El mayor 'hackeo' de datos de la historia expone más de 770 millones de correos

Un investigador de seguridad digital ha revelado el mayor 'hackeo' de datos de la historia, que eclipsa cualquier otra acción similar cometida hasta ahora. Este robo de datos ha supuesto la exposición de más de 770 millones de correos electrónicos y 21 millones de contraseñas únicas.

La intercepción, apodada 'Collection #1', contiene 2.692.828.238 filas de datos en bruto de potencialmente miles de fuentes diversas, según el experto Troy Hunt.

En total, se trata de 1.160.253.228 combinaciones únicas de correos y contraseñas contenidos en más de 12.000 archivos separados, que constituyen 87GB de datos de texto en bruto.

Have I Been Pwned

✔@haveibeenpwned

New breach: The "Collection #1" credential stuffing list began broadly circulating last week and contains 772,904,991 unique email addresses with plain text passwords (now in Pwned Passwords). 82% of addresses were already in @haveibeenpwned. Read more: https://www.troyhunt.com/the-773-million-record-collection-1-data-reach …

1.101

18:55 - 16 ene. 2019

Información y privacidad de Twitter Ads

The 773 Million Record "Collection #1" Data Breach

Many people will land on this page after learning that their email address has appeared in a data breach I've called "Collection #1". Most of them won't have a tech background or be familiar with the...

troyhunt.com

1.335 personas están hablando de esto

El 'hackeo' es considerado el mayor robo de datos de la historia, y por cantidad de personas afectadas es superado solo por dos incidentes relacionados con Yahoo en 2013 y 2014. "Parece un conjunto de sitios completamente aleatorio para maximizar la cantidad de credenciales al alcance de los 'hackers'", dijo Hunt a Wired. "No hay patrones obvios, solo una exposición al máximo".

"Guerra de información" e "injerencia en política interna": Anonymous destapa una campaña británica

Los datos incluyen contraseñas previamente encriptadas que han sido forzadas y convertidas a texto en bruto, y los archivos más tempranos datan en 2008. La información no fue sacada a la venta, sino que simplemente fue subida a la nube MEGA y luego a un popular foro de 'hackeos'.

Riesgos y recomendaciones

Como resultado de esa filtración existe un alto riesgo de casos del llamado 'relleno de credenciales', un ciberataque consistente en usar un programa maligno para introducir automáticamente numerosas combinaciones correo/contraseña en un intento de entrar en la cuenta personal de una u otra persona.

La buena noticia es que la colección no parece contener datos de tarjetas bancarias o números de seguridad social. 

Hunt recomienda comprobar en el servicio Have I Been Pwned si nuestro correo electrónico ha sido víctima del 'hackeo'.

Si encontramos nuestro correo en la lista, lo cual es muy probable, el experto recomienda usar un gestor de contraseñas o incluso recurrir al rudimentario pero efectivo método de escribir nuestras contraseñas en un papel. "Puede ser contrario al pensamiento tradicional, pero escribir contraseñas únicas en un libro y mantenerlas dentro de una casa físicamente cerrada es mejor que reutilizar la misma contraseña en todo Internet", escribió Hunt en su blog.

Unos pocos afortunados afirman haber evitado ser 'hackeados', pero las probabilidades no están a su favor.

