El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar
Ya son muchos los usuarios que reportan una nueva ciberestafa, esta vez vía WhatsApp.
Se trata de una supuesta campaña que promete el álbum del Mundial de Fútbol de Catar de la conocida marca Panini con 400 cromos gratis.
No es un misterio que los ciberdelincuentes aprovechan hasta el más mínimo descuido para extraer datos de los usuarios de distintas plataformas. Llevan años ejerciendo estas prácticas y lo más preocupante es que, con el paso del tiempo, se van superando y mejorando sus técnicas.
Esta vez las víctimas son los entusiastas del coleccionismo de cromos y la excusa es el Mundial de Fútbol de Catar 2022. Como es tradicional, el grupo italiano Panini, líder mundial en el mercado de las colecciones y de las trading cards, ha puesto en el mercado el álbum de cromos del Mundial de la FIFA. Al contrario de lo que pueda pensarse, los verdaderos frikis del coleccionismo de cromos son adultos y no niños o chavales jóvenes. Esto es lo que ha motivado que los delincuentes hayan ingeniado una estafa vehiculizada a través de WhatsApp.
El engaño consiste enviar a los usuarios una imagen calcada de la oficial de Panini, con el mensaje “accede y gana el álbum con más de 400 cromos”. Si las personas clican en el enlace se encuentran con preguntas sobre el álbum y el editor. Además hay un contador muy visible que muestra la supuesta cantidad de álbumes que quedan a su disposición. Eso genera un sentimiento de urgencia que hace que las victimas rellenan el cuestionario cuanto antes.
Una vez se ha realizado correctamente el cuestionario, los ciberdelincuentes solicitan que la víctima comparta con sus contactos. Con ello el delito crece exponencialmente. Al fin, se redirige a varios sitios que requieren los datos personales de las víctimas. En realidad son webs de apuestas deportivas que funcionan con afiliados, con lo que también ganan comisiones.
Son muchas las personas afectadas por esta estafa que descubrieron los expertos de la empresa Kaspersky, como es sabido, una de las compañías líderes en seguridad informática del mundo.
Los fraudes cibernéticos relacionados con eventos deportivos son una práctica bastante extendida porque aglutinan a un gran número de personas. En noviembre de 2021, Kaspersky ya alertó de que la Copa del Mundo de Fútbol de 2022 era un gancho para difundir estafas. Miles de correos fraudulentos y archivos maliciosos buscaban robar datos de particulares y empresas y,por supuesto, su dinero. Imaginamos que no hace falta deciros que básicamente se trataba de phishing y spam. Podéis leer el comunicado que Kaspersky publicó en su momento sobre este tema AQUÍ.
Como podéis comprobar entre esos primeros fraudes de hace un año hasta el que os contamos hoy ha habido una sofisticación del delito considerable. El engaño, vía WhatsApp, de cromos gratis para el álbum del Mundial de Catar ha sido neutralizado, pero algunos coleccionistas ya han picado.
Os recordamos que la mejor manera de prevenir este tipo de estafas es no confiar en enlaces externos hacia fuentes principales. O facilitar los datos en ocasiones y lugares que no son realmente necesarias… ¡y sin comprobación alguna previa!
Imagen principal: Tayeb MEZAHDIA en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Protección de datos, Redes sociales
Stalkerware y webs de citas: ¿pueden borrarse los datos?
Un reciente estudio revela que hasta un 16% de los españoles cree haber sufrido “espionaje” de su teléfono móvil por parte de su pareja. Esta práctica, conocida con el nombre de stalkerware, ha vuelto a poner sobre la mesa el uso de los datos de las webs de citas como Tinder o Grindr y ha recordado el famoso caso de Ashley Madison.
A veces Hollywood acierta plenamente en el planteamiento de sus guiones. Ya se sabe que a menudo la realidad supera la ficción y eso es aplicable a lo que vamos a comentar hoy. Muchas películas se basan en el hecho de descubrir infidelidades de la pareja y a veces eso ocurre a través de espiar el teléfono móvil. Se conoce con el nombre de stalkerware a las aplicaciones que permiten recopilar información de forma encubierta sobre el propietario de un teléfono. Tan importante está siendo esta práctica que Kaspersky publica desde hace 4 años informes sobre ella. El informe The State of Stalkerware 2021 revela que hasta el 16% de los españoles cree haber sido espiado por su pareja. Por países, España ocupa el sexto puesto en Europa, precedido por Alemania, Italia, Reino Unido, Francia y Polonia.
El tema es muy preocupante, porque detrás de esta práctica suele haber violencia doméstica, ya que el abuso digital suele ir en paralelo a la violencia física. Ni que decir tiene que registrar acciones de los usuarios sin su consentimiento es ilegal. Esta información se encuentra en el informe de Kaspersky que podéis leer AQUÍ.
Todo ello atenta contra la protección de datos y el derecho a la intimidad personal y la propia imagen, que reconoce la Constitución Española. Por todo ello estamos hablando de una ilegalidad manifiesta.
Ashley Madison, sexo, mentiras y ciberataques
El stalkerware y sus consecuencias ha vuelto a poner sobre la mesa el gran negocio de las webs de citas en general y muy especialmente de aplicaciones como Tinder y Grindr. Y es que un estudio realizado por la fundación Mozilla sobre la privacidad de las apps de citas sitúa a ambas entre las peores en protección de datos personales de sus usuarios.
En esta misma línea podemos situar el escándalo de Ashley Madison, una red social de parejas lanzada en 2001 y cuyo eslogan era (y continúa siendo) “La vida es corta. Ten una aventura” (Life is short. Have an affair). El éxito fue inmediato y acumularon más de 32 millones de cuentas. Sin embargo diversas mentiras (se dijo a los usuarios que sus datos había sido borrados, cobraron por ello y encima no era cierto), fallos en la seguridad y otros problemas varios hicieron que en 2015 se produjera un ciberataque y una inmensa filtración de datos que afectó a personalidades del mundo empresarial, político, deportivo, social… Podéis leer el artículo del diario El País de la época titulado “Dimite el responsable de la web de infidelidades Ashley Madison” AQUÍ.
El tema se convirtió en un monumental escándalo, hasta el punto que se realizó una película documental titulada Ashley Madison: Sex, Lies and Cyber Attracks, estrenada en 2017.
Encontraréis mucha información sobre este tema en la red, pero si queréis ver el documental, lo podéis hacer AQUÍ.
La opinión de nuestra experta Estefanía Carrera
La consultora / auditora en gestión de riesgos tecnológicos, Estefanía Carrera, comenta este tema y ofrece unos consejos para evitar estas prácticas tan nocivas.
Más allá de toda la repercusión por el filtrado de datos personales a consecuencia del ciberataque de Ashley Madison, una de las cosas que realmente llama la atención es la práctica de la empresa consistente en cobrar por el borrado de datos personales a los usuarios para posteriormente seguir conservándolos. Eso no solo dio lugar a que los cibercriminales pudieran acceder y publicar una gran cantidad de datos que no debían ya existir en los servidores de la empresa, sino que aquel servicio suponía de facto una autentica estafa en la que se realizaba el desplazamiento patrimonial (el pago) a la empresa mediante el engaño de los usuarios (el supuesto borrado de datos).
En el caso de Tinder pasa algo parecido, ya que no se cobra lo mismo a todos los usuarios, como podéis ver en este artículo de Business Insider. Además existe una versión superior, Tinder Plus. Cuando uno crea su perfil de usuario para registrase en Tinder, le preguntan datos tan sensibles como la edad, raza, género y orientación sexual. Esto podría usarse para crear “precios diferenciales” discriminatorios, tanto en los servicios de citas como en otros.
