunas que los delincuentes pueden explotar, y asesorar sobre la mejor manera de abordarlos. Mientras estamos en el tema de la codificación, las pymes, como los desarrolladores de aplicaciones u otras personas con personal de programación, querrán priorizar la capacitación sobre cómo codificar bien teniendo en cuenta la seguridad .

Ataques distribuidos de denegación de servicio (DDoS)

Los ataques DDoS a menudo resultan en un tiempo de inactividad extendido para los sitios web de negocios, y eso nunca es bueno para la organización objetivo. Esto significa que a los clientes se les niega el acceso al sitio, lo que les impide realizar transacciones con el negocio, y el negocio pierde valiosas oportunidades, dinero y productividad.

Recomendaciones: Quizás la forma más fácil en que una empresa puede evitar los ataques DDoS es hacer uso de los servicios de una buena red de entrega de contenido (CDN). Sin embargo, la prevención también se puede hacer internamente sin romper el banco . Espere que suceda un DDoS en el futuro y planifique con anticipación. Establezca protocolos en el lugar de trabajo sobre qué hacer en caso de un ataque DDoS al sitio web de su empresa. Si puede, incluya en la fase de planificación qué, cómo y cuándo se comunicaría con sus clientes sobre una interrupción del sitio web causada por este ataque.

Ataques de phishing e ingeniería social

Un sorprendente 85 por ciento de las organizaciones experimentan este tipo de ataque, especialmente ahora que las principales amenazas para las empresas, Emotet, Trickbot y varias familias de ransomware, a menudo se envían por correo electrónico de phishing. Con los estafadores y los ingenieros sociales cada vez más descabellados, sus tácticas se vuelven más sofisticadas y pulidas. Y podemos esperar que esto aumente a menos que las empresas comiencen a tomar en serio estas amenazas.

Recomendaciones: Capacitar a todos los miembros del personal . Existen algunos métodos simples que puede usar para ayudar a los empleados a identificar correos electrónicos de phishing en lugar de los legítimos. Muchos ejemplos de correos electrónicos de phishing y estafas actuales existen en línea. Convierta la conciencia de ciberseguridad en una prioridad. Avance creando una cultura intencional de seguridad dentro de la empresa.

Amenazas internas

Los peligros planteados por empleados actuales y anteriores con intenciones maliciosas siempre se ciernen sobre los ejecutivos de las PYMES. Sin embargo, las amenazas internas no se limitan solo a lo obvio. A menudo, es el personal negligente, desatento y abusa de sus privilegios lo que se convierte en una persona con información accidental y provoca una violación de datos.

Recomendaciones: El tema de las amenazas internas debe incluirse en cada entrenamiento de seguridad cibernética que el personal se someta. Si lo hace, es probable que disminuya la probabilidad de información privilegiada accidental, pero no se aborde a los expertos deliberadamente laxos o profesionales. En este caso, la implementación de controles puede minimizar aún más los incidentes de amenazas internas .

Trabajadores remotos

Ya sea que a los trabajadores remotos les guste o no, son un riesgo para sus organizaciones. Es triste decir que muchas organizaciones desconocen esto, ni se dan cuenta de la magnitud del riesgo que representan los trabajadores remotos sobre los activos de la empresa, incluida la propiedad intelectual, así como la información de los clientes, el personal y los proveedores. Como tales, no cumplen con las mejores prácticas establecidas por la Administración de Pequeñas Empresas de EE. UU . Y no implementan las medidas más básicas de ciberseguridad.

Recomendaciones: La educación y las políticas, una vez más, juegan un papel en la seguridad de los trabajadores remotos de una PYME .

Efectos a largo plazo de los ciberataques

Muchos de los que miran desde afuera pueden asumir que una vez que las organizaciones vuelvan a funcionar después de una violación de datos, además de algunos inconvenientes, los negocios continuarán normalmente. Nada mas lejos de la verdad.

Dependiendo de la cantidad de daño que una violación de datos ha causado a un negocio en total, puede llevarles un tiempo recuperar lo que perdieron y volver a ser rentables. A veces, años de larga consecuencias después de una violación son sentidas por pequeñas y medianas empresas. Esto incluye daños a la reputación del negocio y pérdida de confianza de clientes actuales y potenciales.

El mejor curso de acción que las PYMES pueden tomar después de un ataque cibernético es aprender de su experiencia mejorando su postura general de seguridad cibernética y el estado de preparación cibernética en el futuro. Haga de la seguridad cibernética y la privacidad una prioridad. Cree múltiples copias de seguridad de sus datos más confidenciales. Monitorear y realizar evaluaciones de riesgos regularmente. Educar a los trabajadores. Por último, asegúrese de que todos los dispositivos que se conectan a su red estén configurados y protegidos adecuadamente con software antimalware y protocolos de cifrado sólidos.