fcg

Ataques homográficos: no creas en todo lo que ves

A menudo se recomienda verificar que un sitio use HTTPS y tenga un certificado de seguridad para identificar si es un engaño. Pero, ¿qué pasa cuando los cibercriminales registran dominios que se escriben muy parecido a los originales y obtienen certificados completamente válidos para sus sitios?De la misma forma que los atacantes encuentran métodos cada vez más sofisticados para intentar evadir las técnicas de detección del antivirus, también mejoran aquellas que les permiten engañar al usuario o al menosevadir los consejos básicos que se suelen enseñar en una clásica capacitación de seguridad informática.
A pesar de ello, siempre podemos dar un paso más para reforzar nuestra seguridad y detectar sus engaños, como veremos más abajo.
Primero apuntaron a mejorar notablemente el diseño de los engaños de phishing, utilizando imágenes elaboradas o la inclusión de iframes provenientes de una página auténtica.
Además, gracias a las ventajas que hoy en día proporcionan los diccionarios y traductores en línea, logran evitar (algunos) errores de gramática u ortografía en los correos.
Por otro lado, ya no basta con mirar la dirección del remitente de un correo electrónico o SMS, ya que gracias a las técnicas de spoofing un atacante se puede hacer pasar por una entidad distinta, falsificando los datos en una comunicación.
También es necesario prestar especial atención a los enlaces a los cuales conducen los correos engañosos, ya que muchas veces los sitios fraudulentos se ocultan detrás de direcciones acortadas o compuestas, para no revelar a simple vista su intención.
Aún así, nos quedaba un consejo que, hasta ahora, creíamos infalible: revisar que la página sea segura, que utilice el protocolo HTTPS y, sobre todo, que tenga el certificado de seguridad.
Cibercriminales con sitios seguros
Si bien es cierto que la mayoría de las páginas fraudulentas utilizan HTTP, mientras que los sitios originales que solicitan credenciales (como redes sociales, portales bancarios, etc.) lo hacen a través de HTTPS, esto no significa que un atacante no pueda hacer lo mismo. De hecho, podría fácilmente convertirlo en HTTPS, obteniendo uncertificado SSL/TLS completamente válido para su sitio, incluso de manera gratuita.
Ahora bien, para que esto funcione, el atacante debería ser capaz de registrar un dominio que se vea lo más parecido posible al sitio que desea falsificar y luego adquirir el certificado para este nuevo dominio. Una opción es buscar dominios que se escriban similar. Por ejemplo: “twiitter.com” versus el original “twitter.com”, o “rnercadolibre.com” versus el original “mercadolibre.com”.
¿Recuerdas esos experimentos en los que te muestran palabras incompletas o con errores casi imperceptibles, y las lees rápido como si estuviesen completas y bien escritas? Bueno, lo mismo le sucede a muchos con las URL al navegar.
A simple vista y leyendo con rapidez, esos ejemplos podrían engañar a más de uno, pero basta con prestar atención a cómo está escrita la dirección para detectar el engaño. Lo que aún necesita el atacante es poder registrar un sitio que se escriba diferente, pero se vea igual para el usuario, y para esto es que se utilizan los ataques homográficos.
Veamos un ejemplo. ¿Puedes decir si este sitio es falso?
Este ejemplo pertenece a una prueba de concepto realizada por el investigador Xudong Zheng, quien registró el dominio https://www.xn--80ak6aa92e.com/. Puedes ver cómo funciona ingresando al enlace a través del navegador Firefox.
Lo que hace esto posible es la utilización de caracteres Unicode en otros idiomas, como cirílico, griego o ruso. En estos idiomas podemos encontrar caracteres similares o, muchas veces, iguales a los que utilizamos habitualmente en el latín y en las URLs. Gracias a Punycode, que es una sintaxis de codificación que permite que cualquier carácter Unicode pueda ser traducido en una cadena de caracteres más limitada y compatible con las URLs, es que se puede registrar un nombre de dominio utilizando estos caracteres.
Por ejemplo, se puede registrar un dominio como “xn--pple-43d.com”, que es interpretado por el navegador como “apple.com”, pero en realidad está escrito utilizando el caracter cirílico “а” (U+0430) en vez de la “a” en ASCII (U+0041). Si bien ambos caracteres se ven iguales a simple vista, para los navegadores y certificados se seguridad se trata de dos caracteres diferentes y, por lo tanto, forman parte de dominios diferentes.
Existen numerosos ejemplos, como “tωitter.com” (xn--titter-i2e.com en Punycode) o “gmạil.com” (xn--gmil-6q5a.com). Incluso, puedes jugar a crear tus propias combinaciones con un conversor de Unicode a Punycode.
Muchos navegadores actuales tienen mecanismos que intentan evitar este tipo de ataques. Por ejemplo, en Firefox o Chrome, cuando un dominio contiene caracteres en diferentes idiomas, en lugar de mostrar su forma Unicode, mostrará el Punycode correspondiente.
Es decir, en los ejemplos anteriores, en vez de ver “apple.com” (forma Unicode), veríamos “xn--pple-43d.com” (forma Punycode); y en el caso de tωitter.com” sería “xn--titter-i2e.com”.
Sin embargo, en la prueba de concepto, Xudong Zheng logra evitar esta protección registrando el dominio “apple.com” utilizando únicamente caracteres en lenguaje cirílico. De esta forma, “xn--80ak6aa92e.com” se verá como: аррӏе.com.
Además, el investigador va un paso más allá obteniendo a través de Amazon un certificado TLS para su dominio, el cual a simple vista se ve bastante convincente:
Pero si entramos a ver los detalles podemos observar que en realidad pertenece a “xn--80ak6aa92e.com”:
Si bien esta vulnerabilidad ya ha sido corregida en las últimas versiones de Chrome e Internet Explorer, navegadores como Firefox aún sufren este problema. En este último navegador, una alternativa es configurar la opción network.IDN_show_punycode en true, de forma tal que siempre muestre los caracteres en su forma Punycode.
Aun así, el sitio gmạil.com del ejemplo anterior también logra evitar la protección de Chrome, debido a que utiliza únicamente caracteres del latín, inclusive caracteres especiales como “ạ”, los cuales sí son mostrados por el navegador.
La necesidad de reforzar la protección
Cada vez que encontramos un nuevo caso de phishing o alguna página fraudulenta que busca engañar al usuario, repetimos los mismos consejos: revisar el remitente del mensaje, prestar atención al enlace de la página a la que estamos ingresando, asegurarnos que esté bien escrita y, por sobre todas las cosas, que sea segura (utilice HTTPS) y tenga certificado de seguridad.
Sin embargo, hoy en día no alcanza con solo estos cuidados, ya que los cibercriminales emplean técnicas cada vez más complejas para engañar al usuario. Implementar HTTPS y certificados no es un tema de seguridad para el atacante; después de todo, si está robando tus credenciales, ¿qué importa si las recibe cifradas o no?
El punto es que estas técnicas se usan para dar a los usuarios una falsa sensación de seguridad que los lleve a ingresar sus datos creyendo que están en un sitio seguro, y obedeciendo al consejo que les repitieron hasta el hartazgo de que miren si el sitio tiene un candadito y HTTPS. Pero, como vemos, ya no es suficiente.
Es por esto que además de prestar especial atención a los correos y sitios web, también te recomendamos mirar cuidadosamente los certificados de seguridad, evitar acceder a los sitios a través de enlaces en correos electrónicos (mejor hacerlo siempre escribiendo la URL o a través de accesos directos de confianza) y agregar una capa extra de protección en tus cuentas utilizando el doble factor de autenticación.