Por si todo eso fuera poco, Tinder permite a sus usuarios conectarse a través de Facebook, vincular su cuenta con Spotify y añadir su cuenta de Instagram. Quiero recordaros que enlazando Facebook con Tinder, ambas plataformas son capaces de recopilar más datos juntos que por separado. De esta forma el sistema es más vulnerable y puede dar lugar a una catástrofe como la de Ashley Madison.
Ambas situaciones podían haberse fácilmente evitado. En el caso de Ashley Madison en el pasado. Y en el presente con las aplicaciones de citas actuales. Por un lado, mediante un adecuado sistema de cumplimiento normativo que hubiera valorado el riesgo de comisión delictiva del tipo de estafa, y con ello, la implantación de controles que verificaran que efectivamente se prestaban los servicios ofertados por la empresa o se dejara de ofrecer el mismo. Y además, que efectivamente se hubieran implantado procedimientos efectivos de borrado y/o bloqueo de datos.
Por otro lado, resulta obvio que la cultura del cumplimiento normativo o la seguridad no era en modo alguno una preferencia de esta compañía. Tampoco parece serlo la de Tinder. En este punto debe considerarse el amplio alcance que tuvo en su momento, y posiblemente tendrá a futuro, la publicación ilícita de todos los datos personales de los usuarios.
Con usuarios me refiero no solo a aquellos que efectivamente hacían uso intensivo de los servicios de la web, sino incluso de aquellos que simplemente entraron a curiosear y ni siquiera llegaron a realizar ningún acto más allá de la propia web.
Esto mismo pasa con la aplicación de Tinder, donde seguramente habrá personas que se han creado un perfil habiendo enlazado Facebook. Si luego se han arrepentido y han querido eliminar sus datos, comprobarán que se han conservado de igual modo.
Sin embargo, todos estos “curiosos” posiblemente se hayan visto igualmente afectados por la consecuencias personales o sociales que puede tener para su reputación el haber accedido a este tipo de web. Y más si se considera que muchos de los usuarios de Ashley Madison de Estados Unidos pertenecían a diversas zonas muy conservadoras del país. Y es que, como digo, las consecuencias no se quedan en un asunto meramente reputacional del pasado, el cual posiblemente con el cabo del tiempo, y según la persona, pueda superarse, sino que la publicación de datos personales en la Dark Web, puede dar lugar a diversas prácticas por terceras personas ajenas a los delincuentes iniciales (The Impact Team). Éstos pueden utilizar dichos datos para otras prácticas, como la sextorsión, el phishing, y demás prácticas delictivas (usurpación del estado civil, estafa, hurtos/robos…). En definitiva, numerosos riesgos que la empresa nunca valoró ni consideró mitigar.
Por último, me gustaría exponer algunas otras medidas que podrían haber mitigado el riesgo, más allá de las ya comentadas:
• Formación y concienciación. Más del 80% de los incidentes de seguridad se deben a errores humanos.
• Encriptación robusta de datos.
• Niveles y controles de acceso de la información.
• Detectar vulnerabilidades y gestionar parches de seguridad.
• Realización de auditoría de sistemas.
• Anonimización o pseudonimización de datos, dada la sensibilidad de los mismos.
• Configurar un cortafuegos para asegurar las conexiones y prevenir intrusiones en nuestra red.
• Utilizar solo aquellas aplicaciones fiables y autorizadas.
• Proteger el correo electrónico con una potente solución antispam.
• Habilitar un filtrado web para evitar el acceso a sitios maliciosos, descargas de código, sandboxing, etc.
• Contar con un altimalware, como por ejemplo UTM, Appliance (Unified Threat Management): se trata de dispositivos de seguridad que proveen de varias funciones de seguridad a un único producto, es decir, que suelen incluir funciones de antivirus, antispam, firewall, etc.
• Por si todo lo anterior falla… Contar con un sistema de recuperación ante desastres.
- Publicado en Ataques / Incidencias, Estudios, General, Noticias, Privacidad, Protección de datos, Redes sociales
Las filtraciones de datos no van de vacaciones
Brechas y filtraciones de datos, ataques… los ciberdelincuentes no hacen vacaciones y durante agosto ha habido algunos casos singulares, como los que se han producido en empresas tan populares como Twitter o Signal.
Cada vez hay más empresas que no cierran por vacaciones. Hacer turnos o como máximo cerrar una semana se ha convertido en algo frecuente que viene a contradecir el tradicional “Cerrado por vacaciones”, que venía a significar que la empresa en cuestión “desaparecía” todo agosto. Sin embargo las filtraciones de datos no van de vacaciones. Y los ciberdelincuentes tampoco. Es más, suelen aprovechar que las empresas ralentizan su actividad para tener más opciones de éxito.
Signal es una aplicación de mensajería instantánea y llamadas que usa código abierto y se esfuerza en la privacidad y seguridad. Como se lee en su web, “es un programa de chat simple, potente y seguro”. Usa el cifrado de extremo a extremo “en todos tus mensajes, todas tus llamadas, para siempre”.
A pesar de todo ello ha tenido una brecha de datos debido a un phishing de ingeniería social que ha sufrido la empresa Twilio. Se trata de una compañía que ofrece una plataforma de comunicaciones y de servicios en la nube ubicada en San Francisco. Y resulta que Signal es cliente de Twilio, por lo que el ataque a esta compañía afectó a un par de miles de usuarios de Signal.
Según Signal, la brecha de datos ha afectado “a un porcentaje muy pequeño” de usuarios de la aplicación. Se han puesto en contacto con ellos y les han pedido que vuelvan a registrarse. Podéis ver el comunicado que emitió la empresa AQUÍ. Es un buen ejemplo de reacción e información sobre lo sucedido, ofreciendo soluciones concretas a sus usuarios.
También Twitter
También la popular red social del pajarito sufrió un ciberataque debido a una vulnerabilidad ocurrida un año antes, cuando efectuó una actualización de su código. Twitter solucionó esta vulnerabilidad, pero… alguien había aprovechado el tema para recopilar direcciones de correos electrónicos y teléfonos en la versión de Twitter para Android. Este verano estaba intentando vender esta filtración de datos que alcanzaba a más de cinco millones de usuarios de Twitter.
Restore Privacy, una web que se encarga de crear conciencia sobre privacidad y seguridad online y brindar a todo el mundo herramientas para mantenerse seguros en el entorno digital, dio la voz de alarma y por eso Twitter tuvo conocimiento de la filtración.
Como en el caso anterior, reaccionó correctamente. Notificó a los propietarios de las cuentas afectadas el error y publicó en su blog ESTE ARTÍCULO porque no podían confirmar todas las cuentas que potencialmente podían haberse visto afectadas y así alertar a todos sus usuarios. En el post también explicaban como proteger las cuentas, recomendando a los usuarios que habilitaran la autenticación de dos factores y ofrecían un formulario de contacto.
Está claro que las filtraciones de datos no van de vacaciones. De hecho los ciberdelincuentes están siempre atentos. Podéis comprobarlo si leéis dos artículos publicados en este blog. Uno de ellos habla de filtraciones en Safari y el otro de filtraciones en Telefónica Chile, Apple y Phone House. Lo podéis leer AQUÍ. Lo dicho: ¡nadie se libra!