A medida que Internet cumple 50 años, surgen más riesgos y posibilidades

A medida que Internet cumple 50 años, surgen más riesgos y posibilidades

A medida que Internet cumple 50 años, surgen más riesgos y posibilidades

Publicado: 29 de octubre de 2019 por 
Última actualización: 28 de octubre de 2019

Este artículo de opinión apareció originalmente en el San Francisco Chronicle el 28 de octubre de 2019.

Ocupamos un mundo ricamente conectado. En Internet, colapsamos la distancia y cambiamos el tiempo. Pero este Internet que entrega correo, nos conecta con amigos, nos permite trabajar en cualquier lugar y comprar desde la palma de la mano, tiene solo 50 años, un poco más joven que Jennifer Aniston y Matt Perry.

El 29 de octubre de 1969, el profesor de informática de la UCLA, Leonard Kleinrock, supervisaba al estudiante de programación Charley Kline, quien envió un mensaje desde la computadora de su escuela a una computadora en el laboratorio de Douglas Engelbart en el Instituto de Investigación de Stanford en Menlo Park, CA.

Intentando iniciar sesión en la computadora SRI, Kleinrock pudo transmitir solo dos caracteres (LO) antes de que fallara la conexión. Por lo tanto, la primera transmisión tenía un problema de seguridad: falta de disponibilidad.

De este comienzo desfavorable, Internet nació porque esta fue la primera conexión en una red de área amplia utilizando una nueva tecnología llamada conmutación de paquetes.

En la década de 1960, las computadoras eran comunes en las universidades, las grandes empresas y las operaciones de investigación del gobierno, pero cada computadora era un sistema cerrado.

Imagine integrarlos en una red de redes, permitiendo la colaboración entre investigadores de todo el mundo. Esa fue la visión detrás de Arpanet , el sistema que desarrolló Kleinrock. Aunque su demostración se encontró con problemas de conectividad, fue diseñada para ser resistente a la falta de fiabilidad de las conexiones de red.

Durante la Guerra Fría de la década de 1950, la Fuerza Aérea quería fortalecer su sistema de radar para sobrevivir a un ataque nuclear y responder, haciendo que el primer ataque de un enemigo fuera menos atractivo. La solución, desarrollada por Paul Baran y Donald Davies, abarcaba una red descentralizada, que agrupaba los datos en pequeños fragmentos. Esta tecnología de conmutación de paquetes estaba en el núcleo de Arpanet.

El Arpanet fue diseñado para la resistencia pero no para la seguridad. Eso se convirtió en un problema. Con cientos de hosts, cada uno con sus propias ideas sobre la creación de redes, gestionar la comunicación fue un desafío.

En 1973, Robert Kahn y Vinton Cerf desarrollaron un nuevo enfoque. Las diferencias entre los protocolos de red locales se enmascararían mediante un protocolo de red común, que relegaría los detalles a las redes de host.

Se tardó una década en rediseñar esta tecnología central de la red de redes. Los protocolos TCP / IP de Kahn y Cerf se implementaron el 1 de enero de 1983. Al año siguiente, el número de nodos superó los 1,000, y pronto pasó a llamarse Internet.

Otros desarrollos en la década de 1980 comenzaron a transformar Internet en un lugar para el público en general, incluida la introducción de servidores de nombres de dominio que convierten las direcciones numéricas crípticas de Internet en nombres legibles como WhiteHouse.gov y Stanford.edu. En 1989 en el CERN, Tim Berners-Lee creó la World Wide Web y el primer navegador web, transformando Internet en un mundo virtual. Los servicios de información pública dedicados se convirtieron en sitios web, al igual que las bibliotecas y tiendas, y aparentemente todo.

Pero este uso público hizo que Internet fuera atractiva para los malos actores. Un año antes de la web, el mundo recibió una llamada de atención cuando el gusano Morris derribó en gran medida Internet. El software malicioso infectó aproximadamente el 10 por ciento de los servidores en la red y tardó días en eliminar el gusano . Robert Morris, su creador, fue condenado bajo la Ley de Abuso y Fraude Informático y fue sentenciado a libertad condicional, servicio comunitario y una multa.

Los días sin preocupaciones de Internet habían terminado. Se produjeron nuevos ataques, cada uno de los cuales generó una noticia. Pero en poco tiempo, había demasiados para contar.

El Internet se ha convertido, en palabras de Kleinrock, quien envió ese primer mensaje con su estudiante, «un sistema nervioso global dominante». Pero en el fondo sigue siendo el mismo Arpanet creado hace 50 años, y esto es una bendición mixta. Internet es resistente, pero los actores motivados pueden causar problemas, y los riesgos superan los avances.

La banca en línea y las compras son convenientes, hasta que alguien robe su contraseña o identidad . Usted disfruta de los beneficios de la vida ricamente conectada, siempre que esté atento al spam, adware, troyanos, virus, gusanos, phishing, spyware y keyloggers. Los administradores del sistema luchan contra los ataques, pero gran parte de esto depende de usted, el usuario.

Después de 50 años, todavía estamos en los primeros días de esta transformación en nuestra sociedad. Pero hoy podemos ver el futuro en los laboratorios tecnológicos y las nuevas empresas.