Estafas por Internet: 8 señales que indican que eres un blanco fácil

Como todos los años, desde 1988 que el 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información. Una fecha que surge por iniciativa de la Association for Computing Machinery (ACM) y que tiene como fin discutir sobre la importancia de la seguridad de la información para la vida de los usuarios y compartir buenas prácticas en el campo de la seguridad. En este sentido, a pesar de que como vimos este mes en la serie sobre malware clásicos, en la que repasamos cómo ha sido la evolución del malware a lo largo de las últimas cuatro décadas, los cibercriminales continúan comprometiendo a los usuarios mediante campañas de engaño que utilizan viejas y conocidas técnicas que aún siguen siendo efectivas por la falta de conocimiento acerca de cómo hacer un uso seguro de la tecnología. Por eso, en esta oportunidad presentamos una breve guía con algunas de las señales que indican que eres propenso a caer en las trampas de los cibercriminales, y al final de este post encontrarás una trivia donde podrás poner a prueba los conocimientos adquiridos.

1. No sabes cómo es la URL del sitio que buscas

Es importante que sepas que los cibercriminales utilizan estrategias de Blackhat SEO para posicionar en los primeros resultados de los buscadores sitios que suplantan la identidad de servicios legítimos con el fin de engañar a los usuarios para que ingresen creyendo que están en la página oficial. Por lo tanto, es importante que por más confianza que tengamos en los resultados que nos ofrecen buscadores como Google, Bing, Yahoo u otro, tengamos presente que es posible que un falso sitio aparezca bien posicionado (al menos durante un tiempo) en busca de víctimas distraídas.