Imagen principal: James Osborne en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Privacidad, Redes sociales, Seguridad
Hoy es el Día Internacional del Hashtag y el Día del Internauta
En el inmenso calendario de conmemoraciones y celebraciones del “dia de…” tenemos marcado en fosforito el 23 de agosto. Es la fecha en que coinciden dos celebraciones que nos afectan a todos. Porque un internauta no es más que una persona que navega por internet, según la definición de la RAE. Y un hashtag nos lleva directamente a redes sociales y más específicamente a Twitter. ¿Quién se cree exento de ambas?
Empecemos por el Día del Internauta, porque conmemora uno de los avances tecnológicos más importantes de la historia de la humanidad. El 23 de agosto de 1991 un servidor web fue accesible a todo el mundo. O lo que es lo mismo, se publicó la primera página web a nivel mundial. Detrás de todo ello se hallaba la Organización Europea para la Investigación Nuclear, el famoso CERN, que tiene su sede en Ginebra. En esta institución, un grupo de físicos encabezado por Tim Berners-Lee, habían creado el código o lenguaje HTML. Poco después tuvieron el primer cliente web, el famoso World Wide Web, que todos conocemos como www y el primer servidor web. Su idea era intercambiar información entre científicos de distintas universidades. Y en poco tiempo se convirtió en un fenómerno de masas.
Según el informe Digital Report 2022 el mundo cuenta en la actualidad con 4.950 millones de internautas. Este informe, que mide las tendencias digitales, redes sociales y mobile, lo elaboran conjuntamente We Are Social, una agencia creativa guiada por el pensamiento social y Hootsuite, líder mundial en gestión de redes sociales.
Si estáis interesados en la historia de la creación de internet, podéis leerla en este artículo de la Wikipedia.
Día Internacional del Hashtag (#)
Por su parte, el inocente y simpático Hashtag, celebra su día el 23 de agosto desde el año 2018, cuando Twitter propuso con éxito que así fuera.
Nos lo recuerda el artículo de la web Dia Internacional De que tenéis AQUÍ. En él nos explican que, aunque todos relacionamos el hashtag con Twitter, no fue esta red su inventor, sino uno de sus usuarios llamado Chris Messina. Y es que Messina tuvo la idea de compartir un mensaje con esta etiqueta, que escribió junto a la palabra barcamp. El éxito fue total, se viralizó rápidamente y dos años después Twitter lo incluyó como una de sus funciones. Es interesante recuperar la entrevista que TreceBits publicó tal día como hoy del año 2019, cuando se cumplían 12 años de la creación del hashtag. Messina comenta que “en Twitter me dijeron que el hashtag era muy complicado y que la gente nunca lo iba a usar”. Sin comentarios…
Podéis leer la entrevista AQUÍ.
El símbolo o etiqueta # representaba anteriormente al numeral en los teclados telefónicos y luego también en el de los ordenadores. Como es sabido, hoy es un símbolo que es utilizado en redes sociales, pero especialmente en Twitter, para identificar mensajes de un tema concreto.
Para finalizar os diremos que el origen etimológico es la unión de la palabra inglesa hash (función, numeral) y un nombre o etiqueta (tag). Y que en el Diccionario de la RAE no se encuentra el anglicismo. La Real Academia recomienda que se sustituya por su equivalente en español: etiqueta. Parece que la vieja denominación almohadilla ha caído en desuso.
Imagen principal: GraphicsSC en Pixabay
- Publicado en General, Historia, Noticias, Redes sociales, Tecnología
“Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida.” Carlos Otto, periodista tecnológico.
Hemos querido traeros a este blog a Carlos Otto, reconocido periodista de tecnología, economía, reportajes y emprendimiento. Es autor de la primera serie documental sobre ciberseguridad hecha en España, “El enemigo anónimo”. En 20 capítulos nos ha acercado a diversos temas de la máxima actualidad relacionados con la ciberseguridad. Para ello ha entrevistado a una cuarentena de expertos.
Carlos es un profesional que lleva más de 15 años ejerciendo de periodista. Desde febrero de 2010 colabora con El Confidencial.com, donde escribe sobre tecnología, emprendimiento, derechos de autor e incluso política. Pero su gran contribución al mundo de la ciberseguridad se encuentra en la serie “El enemigo anónimo”. Hablamos de todo ello en esta entrevista.
Has trabajado mucho el tema de contenidos. Pero podrías decirnos cómo llegaste a especializarte en economía y ciberseguridad?
La especialización, por norma general, no suele responder a otra cosa que a los intereses de cada cual. Siempre me han llamado la atención los temas de economía, así que mi especialización en ese sentido ha sido más o menos natural. La de la ciberseguridad quizá haya sido más circunstancial. Casi siempre he hecho periodismo tecnológico, pero curiosamente no soy excesivamente tecnófilo: no sé por qué iPhone vamos ya, no entiendo excesivamente de ordenadores, no sabría recomendarte un smartwatch… pero siempre me han interesado la tecnología e internet como ecosistemas en sí mismos; es decir, qué hacemos en internet, cómo nos relacionamos, qué actitudes tenemos, qué delitos se cometen… Y cuando hablas de delitos online, el interés por la ciberseguridad llega solo. Porque, para mí, la ciberseguridad es mucho más que los ciberataques: es la privacidad, el uso que hacen de tus datos las grandes empresas, el ciberacoso, el voto electrónico, la ciberguerra… Los ciberataques pueden ser interesantes en el mundo empresarial, pero el resto de temas pueden interesar al ciudadano medio.
Has sido pionero en nuestro país, en hacer información sobre ciberseguridad. ¿Cómo recuerdas tus inicios cuando nadie sabía nada de este tema? ¿Qué te decían los directores de los medios cuando ibas a “venderle” un tema de ciberseguridad?
Esto puede parecer falsa modestia, pero de verdad que no creo haber sido ningún pionero. Hace muchos años que gente como Chema Alonso hace contenido sobre ciberseguridad, y mucha parte de su contenido va dirigido al usuario medio, al ciudadano de a pie. También han estado medios como Bit Life Media, elhacker.net, la revista SIC… había muchos medios hablando de ciberseguridad antes de que yo llegara. En cuanto a ‘vender’ temas a directores, los que más fácilmente se ‘vendían’ a los directores eran los ciberataques, pero, contrariamente a lo que la gente suele pensar, los artículos sobre ciberataques en la prensa generalista apenas tienen visitas, salvo contadísimas excepciones. Es verdad que hubo un punto de inflexión: Wannacry. A partir de ahí, la prensa generalista se tomó más en serio estos temas, ya que vio los perjuicios que puede ocasionar un ciberataque.
De todos modos, en mi opinión, los contenidos sobre ciberataques siguen sin tener un éxito excesivo en cuanto a visitas en los medios. A mí, al menos, siempre me han funcionado mucho mejor los temas dirigidos a los usuarios: qué hacer para proteger tu privacidad en internet, qué hacen las redes sociales con tus datos, qué medidas tomar si sufres ciberacoso…
“La ciberseguridad es mucho más que los ciberataques:
es la privacidad, el uso que hacen de tus datos las grandes empresas,
el ciberacoso, el voto electrónico, la ciberguerra….”
Y cómo se vende mejor la ciberseguridad, ¿dando miedo o explicando la prevención?
Sin duda, dando miedo. Y esto puede parecer negativo, pero no creo que necesariamente lo sea. En ciertos ámbitos, las personas no actuamos ante un hecho si no conocemos sus posibles consecuencias negativas. Aprendemos a cruzar en verde porque alguien nos puede atropellar, a cerrar nuestra casa con llave porque alguien nos puede robar… en la ciberseguridad pasa exactamente lo mismo.