A medida que avanzamos en los mundos virtuales, Internet también se moverá hacia nosotros. Ir al médico será menos necesario ya que los sensores implantados se alimentan y leen desde un software de diagnóstico médico basado en la nube . Su reacción emocional ante un comercial es valiosa: los anunciantes estarán dispuestos a pagar para comprender esas reacciones en tiempo real.

Agrega tus propios escenarios. El futuro ricamente conectado es brillante y extraño. La premonitoria fundación de Arpanet permitirá usos inimaginables más allá de la Internet actual. Pero la urgencia de proteger Internet de los malos actores también está aumentando, y las apuestas aumentarán.

La seguridad de Internet podría ser el factor determinante para que alcance la próxima fase de su potencial.

Una semana en seguridad informática (21-27 de octubre)

Una semana en seguridad (21-27 de octubre)

Una semana en seguridad informatica (21-27 de octubre)

Publicado: 28 de octubre de 2019 por 

La semana pasada en Malwarebytes Labs, exploramos un vínculo entre Magecart Group 5 y Carbanak APT , discutimos la creciente tasa de llamadas automáticas que amenazan la privacidad del usuario , y le informamos sobre cómo protegerse del doxing .

Nos alegramos de ver a la BBC crear conciencia sobre el acosador, al igual que lo hicimos hace unas semanas .

Otras noticias de ciberseguridad

  • NordVPN , una popular red privada virtual, confirmó que fue víctima de una violación del centro de datos en 2018 con un impacto menor. (Fuente: CNet)
  • El Supervisor Europeo de Protección de Datos dice que tiene «serias preocupaciones» sobre los contratos de Microsoft con instituciones de la Unión Europea. (Fuente: ZDNet)
  • Avast se ha convertido en víctima de una campaña de ciberespionaje que vio a los piratas informáticos obtener un acceso profundo a su red. (Fuente: Forbes)
  • Se ha descubierto un nuevo ransomware llamado FuxSocy que toma prestado gran parte de su comportamiento del famoso y ahora extinto Cerber Ransomware. (Fuente: BleepingComputer)
  • Los investigadores han descubierto el malware en 17 aplicaciones de iOS que fueron retirados de Manzana ‘s App Store oficial. (Fuente: ThreatPost)
  • El último Firefox trae protecciones de privacidad al frente y al centro, lo que le permite rastrear los rastreadores. (Fuente: El blog de Mozilla)
  • Se detectó un sigiloso malware de puerta trasera del servidor Microsoft SQL que podría permitir a un atacante remoto controlar sigilosamente un sistema ya comprometido. (Fuente: The Hacker News)
  • Realizar búsquedas en algunas celebridades conlleva un mayor riesgo de ser pirateado. (Fuente: TechSpot)
  • La investigación relacionó el ransomware y las infracciones de datos con un aumento en los ataques cardíacos fatales . (Fuente: PBS)
  • Los informes de delitos cibernéticos presentados por ciudadanos del Reino Unido se han sentado dentro de una base de datos policiales sin ser investigados después de ser puestos en cuarentena por un software de seguridad. (Fuente: ZDNet)

Cómo protegerte del doxing

Cómo protegerte del doxing

Cómo protegerte del doxing

Publicado: 25 de octubre de 2019 por 

«Abandona la esperanza a todos los que entren».

Esta ominosa inscripción colocada encima de las puertas del Infierno en la Divina Comedia de Dante se aplica particularmente bien para describir el estado actual de Internet.

Es difícil establecer un paralelismo con la utilidad que Internet ha ofrecido a la civilización moderna, tal vez ninguna otra innovación tecnológica haya producido un cambio mayor. Sin embargo, una de sus muchas consecuencias es la erosión constante de la privacidad individual, ya que los ciberdelincuentes (e incluso los usuarios habituales) se vuelven más creativos con las actividades maliciosas perpetradas contra otros en línea.

Entre las muchas técnicas dañinas para amenazar la privacidad en línea de un usuario está el doxing. Doxing se refiere a la recopilación de información privada de un usuario, que inevitablemente se extiende a través de múltiples plataformas (incluidas las redes sociales), y su publicación pública. El doxing se puede realizar investigando bases de datos públicas, pirateando o mediante ingeniería social . Si bien hay algunas razones legítimas para la intimidación, como el análisis de riesgos o para ayudar en las investigaciones policiales, se usa principalmente para avergonzar, extorsionar o promulgar justicia vigilante.

El acto de doxing plantea serios peligros no solo para la privacidad de un usuario de Internet, sino también para su seguridad física. No es raro que una víctima doxing a ser acosado en persona o ser objeto de aplastar parodias. No obstante, puede tomar algunas medidas efectivas para evitar convertirse en una víctima potencial de un intento de robo.