Las estrategias SEO (optimización para los motores de búsqueda) son legítimas y son utilizadas en marketing teniendo en cuenta lo que más valoran los motores de búsqueda a la hora de ofrecer los resultados de una búsqueda. Pero cuando un sitio se posiciona mediante Blackhat SEO nos referimos a que utiliza técnicas para engañar a los motores de búsqueda.

2. Te dejas llevar por el mensaje en el asunto de un correo

Para que la víctima no piense demasiado y caiga en el engaño, los cibercriminales aprovechan este campo del correo para intentar manipular las emociones y generar sentimientos que pueden ir desde la euforia hasta la desesperación.

Por ejemplo, correos que nos hablan de premios que hemos ganado, una oportunidad única que no podemos dejar pasar o hasta una herencia que tenemos para cobrar. Mientras que en la vereda de enfrente hemos visto campañas que buscan generar paranoia con correos que nos llegan con nuestra contraseña o número de teléfono en el asunto o que nos dicen que nuestra cuenta ha sido pirateada.

En estos casos, lo primero que debemos hacer es no perder la calma. En segundo lugar, no responder.

3. No revisas la dirección de correo de los remitentes

Que un mensaje incluya tu nombre real no asegura que sea genuino, ya que existen varias maneras de obtener ese tipo de información por parte de los actores maliciosos. Por lo tanto, analizar la dirección del remitente puede ayudarnos a interpretar si estamos, por ejemplo, ante un caso de spoofing, que es la técnica utilizada para enviar mensajes de correo electrónico con una dirección de remitente falso, consiguiendo que la víctima los reciba como si fueran el remitente legítimo.

Por ejemplo, que llegue un correo donde el remitente aparente ser de un banco del cual no somos clientes, es algo que debería encender las alarmas. Lo mismo si nos llega un correo donde el remitente se presente como representante de una empresa o servicio y que el dominio del correo sea de un servicio de correo gratuito, como Gmail o Hotmail, por ejemplo. También es común que en su afán de aparentar que el correo es de una empresa legítima los cibercriminales envíen correos cuyo dominio incluya el nombre de una empresa legítima pero que esté rellenado por otros caracteres, como por ejemplo un dominio que se utilizó en una campaña de phishing que se hacía pasar por Apple que era “@servicedstoredapps.live”.  Algunas compañías como Apple ofrecen una guía para reconocer si un correo en nombre de la compañía puede o no ser legítimo.

En algunos casos, los atacantes utilizan técnicas de spoofing más complejas, como la fue el caso de una campaña reciente que notificamos donde los cibercriminales enviaban un correo que simulaba ser desde la propia cuenta del usuario.

4. No revisas las URL de destino

Es importante revisar a dónde nos direcciona el enlace que viene en el cuerpo del correo, ya que muchas campañas de ingeniería social esconden falsas URL que aparentan ser legítimas. Para hacer esto, una técnica común suele ser incluir un enlace en un pasaje de texto, de forma que no se puede ver directamente la URL. Según el contexto del correo, el usuario puede creer que si pincha será direccionado a un sitio que puede resultar siendo otro. Para descubrir esto muchas veces es suficiente pasar el cursor sobre el hipervínculo y nos daremos cuenta si coincide o no el nombre del supuesto sitio, aunque para corroborar esto en el teléfono debemos mantener el texto “apretado” para que nos muestre la URL sin dirigirnos. Algo similar ocurre con las herramientas para acortar enlaces. Al usarlas, el usuario no puede ver el nombre de la URL final. Sin embargo, en caso de sospechar del enlace, es posible averiguar si se trata de un engaño o no mediante algunas herramientas que permiten descubrir el contenido del enlace antes de abrirlo, como por ejemplo: Unshorten.It.

Otra técnica recurrente es la de ataques homográficos, donde los actores maliciosos registran dominios que a simple vista parecen ser legítimos pero que pequeñas variaciones en uno de los caracteres hacen que sea difícil darse cuenta que en realidad se trata de un sitio falso.

5. Compartes información personal a través de las redes sociales

Muchos usuarios no son conscientes de los riesgos de la sobreexposición en las redes sociales y comparten datos personales como el número de documento, fecha de nacimiento, número de teléfono, dirección domiciliaria, entre otros tantos más. A veces, una simple imagen que contenga esta información puede llegar a un individuo de dudosa ética. Lo mismo cuando nos vamos de vacaciones y sin querer, informamos a todos los que puedan ver nuestros perfiles que no estamos en casa.