Otra cosa es que hagamos ‘victim blaming’, es decir, culpabilización de la víctima. Si una persona sufre un robo de datos, no podemos decirle que la culpa es suya por no cuidar su privacidad; si entran a su correo, no podemos culparla por no cambiar la contraseña; si difunden una foto suya desnuda, no podemos decirle que no tendría que haber compartido esa foto con nadie. Es lo que bajo ningún concepto se debe hacer. Hay que centrar el foco. En vez de hablar de que la gente no es consciente de los datos que le da a Facebook, ¿por qué no hablamos de que Facebook hace negocio con los datos de sus usuarios de una forma, digamos, sospechosa? Mucha gente no tiene ni idea de ciberseguridad… ni falta que les hace.
Y ahora que la ciberseguridad está en boca de todos, ¿has tenido que cambiar la orientación o el mensaje?
Si te soy sincero, no tengo tan claro que la ciberseguridad esté en boca de todos. Sí veo que está en boca de todas las empresas, sobre todo las grandes, pero eso no significa que haya un mensaje diferencial. Si te fijas en el contenido de ciberseguridad que hacen las empresas, todas dicen exactamente lo mismo: cambia tus contraseñas, vigila los permisos que das a las apps, no compres en webs que no sean seguras, no pinches en emails que supuestamente proceden de tu banco… Llevan diez años haciendo exactamente el mismo contenido.
Donde sí he visto un cambio es en la sociedad. Quien tengan más de 30 años recordarán que en Tuenti la gente se registraba con sus nombres y apellidos, aparte de que subía fotos de fiesta, en plena borrachera, etc. En la primera etapa de Facebook también pasaba. Ahora, sin embargo, ves que mucha gente pone su perfil de Instagram en privado, pone su nombre sin apellidos (o con solo un apellido), no acepta solicitudes de cualquiera, tiene más cuidado cuando habla con desconocidos, etc. Ese sí ha sido un cambio positivo, y eso es fruto del cambio de orientación/mensaje por el que me preguntabas. Si queremos que el ciudadano medio se preocupe por su ciberseguridad, tenemos que hacerle ver cómo influye eso en su vida. Nadie va a cambiar su contraseña cada tres meses por una totalmente nueva y complicadísima, pero quizá sí proteja mejor su identidad para no dejar demasiado rastro.
En tus newletters sueles incluir ofertas de trabajo. ¿Cómo y por qué decidiste incorporar estas demandas de empleo?
En mi opinión, está claro que el empleo en ciberseguridad está creciendo muchísimo. Antes solo contratan perfiles de ciberseguridad las empresas que se dedicaban a ello, pero ahora cualquier gran empresa tiene un equipo numeroso que trabaja en todas las ramas de la ciberseguridad.
Además, todas las empresas aseguran que no encuentran los profesionales que necesitan, así que parece evidente que el mercado va a crecer mucho. Otra cosa (y esto es una sensación meramente personal) es que haga falta tantos nuevos perfiles. Sé de algunas empresas que, cuando dicen “No encontramos perfiles de ciberseguridad”, lo que realmente quieren decir es “No encontramos perfiles de ciberseguridad… que quieran cobrar 20.000 euros, que es lo que pensamos pagarles”. Es evidente que, a medida que crezca el empleo en el sector, empeorarán las condiciones.
Eso te ha permitido ver más claramente lo que se está demandando. ¿Puedes hacernos una demanda tipo del sector?
Lo que más veo, a mucha distancia del resto, es demanda de consultores de ciberseguridad. Imagino que esto defraudará a los perfiles más técnicos, pero al menos es lo que yo veo.
“Estoy preparando un informe financiero completo
sobre el sector de la ciberseguridad en España:
las empresas que más facturan, las que tienen más beneficios,
las que más crecen, las que tienen inversión externa,
las que se financian con sus propios medios, las que tienen más y menos empleados…“
Hablemos de “El enemigo anónimo”. La serie ya se terminó, el último capítulo se publicó en febrero de 2021. ¿Qué valoración haces? ¿Qué tema ha suscitado más interés?
Mi valoración fue muy buena, la verdad. Sobre todo porque fuimos más allá de los ciberataques y hablamos de más aspectos que, en mi opinión, también forman parte de la ciberseguridad: hablamos de ciberguerra, del negocio que las empresas hacen con nuestros datos, de ciberacoso, de sexting, de fake news…
¿Se puede ver toda la serie? ¿Es accesible a todo el mundo?
Está 100% disponible y 100% gratuita en esta lista de reproducción.
Con la moda de la ciberseguridad, ¿has tenido conversaciones con cadenas importantes, plataformas…?
Una productora me propuso llevarlo a Amazon Prime Video, pero la cosa quedó en nada. Te soy sincero: El Enemigo Anónimo es una serie documental de divulgación y siempre tuve claro que su espacio era Youtube; un contenido así no tiene cabida en una gran plataforma. Esto puede parecer una crítica, pero en absoluto lo es: de hecho, estoy convencido de que debe ser así.
En una gran plataforma lo que debe haber son historias, que es un término que nos encanta a los periodistas y que está muy manido, pero es verdad: lo que mandan son las historias. Me invento un ejemplo: un documental sobre cómo evitar que te ciberacosen en internet no tendría cabida en Netflix; un documental sobre un tipo que lleva diez años acosando a gente en internet, sí.
¿Va a haber nuevos capítulos?
No. Es una serie en la que metí los temas de los que quería hablar, así que hacer nuevos capítulos me parecería estirar el chicle innecesariamente. A menos que un día vea una nueva serie de contenidos que realmente crea interesantes, no habrá más capítulos.
Hace años los medios estaban controlados por periodistas, pero parece que ahora son proyectos empresariales. ¿Qué opinas de la evolución que han tenido los medios?
Me temo que te voy a llevar la contraria: en mi opinión, los medios siempre han sido proyectos empresariales y han estado controlados por sus propietarios. Y es lógico que así sea. Otra cosa es que ahora haya más debate sobre la supuesta independencia de los medios, pero el control empresarial siempre ha existido.
De hecho, si ahora debatimos más sobre esa supuesta independencia es porque han surgido otros medios, más pequeños y humildes, que destapan cosas a las que no han llegado los medios grandes. Pero te digo más: precisamente ahora sí que hay algunos medios que, siendo montados casi exclusivamente por periodistas, están siendo sostenibles y rentables: eldiario.es, Civio o Maldita.es son algunos ejemplos.
Para terminar, ¿puedes hablarnos de tus planes a corto y medio plazo?
A medio y largo plazo, tengo algunos proyectos relacionados con la ciberseguridad. Para empezar, quiero consolidar Empleo en ciberseguridad, una newsletter en la que cada semana enviamos más de 100 ofertas de empleo a cerca de 700 suscriptores. Mi objetivo ahora mismo es mejorar la newsletter para seguir creciendo en suscriptores.
A medio plazo (para finales de 2022 o inicios de 2023), estoy preparando un informe financiero completo sobre el sector de la ciberseguridad en España: las empresas que más facturan, las que tienen más beneficios, las que más crecen, las que tienen inversión externa, las que se financian con sus propios medios, las que tienen más y menos empleados…). Será un informe de pago para empresas que quieran analizar a su competencia, para fondos de inversión que estén pensando en invertir en pequeñas startups de ciberseguridad, para instituciones públicas, etc.
Y a largo plazo, quizá me plantee una nueva serie documental, pero tengo que centrar el foco, ya que estoy entre 2-3 posibles ideas. ¿Una serie sobre cómo se vivió Wannacry en España, quizá? ¿O una serie para ayudar a ciudadanos corrientes a proteger sus comunicaciones y su privacidad, quizá? Si hay alguien interesado en patrocinar alguna idea, ¡que me avise!