1.Haz que todos los identificadores / nombres de usuario de las redes sociales sean privados

Es bastante simple para cualquiera que lo acosa en línea hacer una referencia cruzada de sus múltiples personalidades en línea (leer nombres de usuario / identificadores) desde diferentes plataformas de redes sociales. Si todos sus perfiles son visibles con un solo clic a cualquier Tom, Dick o Harry al azar con una conexión a Internet que funcione, puede estar abierto a la intrusión.

La buena noticia es que las plataformas de redes sociales más populares han mejorado considerablemente sus controles de privacidad. Es recomendable explorar la configuración de privacidad para todos sus perfiles y mantener la información de identificación personal, como su número de teléfono, direcciones y otros datos confidenciales invisibles para cualquier persona que no conozca.

2. Use nombres de usuario únicos para cada plataforma

La forma más fácil de convertirse en una práctica objetivo para alguien que está aprendiendo el arte del doxing es usar el mismo nombre de usuario para cada tablero de mensajes en línea, redes sociales y servicio que está utilizando. Evite esto a toda costa, a menos que esté desarrollando una persona en línea o un programa de influencia. Si es así, ocultar detalles personales asociados con esos perfiles se vuelve aún más imperativo.

Para el resto de nosotros, es aconsejable tener un nombre de usuario único para diferentes situaciones y compartimentar los nombres de usuario en función de su propósito. Por ejemplo, si usa Instagram, comenta en un foro de juegos en línea y participa en una comunidad para discusiones políticas, use un nombre de usuario diferente para cada uno de estos propósitos, sin una conexión obvia entre ellos. Por esta razón, no recomendamos usar perfiles de redes sociales para iniciar sesión en otros servicios (es decir, iniciar sesión con Facebook o Twitter).

La separación de las identidades de las cuentas en línea hace que sea bastante difícil para cualquiera que pueda interesarse en lanzar un ataque contra usted para recopilar todas las piezas necesarias para formar una verdadera identidad. Y si bien puede ser frustrante administrar tantos nombres de usuario y contraseñas diferentes, el software, como los administradores de contraseñas, puede ayudar en el acto de malabarismo.

3. Tenga cuidado con los cuestionarios en línea y los permisos de aplicaciones

La filosofía de mantener la privacidad en línea es simple: limitar el intercambio de información personal en línea a menos que sea absolutamente necesario. Los cuestionarios en línea y los permisos innecesarios de aplicaciones móviles son las antítesis de esta filosofía.

Los cuestionarios en línea parecen completamente inocentes, pero a menudo son minas de oro de información personal que usted brinda felizmente sin pensarlo dos veces. Por ejemplo, algunas partes de un cuestionario pueden incluso servir como preguntas de seguridad para sus contraseñas. Dado que muchas pruebas solicitan permiso para ver su información de redes sociales o su dirección de correo electrónico antes de mostrar quién es su animal espiritual, pueden asociar fácilmente esta información con su identidad real.

Como vimos con el fiasco de Cambridge Analytica en Facebook , esas pruebas en línea no siempre son tan inocentes como parecen. Sin mucho contexto sobre quién está lanzando el cuestionario y por qué, es mejor evitar tomarlos por completo.

Las aplicaciones móviles también son fuentes ricas de datos personales. Muchas aplicaciones solicitan permisos de acceso a sus datos o dispositivo que no deberían afectar al software de la aplicación. Por ejemplo, una aplicación de edición de imágenes no tiene un uso lógico para sus contactos. Si se trata de acceder a su cámara o fotos, tiene sentido. Pero si también quiere ver sus contactos, ubicación GPS y perfiles de redes sociales, definitivamente está sucediendo algo sospechoso.

Por lo tanto, si bien no podemos decir «evitar descargar aplicaciones que soliciten permisos», le recomendamos que eche un vistazo a los permisos que se solicitan y considere si son necesarios para que la aplicación funcione.

4. Use VPN

Las VPN (red privada virtual) ocultan su dirección IP a terceros en la web. Normalmente, cada sitio web al que accede puede ver su IP, lo que puede revelar mucho sobre usted, como la ciudad en la que se encuentra e incluso su identidad real. Las VPN aumentan su privacidad en línea al proporcionarle una dirección IP falsa asociada con una ubicación diferente, que puede fácilmente arrojar un doxer que intenta rastrear su rastro.

El único problema es que hay muchas VPN, y no todas son seguras. La tarea de elegir uno que se adapte a sus necesidades se puede hacer más fácil con recursos de comparación de VPN como este , así como nuestro artículo sobre VPN móviles .

Aprenda cómo configurar su VPN para admitir todos los dispositivos en su red doméstica. Leer más: Una VPN para gobernarlos a todos

5. Ocultar información de registro de dominio de WHOIS

WHOIS es una base de datos de todos los nombres de dominio registrados en la web. Este registro público se puede utilizar para conocer detalles sobre la persona / organización que posee un dominio determinado, su dirección física y otra información de contacto; todas las cosas que a los doxers les encantaría tener a mano.