Por lo tanto, además de pensar dos veces antes de compartir algo en las redes sociales, es importante configurar bien la privacidad de cada una de las plataformas que utilizamos para filtrar quien puede ver nuestras actividades. De lo contrario, estamos expuestos a que un cibercriminal pueda construir un perfil bastante preciso sobre un blanco de ataque simplemente recopilando información de sus perfiles y las actividades que comparte.

Por último, piensa de la manera que lo haría un atacante: ¿la información que comparto puede ser utilizada en mi contra? En caso de que la respuesta sea sí, mejor no compartirla.

6. Confías en un sitio web solo porque tiene HTTPS

Lamentablemente, ya no basta con que un sitio tenga HTTPS y un candado para determinar que se trata de un sitio seguro. Si bien en un primer momento las páginas fraudulentas utilizaban protocolo HTTP, en la actualidad los atacantes pueden hacer lo mismo y obtener un certificado SSL/TLS válido y de manera gratuita.

7. Confías demasiado en un servicios o plataformas de uso masivo

No se trata de desconfiar de todo, sino de estar informado de cuáles son los vectores de ataque utilizados por los cibercriminales. No todo lo que vemos en redes sociales es legítimo. De hecho, en estas plataformas los cibercriminales crean cuentas falsas intentando suplantar la identidad de compañías legítimas e incluso realizan campañas publicitarias con falsas promociones (malvertising) que buscan que los usuarios pinchen en un enlace para luego robar sus datos. Algo similar sucede con los anuncios publicitarios que se muestran en la red de publicidad de Google, que ha sido utilizada por cibercriminales para distribuir malware. De hecho, Google lanzó una guía para prevenir esta práctica en la que además ofrece recomendaciones para usuarios y anunciantes.

8. No dudas en abrir un archivo adjunto que viene en un correo no solicitado

Los usuarios deben saber que un banco o una entidad seria no suele enviar archivos adjuntos sin que exista una solicitud previa de nuestra parte. Por lo tanto, el hecho de que llegue un archivo adjunto que no solicitamos debería ser motivo de sospecha inmediata.

En segundo, las entidades financieras, por ejemplo, nunca solicitarán por correo que envíes tus credenciales de acceso al sistema de banca online o los datos de tus tarjetas de crédito. Por lo tanto, en caso de recibir una petición de este tipo deberías desconfiar.

Tampoco es un comportamiento normal que una entidad que se precie de ser seria solicite a través de un mensaje que inicies sesión desde un enlace que viene en el mensaje.

Un ejemplo de qué cosas debemos esperar y cuáles no de una comunicación que nos llega de una institución financiera, lo resume el Banco Santander en una guía para identificar un correo fraudulento.

Esperamos que estas consideraciones sean de utilidad para que los usuarios puedan disfrutar de los beneficios de la tecnología de una forma segura.

Las amenazas informáticas que más afectaron a los países de América Latina

Ciertamente, el 2018 introdujo un nuevo jugador en el campo de la inseguridad de la información: el malware para la minería de criptomonedas. Las variantes que corresponden a este comportamiento son identificadas por los productos de ESET como CoinMiner y están disponibles para diferentes arquitecturas. Esta familia de códigos se posicionó rápidamente entre el top 10 de las firmas con mayores detecciones, dando inicio a la era del cryptojacking.

Imagen 1. Distribución de detecciones de Coin Miners por plataforma.

Quizás sorprenda saber que el segundo país con más detecciones a nivel mundial es Perú (9,6%), muy cerca de Rusia (10,3%), que ocupa el primer lugar. De hecho, el 44% de las detecciones de criptomineros en Latinoamérica corresponden al territorio peruano. Estos mineros no solo han causado estragos en el pasado, sino que además se postulan como una de las tendencias en cibersecuridad para este 2019.

Imagen 2. Distribución de detecciones de Coin Miners por país en Latinoamérica.