- Publicado en Ataques / Incidencias, Empleo, Entrevistas, General, Privacidad, Protección de datos, Redes sociales, Tecnología
Si acortas la URL, acortas tu seguridad
Las redes sociales, con sus limitaciones de texto, han posibilitado nuevos servicios para los usuarios. Uno de los más conocidos es el de acortar las URL que casi siempre son muy largas. Pero esta práctica que se ha generalizado bastante, no está exenta de riesgos. Muy al contrario, los ciberdelincuentes las aprovechan para engañar a sus víctimas.
En multitud de artículos que leemos en internet, en redes sociales o en blogs encontramos enlaces hacia otras páginas web o recursos varios para obtener más información, registrarnos o comprar un producto.
Observar la dirección de internet o URL es una de las prácticas más extendidas para verificar si la información que nos llega es de una compañía / empresa / sociedad / asociación… es de confianza. Normalmente es bastante útil y nos basta para navegar o enlazar con tranquilidad. Pero cuando una URL se acorta, ya no se puede leer la dirección y por ello la comprobación es mucho más difícil, ya que suelen contener pocos caracteres y no ofrecen ninguna pista sobre la pertinencia de esa dirección.
Este hecho es lo que aprovechan los ciberdelicuentes para suplantar las URL y enviar malware o lanzar ataques de phishing o smishing. .
De hecho fue en 2001 cuando empezaron a surgir este tipo de aplicaciones, de modo que hoy en día acortar las URL es sumamente fácil, ya que hay muchas aplicaciones que permiten hacerlo de forma gratuita. Algunas son muy conocidas:
• Ow.ly
• Buffer
• Acortar Link
• Bitly
• Cuttly
• Short URL
• Rebrandly
En la actualidad les redes sociales más conocidas contienen ya sus propios acortadores de URL que actúan de forma automática cuando escribimos la URL original.
Soluciones fáciles
No es tan difícil intentar averiguar si una URL acortada es segura o no. También tenemos buenas aplicaciones gratuitas que informan del enlace original. Ya sabéis que a nosotros nos gusta recomendar aquellas herramientas que usamos y que hemos comprobado. Pues bien, nuestra experiencia nos lleva a recomendaros VirusTotal que además es una plataforma de origen español y que ahora forma parte de Google. Nosotros os informamos puntualmente de esta operación en un artículo de febrero de 2021 que titulamos Google elige tomar el sol y en el que os explicamos la historia del ingeniero Bernardo Quintero al que Google fichó a cambio de crear su centro de excelencia para la ciberseguridad en Málaga.
Mucho antes, en marzo de 2020 también publicamos un artículo en el que os explicamos Como comprobar si un link o URL es “malicios@” y que os recomendamos que volváis a leer, porque veréis que si no sois perezosos y copiais una URL y la lleváis a VirusTotal, la información que os presenta es valiosa.
Este tipo de información forzosamente debe ser recurrente. Quizá es por ello que la Oficina de Seguridad del Internauta acaba de publicar un artículo sobre este tema y que por supuesto os invitamos a leer.
Como veis, si acortas la URL acortas tu seguridad. Pero no cuesta mucho averiguar si esa dirección llena de caracteres que no nos dicen nada proviene de una fuenta legítima.
- Publicado en Ataques / Incidencias, General, Hazlo tu mismo, Noticias, Redes sociales
José Manuel Redondo: “la tecnología está llena de nuevos peligros.”
Publicamos hoy la segunda parte de la entrevista a José Manuel Redondo, Profesor Titular del Departamento de Informática de la Universidad de Oviedo, especialista en Ciberseguridad y en Lenguajes y Sistemas Informáticos. Entre otros temas nos explica que está desarrollando materiales de prevención contra los peligros de las nuevas tecnologías. ¡No os perdías los enlaces a sus artículos! Y pone en valor la llamada “generación de cristal”. Finalmente hace un llamamiento a que la sociedad tenga la ciberseguridad como una necesidad. Esperamos que os guste, porque nos alineamos totalmente con sus opiniones.
Se critica bastante a los gamers, se dice que viven en una nube, que no tienen recursos para enfrentarse al mundo real, pero nos olvidamos que jugar online también es una forma de comunicación. Y lo mismo pasa con los niños, que quizá no saben escribir a mano, pero sí en una pantalla. ¿Cómo ves todos estos temas? ¿Exageramos al hablar de los peligros de la tecnología?
Yo siempre he dicho que mucha gente critica lo que no entiende. No es culpa suya, es algo que siempre ha pasado. Pero fíjate, ahora hay directos en Twitch que no son muy diferentes en concepto a reunirse en un banco del parque a comer pipas, solo que ahora tus amigos pueden vivir en todo el mundo y comer pipas a lo mejor es construir un edificio o conquistar una base entre todos. Es, efectivamente, otra forma de comunicación, con sus pros y sus contras. Entre los pros, sin duda, es que puedes establecer amistad con gente de todo el mundo.
Y entre los contras, que esa gente puede no ser quien dice, que hay más opciones de que haya fraudes y problemas, y que todo es más fácil de grabar y el “pues tú dijiste hace tiempo” sea más frecuente. En este aspecto me gustaría decir dos cosas principalmente. La primera es que sí, por desgracia la tecnología está llena de nuevos peligros. Muchos son viejos timos que te podían pasar en la calle antes, pero ahora con audiencia mundial y un montón de medios nuevos para llegar a ti. Antes te espiaban por la ventana, ahora por tus fotos de Instagram. Antes había bullying, ahora también, pero se le añade el que se hace por redes sociales. Es necesario preparar a la gente joven contra eso, porque es un problema que ya está aquí, es grave y cada vez lo será más. Ellos no tienen ya que enfrentarse al mundo real sólo, también al virtual. Me imagino que el metaverso traerá consigo más problemas similares.
Parece que todo avance viene con su carga de mal adjunta. Yo estoy desarrollando materiales de prevención contra eso ya, por ejemplo, tengo uno de timos y fraudes en general el cual es publico y trata de formas de reconocer ciberestafas en la actualidad mientras que hay otro que está pensado para estudiantes de primaria que trata de como usar una red social alejándonos del mal y este para sus padres llamado: Si, las redes sociales dan miedo, pero podemos hacer algo al respecto . Y como el mundo de los videojuegos es complejo, hice este esquema para tener mejor idea de cuando una compra en un videojuego puede ser un peligro también el cual es este de aquí: Los peligros de las compras de videojuegos.
Y la segunda es que personalmente pienso de todo corazón que cuando a esta generación se la llama “generación de cristal” se la está faltando al respeto. Ellos tienen nuevos problemas (acabo de hablar de uno), y se atreven a hablar de problemas que nosotros sabíamos que existían, pero muchos elegimos ignorar, o simplemente no entendíamos, porque nadie nos habría hablado de ellos. Ellos hablan abiertamente de depresión, ansiedad, etc. van a especialistas, lo visibilizan y lo cuentan para que otros se animen a hacer lo mismo si están mal también. En mi juventud eso se “curaba” olvidando, poniéndose cada fin de semana al punto del coma etílico, por ejemplo. O se despreciaba diciendo que “no era un problema de verdad”, hundiendo más y humillando al que lo tenía. Con esa herencia del pasado, que aún está muy presente, sacar a la palestra estos problemas, hablarlos, tratarlos y normalizarlos para ayudar a otros, a pesar del estigma que la sociedad todavía tiene contra ellos, no es cristal, para mi es acero…es más, yo he aprendido bastante en ese aspecto de la nueva generación.