Si planea ejecutar un sitio web (dominio) de forma anónima sin revelar su identidad real, no olvide hacer que su información personal sea privada y oculta de la base de datos de WHOIS. Los registradores de dominio tienen controles sobre estas configuraciones de privacidad, por lo que tendrá que preguntarle a su compañía de registro de dominio cómo hacerlo.

Pensamientos finales

La privacidad en línea es cada vez más difícil de preservar a medida que se expande nuestra conexión , cortesía de Internet. Las organizaciones buscan detalles personales de sus clientes para obtener oportunidades de marketing más exitosas y específicas. Las aplicaciones solicitan información privada para admitir la funcionalidad y, a veces, piden demasiado. Las redes sociales y los motores de búsqueda extraen datos personales para obtener ganancias publicitarias. En este punto, simplemente tener una presencia en línea es suficiente para poner en riesgo su privacidad.

Al mismo tiempo, recuerde que para la gran mayoría de los casos, tomar algunos pasos adicionales para ocultar, dispersar o dificultar el acceso a la información personal en línea puede hacer que los doxers pierdan su esencia y protejan su privacidad. Esta estrategia es efectiva para rechazar a todos, excepto a los doxers más persistentes, de recopilar información sobre usted y publicarla en Internet. Como beneficio adicional, proteger su PII de los doxers también hace que sea más difícil para los ciberdelincuentes recoger sus datos para usarlos en un ataque de ingeniería social. 

Quizás no necesitemos abandonar toda esperanza en línea después de todo.

Pulse VPN parcheó su vulnerabilidad, pero las empresas se están quedando atrás

Pulse VPN parcheó su vulnerabilidad, pero las empresas se están quedando atrás

Pulse VPN parcheó su vulnerabilidad, pero las empresas se están quedando atrás

En abril de 2019, Pulse Secure publicó un aviso sobre una vulnerabilidad en su software. En agosto, los ciberdelincuentes estaban escaneando masivamente en busca de sistemas que ejecutaban una versión vulnerable. Ahora es octubre, y aún muchas organizaciones no han aplicado los parches disponibles para esta vulnerabilidad.

Esta es una tendencia que hemos visto repetida con docenas de otras vulnerabilidades y organizaciones conocidas públicamente que tardan en actualizar el software a las últimas y más seguras versiones.

Con tantas organizaciones que son víctimas del ciberataque a través de la vulnerabilidad explotada, debemos preguntarnos: ¿por qué las personas no están parcheando?

¿Cuáles son las vulnerabilidades?

Al leer lo anterior, puede sospechar que las vulnerabilidades no eran graves o difíciles de explotar. Pero esa no es la impresión que tenemos del aviso Pulse Secure. Afirma:

“Se descubrieron múltiples vulnerabilidades y se resolvieron en Pulse Connect Secure (PCS) y Pulse Policy Secure (PPS). Esto incluye una vulnerabilidad de bypass de autenticación que puede permitir que un usuario no autenticado realice un acceso remoto a archivos arbitrarios en la puerta de enlace Pulse Connect Secure. Este aviso también incluye una vulnerabilidad de ejecución remota de código que puede permitir que un administrador autenticado realice la ejecución remota de código en las pasarelas Pulse Connect Secure y Pulse Policy Secure «.

Pulse Connect Secure es una solución VPN para organizaciones y ofrece a los usuarios remotos una conexión segura a la red corporativa para que puedan iniciar sesión y trabajar de forma remota. Pulse Policy Secure es una conocida solución de control de acceso a la red, que no solo controla quién puede conectarse sino que también le asigna los permisos correspondientes.

Cuando se trata de software como este, una vulnerabilidad de bypass de autenticación es un problema grave. Cualquier criminal con el conocimiento adecuado puede pretender ser un empleado y acceder a los recursos de la compañía. En este caso, el acceso https y el uso de una URL especialmente preparada serían suficientes para leer un archivo arbitrario en un sistema vulnerable.

No hace falta decir que es un problema grave, y ni siquiera hemos tocado la posibilidad de ejecución remota de código. El sueño de cada hacker es poder ejecutar su código en su sistema. Eso les da un punto de apoyo dentro de su red desde el cual pueden expandir sus actividades. Pueden plantar ransomware o cualquier otra cosa que quieran.

¿Dónde obtendrían el conocimiento necesario?

Por diseño, muchos ciberdelincuentes son oportunistas, y saltarán a cualquier trabajo fácil de copiar y pegar que genere suficiente efectivo. Entonces, cuando la vulnerabilidad se discutió detalladamente en Black Hat a principios de agosto, el método para explotar la vulnerabilidad se convirtió en conocimiento general.

Dado que el uso de este método apenas requiere conocimiento experto, los investigadores pronto notaron mucha actividad de escaneo por parte de ciberdelincuentes que buscaban sistemas vulnerables. La vulnerabilidad en Pulse Secure se presentó junto con algunas vulnerabilidades en otros productos SSL VPN . Poco después, se publicó un exploit para esta vulnerabilidad en GitHub, por lo que cada imitador podría tenerlo a mano.