La situación que atraviesa este país andino tiene sentido cuando se tiene en cuenta la masiva presencia de HoudRat en la zona: un RAT (herramienta de acceso remoto) dedicado, en principio, al robo de información, pero que pronto viró hacia la minería de moneros. Este RAT creado en 2016 registró su mayor actividad durante el 2018, siendo Perú es el país con más detecciones de HoudRat en el mundo (83% del total de detecciones).

HoudRat descarga otras dos variantes de mineros (Win32/Autoit.OI y Win32/Autoit.OB), aunque recientemente ha mutado a una nueva familia de troyanos que utiliza AutoHotkey para realizar sus funciones (Win32/AutoHK). Estas variantes, aunque también focalizan su accionar en Perú, lograron expandirse y marcar una fuerte presencia en otros países de la región, como son Ecuador y Bolivia.

Otro de los tópicos que debemos considerar cuando hablamos de seguridad a nivel global y regional es el uso de exploits para penetrar sistemas de información. En este sentido, si repasamos el ranking internacional de detecciones durante el último mes encontraremos entre los primeros puestos al reconocido SMB/Exploit.DoublePulsar relacionado a los pasados ataques de WannaCryptor, Not-Petya y Bad Rabbit.

Cabe destacar que la cantidad de detecciones de exploits durante 2018 sufrió un incremento del 117% respecto a 2017 y del 241% respecto a 2016. De hecho, no se habían tenido tantas detecciones desde el año 2010. Esta realidad indudablemente se reflejó en América Latina, donde los países que se llevaron la peor parte fueron México (21%), Venezuela (14%) y Perú (13%).

Además de Double Pulsar y Eternal Blue, se detectó en la región mucha actividad de otros exploits para CVE-2017-0147 (que afecta mayormente a Venezuela) y CVE-2017-11882 (impactando especialmente a Perú y Argentina, cada uno con el 22% de las detecciones latinoamericanas). Por su parte, Colombia fue el tercer país más afectado en el mundo por SMB/Exploit.MS17-10 con el 7% del total de detecciones, luego de México con el 8%.

Imagen 3. Detecciones mundiales de exploits desde 2010.

Imagen 4. Detecciones de exploits en Latinoamérica durante 2018.

Campañas de ransomware dirigidas a latinoamérica

A partir de julio del pasado año, comenzó a circular una nueva campaña de Crysis especialmente dirigida a Colombia. La propagación se realizaba a través de correos electrónicos, simulando una situación de deuda e instando a la víctima a descargar y abrir un archivo adjunto. Esta campaña fue tan masiva y tan dirigida que las detecciones de Colombia pasaron de significar solo el 5% de las detecciones mundiales de Crysis en junio de 2018, a casi el 50% en agosto.

En total, el 82% de las detecciones de ransomware en Colombia durante 2018 corresponden a Crysis, lo que provocó en el país un incremento de 199% respecto a las detecciones de ransomware durante 2017. Para más información, visite más detalles de la campaña.

Aumentan las detecciones por malware en VBA

El malware basado en VBA (Visual Basic for Applications), más conocido como macro malware, ha evidenciado un crecimiento sostenido en la cantidad de variantes desde que se crearon las primeras detecciones en 2014. Este incremento fue particularmente notorio durante el pasado año, al punto en que el 43% de las variantes de esta familia de códigos maliciosos se creó en 2018.

Imagen 5. Nuevas variantes de malware en VBA durante los últimos años.

Aunque las detecciones de este tipo de malware han sido históricamente predominantes en México, a partir del mes de septiembre del pasado año se detectaron campañas que elevaron el nivel de actividad en el país a niveles nunca antes vistos. La mayor parte de estas nuevas detecciones en México corresponden a VBA/Kryptik.BI y VBA/TrojanDownloader.Agent.LFU. Para más información, visite nuestro artículo sobre las amenazas informáticas más detectadas en México durante 2018.

Imagen 6. Detecciones de macro malware en México en relación a otros países de Latinoamérica.

Colombia también sufrió parte del embate del macro malware. Allí pudimos observar campañas similares, como aquella que intentaba comprometer a usuarios colombianos a través de la suplantación de identidad de las autoridades de migración de este país y archivos de Word adjuntos.

Imagen 7. Detecciones de macro malware en países de Latinoamérica.