“Protestar por una injusticia no es tampoco ser de cristal.
A mí me gusta más esa opción que ‘tragar con todo porque así es el mercado’.
Si no hay crítica no hay mejora; si no se visibiliza el error no hay opciones de corregirlo.”
También es cierto que en esta generación hay gente que ni estudia ni trabaja. Como en la mía. ¿Son ahora más en número o es que con la visibilización masiva de cosas negativas que te da Internet ahora hacen “más ruido”? Mira, a mí la gente que me llega a la Universidad la veo mejor preparada en media para la vida en general que antes. En serio, he tenido gente trabajando y estudiando con nota, con todos los cursos del conservatorio a sus espaldas, deportistas de élite manteniendo sus marcas mientras estudian, con un dominio de idiomas envidiable…desde luego están más preparados para la vida que yo a su edad. ¿Puede haber menor nivel medio de madurez en general? No puedo afirmarlo ni negarlo, es posible, pero necesitaría datos para poder emitir un juicio…
Por lo que yo he visto personalmente, madurar a golpe de desgracias y penurias no es una buena forma de madurar, porque deja secuelas. No me vale el “yo a tu edad comía pieles de patata y no me quejaba” porque no es bueno. No te quejabas porque no podías o no te dejaban. Y eso te dejó una secuela, sino no hablarías de ello. Las historias estilo “como yo pasé por la mili tú también” en mi opinión son tristes, porque así no mejoramos nada. Se trata precisamente de que nuestra descendencia no pase por los mismos problemas que nosotros, ¿no?
Además, protestar por una injusticia no es tampoco ser de cristal. A mí me gusta más esa opción que “tragar con todo porque así es el mercado”. Si no hay crítica no hay mejora; si no se visibiliza el error no hay opciones de corregirlo. Vuelvo a repetirlo, denunciarlo no es ser de cristal, sino de acero. Pero ojo, que quede claro que esto es una opinión y no una crítica. Todo el mundo tiene derecho a ver la vida como mejor le parezca o se adapte a su experiencia. El problema es cuando un grupo de personas que tiene impacto mediático generalizan una idea que daña a toda una generación, algo que no veo justo en absoluto para ellos. Bastantes problemas tienen ya…
Quizá también debe cambiar la sociedad. ¿Por qué crees que a las empresas les cuesta tanto ver que la ciberseguridad es una inversión y no un gasto?
Tiene que cambiar, sí, y yo creo que ya lo están haciendo. Mi experiencia con la empresa privada es pequeña, pero yo creo que lo mismo pasa en la administración. En mi opinión el problema es que una inversión en ciberseguridad no tiene un retorno inmediato y/o no es fácil de ver. Si yo compro un servidor físico o en nube del doble de cores que el que tengo, mis tiempos de proceso probablemente disminuirán de forma significativa: retorno de la inversión inmediato. Si yo invierto en auditorías de seguridad, solucionar los fallos descubiertos, personal formado en el tema y equipamiento avanzado de prevención, mi retorno de la inversión puede ser un ataque menos crítico, que no haya ataques preocupantes, o que en todo el proceso haya errores que hagan que los ataques se reproduzcan igualmente. Todo esto deja una idea en la cabeza “yo para que gasté tanto dinero en esto si no veo una mejora palpable en los resultados” (y las inversiones no son baratas precisamente), y eso es en mi opinión lo que hacía que hasta hace poco estos temas se dejasen un poco de lado. Además, retrasan todo, y los plazos de entrega muchas veces es el factor sobre el que gira todo lo demás.
“La seguridad es cosa de todos.
Si falla un usuario cualquiera y su ordenador se compromete,
puede comprometer a toda la red de la empresa…
El malware funciona así, y basta que se rompa un eslabón de la cadena
para que toda ella se pueda ver comprometida.”
Pero llegó la pandemia y se vio que la falta de inversión en seguridad tiraba sistemas abajo durante mucho tiempo, rompía servicios, robaba tus datos o los destruía. Incluso negaba la atención médica en un momento en la que era clave. Se causaron tremendas pérdidas económicas y hubo negocios que incluso cerraron. Entonces la inversión sí tuvo retornos palpables para los que en su día invirtieron y creyeron, y ahora, aunque sea a las duras, los que no lo hicieron en su momento están tratando de “ponerse las pilas” ante este nuevo escenario. Por eso hacen falta tantos profesionales en estos momentos y, como yo creo que la cosa no tiene pinta de ir a mejor a corto plazo, durante mucho tiempo.
La Universidad de Oviedo ha sido un poco pionera al haber iniciado la formación de su personal docente e investigador para prevenir los ciberataques y el fraude en la red. ¿Cómo ha ido la experiencia?
¡Genial! Contaba con el hándicap de no tener un perfil de alumno concreto, porque podía ser cualquier profesor o investigador de cualquier rama de conocimientos, sea técnica o no. Y claro, uno puede ser un experto geólogo y usar el ordenador para navegar y escribir documentos, porque es lo que tiene que hacer. Pero en el mismo curso puedo tener un profesor de mi departamento que espera otras técnicas para proteger sus activos, porque las básicas (y no tan básicas) ya las sabe.
Por suerte, leo mucho sobre cómo dar clases (puedes decir que es otra de mis líneas de investigación si me apuras) y puse en práctica un tipo de curso al que llamé multi-nivel. Organicé los contenidos en bloques y dentro de ellos en bloques más pequeños. Cada contenido estaba etiquetado con uno de tres niveles (estudiante estándar, estudiante con conocimientos técnicos, estudiante con estudios de informática) y así cada persona sabría qué leer del curso que se adaptara a su perfil. O leer cosas del nivel siguiente por si las entendía y así aprendía aún más, o pedirle a alguien de perfil más técnico que haga algo de lo que propongo que le haga falta.
La experiencia fue muy buena, recientemente me llegaron las evaluaciones de los estudiantes y quedaron muy contentos. Si me apuras, el principal problema de diseñar un curso así es estructurar los contenidos correctamente, y luego concienciar a la gente de que el nivel es algo que se tienen que asignar ellos mismos, que son los que mejor se conocen, y que si uno se equivoca y lo tiene que bajar (¡o subir!) no pasa nada. Pero ninguno de estos problemas fue grave, ¡habrá una segunda edición!
¿Crees que toda la Administración debería hacer algo parecido?
Sin duda. Mira, yo en el curso que comentaba antes empecé diciendo que la seguridad es cosa de todos, desde el más al menos técnico. Si falla un usuario cualquiera y su ordenador se compromete, puede comprometer a toda la red de la empresa si no hay medidas de seguridad adicionales o estas fallan. El malware funciona así, y basta que se rompa un eslabón de la cadena para que toda ella se pueda ver comprometida.
Es cierto, como dije en la pregunta anterior, que no todo el mundo puede pretender tener conocimiento experto en seguridad porque no es lo suyo, pero sí unos mínimos de autoprotección, buenas prácticas, cuidados contra timos y fraudes y, en general, herramientas para protegerse de estas nuevas amenazas que surgen en el ciberespacio. Se debe y se tiene que conseguir, porque es posible y beneficioso para todos, tanto administración como ciudadanos en general. Yo mismo preparo e imparto cursos en esa vía, para todos los perfiles, como dije antes, y estaría encantado de impartirlos a quien los necesite. Pero como yo hay más gente, y en la administración el tema es algo mucho más sensible porque un ataque perjudica a un gran nº de ciudadanos. Para ejemplo tenemos casos como el del SEPE o el de múltiples ayuntamientos.