Sin parchear

El sábado 24 de agosto de 2019, los escaneos realizados por Bad Packets encontraron un total de 14,528 puntos finales VPN Secure Pulse vulnerables a CVE-2019-11510. Más de 5,000 de ellos se encontraban en los EE. UU., Incluidas agencias gubernamentales militares, federales, estatales y locales.

Una semana después, 10,471 servidores Pulse Secure VPN en todo el mundo seguían siendo vulnerables al compromiso. El lunes 16 de septiembre de 2019, todavía quedaban 7,712 parches. El lunes 7 de octubre de 2019, quedaron unos sorprendentes 6.018, con una gran cantidad de escaneos activos, y esto fue después de que la NSA y la NCSC emitieron avisos.

Responsabilidad

Una pregunta básica en casos como estos es: ¿Quién es responsable de aplicar parches? Sin duda, esperamos que un proveedor desarrolle un parche tan pronto como se conozca la vulnerabilidad, pero ¿qué sucede después de eso?

Los líderes de la industria han advertido durante mucho tiempo que la corrección de vulnerabilidades y la gestión efectiva de parches son esenciales para mantener a las organizaciones a salvo de los ataques cibernéticos. Pero hay algunos pasos esenciales en la cadena de entrega después del lanzamiento del parche:

  • Los clientes deben conocer el parche y la urgencia requerida.
  • Los proveedores de seguridad o revendedores deben asegurarse de que sus clientes conozcan la existencia del parche y las posibles consecuencias de no aplicarlo.
  • Las organizaciones deben tener un departamento o proveedor externo que sea responsable de mantener actualizado el software de seguridad. Gastar dinero en software de primer nivel y luego dejarlo desatendido es una pérdida de dinero segura. Mantener el software en forma no se limita a aplicar parches, pero los parches de seguridad a veces pueden ser más importantes que obtener la última actualización de reglas.

La siguiente pregunta natural, entonces, es ¿por qué las organizaciones no aplican parches tan pronto como se enteran?


Lectura recomendada: abordar la escasez de personal calificado de TI: seguridad de todo el equipo


Entonces, ¿qué les impide aplicar el parche?

Suponiendo que el equipo de TI o de seguridad de una organización conoce el parche, las posibles razones para retrasarlo podrían ser el miedo a procesos interrumpidos o un posible desacuerdo sobre lo que podrían considerar crítico. Pero las posibles consecuencias de una vulnerabilidad crítica sin parches deberían superar en gran medida esas preocupaciones.

Podría haber varias otras razones para no aplicar parches tan pronto como estén disponibles:

  • Equipos de seguridad y TI con poco personal.
  • Analizar primero las consecuencias, lo que podría ralentizar el proceso debido a la falta de retroalimentación
  • Esperando a que otros compartan sus experiencias antes de aplicar parches
  • Sin darse cuenta de la existencia del parche, a veces como resultado de no tener tiempo para dar seguimiento a correos electrónicos y señales de advertencia
  • Falta de un punto de contacto. ¿De quién es el problema? ¿Y de quién es el trabajo para resolverlo?

Como puede ver, la mayoría de estos se remontan a la falta de personal y tiempo, y a veces la financiación es responsable de esas dos escaseces. Pero a veces la falta de personal se debe a otras razones. Y una vez que no tiene suficiente personal, la falta de tiempo para dar seguimiento a los problemas es una consecuencia lógica.

La vulnerabilidad Pulse no está sola.

No es que la vulnerabilidad Pulse sea la única vulnerabilidad relacionada con VPN que existe (o cualquier vulnerabilidad de software, para el caso). Se sabe que existen problemas similares en productos de Fortinet y Palo Alto.

En un aviso del Centro Nacional de Seguridad Cibernética (NCSC) en el Reino Unido, los usuarios de los productos VPN afectados pueden encontrar entradas de registro específicas para buscar signos de un compromiso o intento de compromiso. También enfatizan la necesidad de parchear:

“Los parches de seguridad siempre deben aplicarse con prontitud. Más orientación está disponible en el sitio web de NCSC. El NCSC reconoce que los parches no siempre son sencillos y, en algunos casos, pueden causar interrupciones en el negocio, pero sigue siendo el paso más importante que una organización o individuo puede tomar para protegerse «.

Por lo tanto, la pregunta sigue siendo: si las organizaciones conocen el parche y tienen los recursos de personal para aplicarlo, ¿por qué tantos están arrastrando los pies? Quizás algunos de nuestros lectores puedan arrojar algo de luz sobre este misterio. Siéntase libre de compartir sus experiencias personales en los comentarios.

La creciente tasa de llamadas automáticas amenaza la privacidad del usuario

La creciente tasa de llamadas automáticas amenaza la privacidad del usuario

La creciente tasa de llamadas automáticas amenaza la privacidad del usuario

Publicado: 23 de octubre de 2019 por 

Cuando una persona ve una llamada de un número desconocido y contesta para escuchar una voz grabada en el otro extremo, recibe una llamada automática . Algunos son útiles, como recordatorios de próximas citas médicas o anuncios escolares.