Estafas apuntan a bancos chilenos

El pasado año fue crítico para las entidades financieras chilenas, quienes debieron afrontar numerosos incidentes de seguridad. Uno de ellos acaeció el 24 de mayo de 2018, cuando cibercriminales internacionales robaron, mediante transferencias bancarias, cerca de 10 millones de dólares al Banco de Chile, en lo que fue una operación sofisticada que incluyó la introducción de un código malicioso.

Infortunadamente, la cosa no quedó allí. Pocos meses después, el mismo banco descubrió el robo de más de 700 mil dólares en manos de uno de sus colaboradores, identificando más de otras 240 transferencias sospechosas que elevarían el monto perdido a más de 2.200 millones de pesos chilenos.

Estos acontecimientos pusieron en marcha la evaluación y reforma de protocolos y herramientas para la prevención, detección y mitigación de ciberataques junto al Ministerio de Hacienda de Chile, acordando solicitar asesoramiento internacional y modificar el marco legislativo.

En la última edición del ESET Security Report, el 48% de las empresas chilenas afirmó estar preocupada por el robo de información, lo que coloca esta inquietud en tercer lugar luego de la explotación de vulnerabilidades (54%) y el malware (52%). Estas preocupaciones no carecen de fundamento, lo que se pone en evidencia en situaciones como la masiva filtración de datos de tarjetas de crédito que afectó a más de 14.000 cuentas de más de 18 instituciones chilenas, que tuvo lugar el 25 de julio de 2018, poco después de los ataques al Banco de Chile.

Campañas de Ingeniería Social buscan datos crediticios y personales

Según nuestro ESET Security Report, el 15% de las empresas encuestadas en Latinoamérica fueron víctimas de ataques de Ingeniería Social. Considerando las cifras, no sorprende que a mediados de 2018 comenzó a circular una campaña maliciosa exclusivamente dirigida a usuarios chilenos que suplantó la identidad de la empresa de Courier chilena Chilexpress, propagando código malicioso para robar información personal de los usuarios.

En este mismo país, los engaños tomaron un giro hacia la estafa sexual cuando la Policía de Investigaciones de Chile (PDI) aprehendió a los responsables de una nueva modalidad de estafa que circulaba a través de Facebook y WhatsApp en la que se les enviaba a las víctimas fotos sexuales de supuestas menores de edad para luego extorsionarlos por posesión de pornografía infantil.

La Ingeniería Social no solo trajo consecuencias a Chile, sino que además logró cruzar la cordillera y afectar a Argentina. A lo largo de todo el año pudimos observar correos fraudulentos en nombre de instituciones oficiales argentinas que instaban a la descarga de archivos adjuntos, presumiendo ser detalles de deudas.

Imagen 8. Phishing suplanta identidad de MasterCard.

En otros casos, los cibercriminales abusaron de técnicas de SEO (Search Engine Optimization), aprovechándose de las bondades de la plataforma Google Adwords para lograr un buen posicionamiento de su sitio web fraudulento.

Imagen 9. Técnicas de Black Hat SEO utilizan Google Adwords.

Viejos conocidos siguen al asecho

Además de las tendencias que han surgido en los últimos años –como el crecimiento sostenido de macro malware–, algunos países de la región muestran considerables detecciones de amenazas que ya tienen sus buenos años. Es el caso de Argentina, por ejemplo, donde el gusano Conficker continúa activo y se coloca entre las 20 firmas con más detecciones. De hecho, Argentina es el país de Latinoamérica más afectado con esta amenaza en 2018.

Por su parte, en México se observa un número considerable de detecciones de Neurevt, también conocido como Beta Bot, debido a una campaña dirigida que lo ubica como el país con más detecciones de esta amenaza a nivel mundial durante el año pasado. Aunque existe un decremento sostenido en la actividad de esta amenaza desde 2016, continúa siendo un factor de preocupación de cara al futuro.

Finalmente, el troyano Emotet es otra de las amenazas que ha estado bastante activa durante 2018, realizando un interesante comeback tras un período de baja actividad con una campaña de spam a gran escala. Recientemente, también descubrimos falsos correos de Amazon que propagaban nuevas variantes del troyano y que buscaban engañar a los usuarios dirigiéndose a ellos con su nombre y apellido.