Hasta aquí la entrevista mantenida con José Manuel Redondo. Esperamos que os haya aportado una visión muy clara de lo que está pasando en el mundo de la enseñanza y con la juventud. Su optimismo tiene una sólida base. No en vano lleva muchos años conviviendo con estudiantes universitarios entusiastas de las nuevas tecnologías.
Si queréis leer la primera parte de la entrevista, sólo tenéis que clicar AQUÍ.
- Publicado en Ataques / Incidencias, Entrevistas, Estudios, Formación, General, Noticias, Redes sociales, Tecnología
Ascenso y caída del grupo de delincuentes Lapsus$
Un grupo de ciberdelincuentes ha sido protagonista las últimas semanas por robar datos de empresas importantes como Microsoft, Nvidia, Samsung, Ubisoft, Vodafone, Mercado Libre y otras. La buena noticia es que la policía británica ha detenido a un grupo de jóvenes (de entre 16 y 21 años) que parecen estar detrás de Lapsus$ tras una investigación de cuatro expertos en ciberseguridad que investigaron el tema en nombre de las empresas atacadas. La mala noticia es que no se les ha podido vincular de forma concluyente, por lo que fueron puestos en libertad bajo investigación.
La indagación ha sido muy rápida porque la seguridad operativa de Lapsus$ era muy deficiente, cosa no muy normal en los grandes grupos de ciberdelincuentes. Además disponían de un canal de Telegram con 45.000 seguidores donde el grupo compartía sus objetivos.
El adolescente (16 años) que supuestamente es el cerebro del grupo fue detenido cerca de Oxford y según la BBC es un chaval que va a una escuela especial por ser autista. Sus padres han reconocido que se pasaba muchas horas ante el ordenador, pero pensaban que “estaba jugando”. Después de él, la policía de Londres detuvo a otros siete jóvenes más o menos vinculados al primero. De todos modos la investigación no ha finalizado y la conexión con una supuesta rama que se encuentra en Brasil no está aclarada. Y eso se debe a que la empresa estadounidense Okta, especializada en servicios de verificación de identidad que presta servicios, por ejemplo, al Ministerio de Salud de Brasil, también fue diana del grupo, seguramente desde Latinoamérica.
Una de las empresas objetivo fue la estadounidense Nvidia, especializada en en el desarrollo de unidades de procesamiento gráfico (GPU) y tecnologías de circuitos integrados. Lapsus$ robó certificados de firma electrónica de los desarrolladores de este empresa para tener acceso a los equipos informáticos y poder descargar software malicioso. Y lo hizo con un ataque de ransomware.
En el caso de Microsoft, fue la propia compañía la que confirmó el robo de código fuente. Según los ciberdelicuentes, que lo compartieron en Telegram, sustrajeron el 90% de los datos de Bong Maps y el 45% de los datos del motor de búsqueda de Microsoft (Bing) y su asistente Cortana. El centro de inteligencia sobre amenazas de Microsoft (MSTIC) determinó que el grupo es un “actor motivado por el robo y la destrucción”. Y explicaron que sus tácticas, técnicas y procedimientos cambian y evolucionan constantemente. Lo podéis leer en el blog de su propia web AQUÍ.
Lo que viene a decir este centro de inteligencia es que atacan a grandes empresas, robando sus datos y amenazándoles con publicarlos si no les pagan. Pero no siempre ha sido así, porque a Nvidia no les pidieron dinero, sino liberar código fuente de sus tarjetas gráficas y eliminar uns restricciones que la empresa había puesto para minar criptomonedas.
En cualquier caso el grupo ha usado varias técnicas, como usar las redes sociales para reclutar personas con información privilegiada de las empresas. También han usado la técnica del SIM swapping, es decir robar la identidad de una persona duplicando su tarjeta SIM del smartphone. Nosotros ya alertamos de esta técnica en este artículo de diciembre de 2019. En este otro post de octubre de 2021, hablábamos de nuevas normas para obligar a los operadores de telefonía a incrementar la seguridadel uso de las tarjetas. Lo podéis leer en el artículo titulado Pequeñas cosas que hacen la vida más fácil.
Y naturalmente, también han usado la extorsión. De hecho, se cree que en pocos meses han podido ganar más de 12,5 millones de euros.
El ascenso y caída del grupo de delincuentes Lapsus$ es una noticia que más allá del tema de la ciberseguridad nos obliga a interrogarnos sobre temas sociales. Que un chico de 16 años aquejado de autismo sea el presunto cerebro de este grupo es preocupante. Sin embargo la investigación sigue, porque los delitos como la extorsión siguen ahí y no es un juego de adolescentes.
Tenemos que recordar que normalmente este tipo de ataques a grandes corporaciones están dirigidos por grupos especializados de ciberdelincuentes, bien organizados, muy protegidos y actuando desde lugares muy difícilmente detectables. Así que deberemos esperar los resultados de la investigación abierta para saber con más detalle lo que hay detrás de Lapsus$. Pero de momento el hecho final conocido es que unos adolescentes avispados han puesto en jaque a empresas muy poderosas. Lo que viene a demostrar una vez más, la importancia de que las empresas deban tener realmente un plan de ciberseguridad bien definido. ¡Nadie está a salvo!
Imagen Principal: Elchinator en Pixabay.
- Publicado en Ataques / Incidencias, General, Noticias, Redes sociales
¡Esos padres y sus locos bajitos!
El cantante Joan Manuel Serrat es autor de una conocida canción titulada “Esos locos bajitos”. Explica lo que los padres esperan de sus hijos. La hemos parafraseado porque el comportamiento de los hijos e hijas ante los dispositivos móviles e Internet hace tiempo que se cuestiona por los efectos dañinos que les pueden ocasionar. Ahora dos estudios ponen de manifiesto algunos de ellos. Kaspersky demuestra que las normas que imponen los padres a los hijos no las cumplen ni los mismos progenitores. Y Unicef revela que uno de cada 10 adolescentes ha recibido por la Red proposiciones relacionadas con el sexo de un adulto.
Una vez más debemos hablar de un estudio de la empresa Kaspersky. En esta ocasión se trata de saber como los padres y sus hijos gestionan sus hábitos de consumo de redes. Según esta investigación, el 61% de padres y madres tienen dificultades para seguir un modelo de conducta para sus hijos e hijas.
Las estadísticas dicen que el 68% de los niños y niñas recibe un dispositivo antes de los nueve años. Y es evidente que los niños imitan a sus padres. Lo vemos, por ejemplo, en la conducción de un vehículo. Pero también ocurre eso en el comportamiento ante los dispositivos móviles. El estudio de Kaspersky viene a señalar que la conducta de los progenitores viene a ser como Dr. Jekyll y Mr. Hyde:
• El 54% de los progenitores intenta que toda la familia tenga hábitos digitales saludables… pero no lo consiguen, porque ellos son los primeros que lo incumplen.
• El 53% de los encuestados por Kaspersky quisieran que sus menores usaran menos de dos horas diarias sus dispositivos… pero el 82% reconoce que ellos mismos los utilizan durante más horas al día. Así, el 48% admite que pasa de 3 a 5 horas diarias conectados. Además un 62% cree que es “normal” pasar todo ese tiempo conectados.
• Solo un 11% de los padres y madres permiten que sus vástagos se conecten durante la comida… pero el 65% reconoce que ellos sí lo hacen. No es un dato cualquiera, porque los menores cuyos padres hacen eso pasan 39 minutos más al día conectados que los hijos de los padres que no lo hacen.