Sin embargo, la gran mayoría son de partes no solicitadas que intentan convencer a las personas para que compren productos o servicios, o para que divulguen información personal.

Las llamadas automáticas son indudablemente molestas, especialmente cuando interrumpen las reuniones, las comidas o el tiempo de calidad con sus seres queridos. Pero estas llamadas intrusivas también representan serias amenazas para la privacidad de los datos . Y están en aumento.

¿Qué tan comunes son las llamadas automáticas en los Estados Unidos?

El problema con el creciente número de llamadas automáticas en los Estados Unidos está bien documentado. La Comisión Federal de Comunicaciones (FCC) recibe más de 200,000 quejas sobre llamadas automáticas cada año, lo que representa alrededor del 60 por ciento de su volumen total de quejas.

Según el Índice de llamadas automáticas de YouMail, que mide las llamadas automáticas realizadas y recibidas en todo el país, 43.300 millones de llamadas automáticas se realizaron hasta ahora en 2019, con un promedio de 131.9 llamadas recibidas por persona. A modo de comparación, los datos de YouMail muestran más de 48 mil millones de llamadas automáticas para 2018, aproximadamente 18 mil millones más que el total de 2017. Si los números de 2019 se mantienen, probablemente veremos al menos 10 mil millones más de llamadas automáticas que el año pasado.

El índice de YouMail también muestra que cada persona estadounidense recibió un promedio de aproximadamente 14 llamadas automáticas el mes pasado. Sin embargo, las llamadas son mucho más frecuentes en algunos códigos de área. Los hogares en el código de área 404 de Atlanta, Georgia y sus suburbios circundantes, por ejemplo, recibieron más de 60 llamadas en septiembre de 2019.

Las llamadas automáticas son particularmente incesantes para algunas personas de alto perfil. Una escritora de opinión de The Washington Post declaró que recibió más de 14 llamadas automáticas en un solo día, antes de las 10 de la mañana. No es sorprendente que el 52 por ciento de las personas que respondieron a una encuesta realizada por la firma de investigación B2B Clutch dijeron que recibieron al menos una llamada automática por día, y el 40 por ciento recibió múltiples llamadas.

Sentencias judiciales y quejas formales

Algunas personas encuentran sus vidas tan interrumpidas por las llamadas automáticas que presentan quejas formales o emprenden acciones legales. En 1991, se promulgó la Ley de Protección al Consumidor Telefónico (TCPA) que prohíbe todas las llamadas y mensajes de texto pregrabados o marcados automáticamente a teléfonos celulares sin consentimiento explícito. Además, se formó el Registro Nacional de No Llamar (DNC), permitiendo a los usuarios optar explícitamente por no recibir llamadas de telemercadeo.

Desde 2017, la Comisión Federal de Comercio (FTC, por sus siglas en inglés) descubrió que el 66.8 por ciento de las quejas presentadas ante el registro de DNC se relacionan con llamadas automáticas, que suman un poco más de 12 millones. De todas las quejas presentadas, el tema de llamada más popular fue sobre la reducción de la deuda, mientras que los «impostores» se clasificaron como segundos.

Si bien la TCPA establece que los consumidores pueden recibir pagos monetarios por infracciones individuales, incluidas las llamadas automáticas, los casos judiciales no siempre han respaldado esta traducción literal. Un fallo de agosto de 2019 sobre Salcedo v. Hanna, un caso relacionado con TCPA, declaró que un solo mensaje de texto no solicitado no era lo suficientemente perjudicial como para proceder con una demanda.

Llamadas molestas versus alto riesgo

Si bien los usuarios pueden verse tentados a deducir que no necesitan preocuparse por la privacidad de los datos con las llamadas automáticas, una gran cantidad de impostores, fraudes, estafas y actividades de suplantación asociadas con las llamadas automáticas indican lo contrario.

Transaction Network Survey examinó las llamadas automáticas en un informe de 2019 y las dividió en dos categorías: molestias y alto riesgo. Las llamadas molestas no se consideran maliciosas y a menudo se basan en el incumplimiento, mientras que las llamadas de alto riesgo se centran en actividades fraudulentas, como estafas entregadas para recolectar dinero o datos personales.

El informe concluyó que las llamadas molestas aumentaron un 38 por ciento en el último año, mientras que las llamadas de alto riesgo aumentaron un 28 por ciento en el mismo período de tiempo. Si bien las llamadas molestas aumentan a un ritmo mayor que las llamadas de alto riesgo, la actividad continua de llamadas automáticas maliciosas demuestra la necesidad de una conciencia constante del usuario, ya que los delincuentes son cada vez más inteligentes con sus técnicas de estafa.

Por ejemplo, las llamadas automáticas no solo llegan como números desconocidos. Uno de cada 1,700 números móviles es secuestrado por robocall spoofers cada mes, más del doble de la tasa del año pasado de uno de cada 4,000 números móviles. Como resultado, el 2.5 por ciento de las personas a las que se les ha secuestrado su número han desconectado su teléfono. Además, los números falsificados engañan fácilmente a los usuarios para que descuelguen el teléfono, creyendo que escucharán una voz reconocible en el otro extremo.

Las llamadas automáticas recogen PII

Una estadística sorprendente de la encuesta de Clutch reveló que el 21 por ciento de las personas, accidental o intencionalmente, dieron información a un robocaller. Varios factores pueden obligarlos a hacerlo. Por ejemplo, los datos de Clutch mostraron que los temas de salud eran un tema común para las llamadas automáticas. Del mismo modo, la mayoría de los datos de reclamos de llamadas de DNC de la FTC relacionados con llamadas de alivio de la deuda.

Los estafadores de todo tipo se centran en la urgencia. Convencen a las personas de que si no actúan rápidamente, enfrentarán graves consecuencias. Cuando una víctima se entera de algo relacionado con su salud o dinero, puede ofrecer detalles personales sin tomarse el tiempo para investigar. Además, una llamada telefónica requiere comunicación en el momento, y muchas personas responden instintivamente cortésmente para evitar conflictos.

La hora del día en que ocurren las llamadas automáticas también podría hacer que las personas sean más propensas a revelar sus datos a toda prisa. Insider examinó cinco años de datos de llamadas de la FTC y determinó que las llamadas no deseadas probablemente ocurrieron entre semana de 10 a.m. a 11 a.m.

Es entonces cuando muchas personas están en el trabajo, o al menos tratando de ser productivas. Si responden el teléfono y escuchan una grabación de robocall, pueden pensar que la forma más rápida de obtener alivio de la molestia es dar lo que se solicita, especialmente si la robocall parece legítima.

Los estafadores usan datos reales

Otra amenaza para la privacidad de los datos debido a la amenaza de las llamadas automáticas es la creciente tendencia de los estafadores que utilizan datos genuinos para hacer que sus llamadas parezcan realistas. First Orion realizó un estudio de llamadas fraudulentas, no restringidas a la variedad de llamadas automáticas, y describió una táctica llamada suplantación de identidad empresarial.

Se trata de estafadores que utilizan datos reales, a menudo obtenidos de infracciones a gran escala, para hacerse pasar por negocios reales y convencer a las víctimas de que renuncien a sus datos personales y dinero. Las estadísticas de la compañía mostraron que las tres cuartas partes de las personas informaron que las personas que llamaron por estafa tenían información precisa sobre ellos y usaron esas cositas para presionar a las víctimas.

De hecho, la mayoría de las llamadas automáticas cuentan con voces automatizadas en el otro extremo de la línea, y las personas nunca pueden hablar con humanos. Pero no es difícil imaginar cómo los estafadores pueden crear un mensaje de llamada automática que se aplica a un gran segmento de usuarios, y luego capturar a las personas engañadas por el esquema en conversaciones de seguimiento en tiempo real.

Cómo protegerse contra las llamadas automáticas

El problema de las llamadas automáticas abrió una oportunidad en el mercado para desarrollar aplicaciones que pudieran bloquear las llamadas automáticas, o al menos identificarlas. Muchos proveedores de seguridad, incluidos Malwarebytes , ofrecen programas que marcan o bloquean llamadas fraudulentas y filtran mensajes de texto no deseados. Estos programas funcionan en parte mediante la lista negra de números de estafadores conocidos, pero también mediante el uso de algoritmos que reconocen las técnicas de suplantación de identidad o bloquean los números por el gran volumen de llamadas que realizan.

Sin embargo, la investigación indica que algunas aplicaciones de bloqueo de llamadas fraudulentas envían datos de usuarios a compañías externas sin el conocimiento de los usuarios, o según lo especificado en un documento EULA de varias páginas. Por lo tanto, recomendamos a los usuarios que sean críticos sobre qué aplicaciones usan para bloquear las llamadas no deseadas.

Otras formas de protección contra llamadas automáticas incluyen las siguientes:

  • Agregue su (s) número (s) de teléfono al registro de No llamar de la FTC .
  • Agregue manualmente números de robocallers en la lista de bloqueo de su teléfono, ubicada en «configuración» para la mayoría de los dispositivos.
  • No levante el teléfono si no reconoce el número.
  • Regístrese en el servicio de bloqueo de llamadas de su operador.

Los datos son el rey

Si el último año de escándalos de privacidad y violaciones de datos por parte de gigantes de las redes sociales , instituciones educativas , ciudades y gobiernos locales no han demostrado este hecho lo suficiente, la creciente tasa de llamadas automáticas confirma aún más que los datos personales son un activo valioso que vale la pena proteger de la avaricia de los cibercriminales embragues

Además de causar una gran frustración a los usuarios, las llamadas automáticas amenazan la privacidad de los usuarios al exponer a las víctimas a estafas de robo de datos. Esa realidad brinda a los usuarios una razón más para errar por el lado de la precaución al dar información personal, incluso si la fuente parece auténtica.