• Únicamente un 10% de padres acepta que sus hijos usen WhatsApp o Telegram mientras mantienen una conversación… pero hasta un 72% afirma que ellos lo hacen.
• Atención también a las redes sociales. El estudio indica que el 24% de progenitores acepta que sus hijos e hijas compartan fotos familiares en redes… pero hasta un 37% de adultos afirma que es normal hacerlo.
Podéis acceder al estudio de Kaspersky, que se titula Raising the smartphone generation AQUÍ.
Unicef radiografía el uso de la Red por parte del alumnado de ESO
El tema de las redes sociales y la adolescencia también ha sido objeto de varios estudios sociológicos y psicológicos. Pero seguramente uno de los más completos es el que ha realizado Unicef España consultando a más de 50.000 adolescentes estudiantes de ESO (Enseñanza Secundaria Obligatoria) de las 17 comunidades autónomas.
Algunos de los resultados ya eran más o menos conocidos pero el estudio reafirma datos como que 9 de cada 10 se conectan a diario o casi todos los días a Internet; que la edad media a la que se tiene un móvil es a los 11 años o que casi el 60% duerme con el móvil o la tableta en la habitación.
Se conectan para divertirse, hacer amigos o para no sentirse solos. Para la mayoría se trata de una fuente de experiencias insustituible y llena de emociones positivas. Sin embargo también hay casos que sufren exclusión social, ansiedad o acoso.
La falta de supervisión se traduce en peligros evidentes. El estudio señala que uno de cada diez adolescentes ha recibido al menos una proposición sexual de un adulto y un 11% ha sido presionado para que enviara fotos o vídeos suyos con contenido erótico o sexual.
Unicef ve especialmente preocupante los riesgos del grooming (un adulto se hace pasar por un menor para ganarse la confianza con fines sexuales) y los del acoso escolar, que según las respuestas obtenidas es sensiblemente más alto que los datos de las estadísticas oficiales. Unicef estima que se da en uno de cada tres encuestados.
Otro aspecto peligroso es el del juego: un 3,6% de los estudiantes ha reconocido que ha jugado o apostado dinero online alguna vez en su vida. Este porcentaje significa que más de 70.000 adolescentes lo han hecho en España.
El estudio es muy extenso e interesante, por lo que os invitamos a leerlo con detenimiento en la web de Unicef, donde además encontraréis muchos otros temas relacionados con la tecnología y los derechos de la infancia.
También encontraréis un buen resumen del estudio en este artículo del diario El País.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en General, Noticias, Privacidad, Redes sociales, Seguridad
Otras formas de “ataque”
Ataques, infecciones y más campañas de software malicioso. No queremos asustaros, pero sí que tengáis muy presente que estamos tan hiperconectados que los peligros vienen por todas partes y que nunca podemos bajar la guardia. Hace muy poco os hablábamos de los problemas de los smartphones y hoy queremos redondear ese artículo explicando otras formas de “ataque”. Porque como las meigas, “haberlas, haylas”.
Los códigos QR no son más que una versión en dos dimensiones de un código de barras o una URL. El nombre deriva del inglés Quick Response Code, que significa “código de respuesta rápida”. Podéis leer más sobre los códigos QR en la Wikipedia.
Aunque empezaron a usarse en 1994, y en un inicio para localizar y escanear en logística y almacenaje, los códigos QR se han puesto especialmente de moda con la pandemia. Las medidas higiénicas han hecho que se popularicen en restaurantes para acceder a la carta. Pero también se ha generalizado su uso en el turismo, en el comercio o en trámites con la Administración. Tanto es así que se ha estimado que un 86% de usuarios móviles ha escaneado un código QR en el último año.
Pero estar de moda también implica que los ciberdelincuentes se fijen en ellos. Como los usuarios creen que usar estos códigos es seguro, no se toma ningún tipo de prevención. ¡¡Error!! ¿Por qué es un error? De entrada, el usuario clica un enlace que ni siquiera ve y eso puede implicar que detrás haya una acción de phishing y que el enlace redirija a una web maliciosa.
Otro motivo: la captura del código QR se hace a través del smartphone, por lo que el acceso a nuestros datos puede ser inmediato.
Usar los códigos QR y código de barras como vectores de ataque no es nada nuevo. Y así, por ejemplo, debemos tener mucho cuidado con cosas que jamás pensaríamos que puede llevarnos al desastre. Por ejemplo, con un simple billete de avión escaneado en el móvil. Es relativamente sencillo que, a partir de ellos, se obtenga todo tipo de información del usuario. Hay un ejemplo muy claro de esto, nada menos que con un ex primer ministro de Australia, como os explicamos en un artículo titulado “Revelación responsable con final feliz en Australia“.
Imagen de Parker_West en Pixabay
Los gamers también son objeto de ciberdelincuentes
Nos ocupamos ahora del sector de los videojuegos, que ha ido creciendo espectacularmente con la pandemia. Los aficionados a este tipo de ocio y sobre todo los profesionales, a los que se les llama gamers también están siendo objetivo de los ciberdelincuentes. Según un informe de Kaspersky, entre el tercer trimestre de 2020 y el segundo de 2021 se detectaron más de 5,8 millones de infecciones de malware y software no deseado, o camuflado como no, en los cracks, antídotos o vitaminas, para juegos pirateados. La forma de entrar a estos gamers es también bastante sencilla: las infecciones se disfrazan de los más populares juegos de PC.
En España los videojuegos con mayor incidencia de ciberamenazas fueron Minecraft, Los Sims 4, PUBG Battlegrounds, Fornite y Rocket League. Los expertos de Kaspersky señalan que el “éxito” de entrar a través de Minecraft se debe a que existe una gran cantidad de versiones de este juego y un sinfín de mods, que son modificaciones adicionales del juego para mejorar la experiencia.
Para impedir este tipo de problemas, las recomendaciones más básicas son:
- No clicar en ningún enlace a sitios externos desde el chat del juego.
- Descargar las aplicaciones en tiendas oficiales y observar antes los comentarios sobre el juego que han realizado usuarios que ya lo han probado.
- Utilizar contraseñas complicadas y únicas para cada juego.
- Instalar en el ordenador soluciones de seguridad adecuadas.
- Y como no comprar juegos originales, en tiendas físicas, online o autorizados – Steam, Uplay, Humblebundle, Apple App Store, Google Play o Amazon Appstore -, para que no tengáis que usar los cracks (o pasar un antivirus de última generación antes)
La compañía también advierte sobre el malware llamado Bloody Stealer, que ya ha atacado a usuarios en Europa, América Latina y Asia-Pacífico. El malware, que se presenta como servicio (lo que se denomina MaaS), roba datos de cuentas en tiendas conocidas de videojuegos. Os invitamos a leer esta información en el blog de Kaspersky.
WhatsApp no se libra
Terminamos este artículo sobre otras formas de ataque hablando de una campaña realizada a través de correos electrónicos de la popular plataforma WhatsApp. Según la Oficina de Seguridad del Internauta, uno de los portales del INCIBE, los intentos de infección simulaban ser mensajes de WhatsApp en los que se solicitaba a los usuarios que descargasen su copia de seguridad. Al hacerlo los usuarios instalaban un malware en sus dispositivos. El Instituto Nacional de Ciberseguridad recomienda eliminar el archivo y el correo recibido. Y en caso de haberse descargado y ejecutado el archivo habrá que escanear el dispositivo con un antivirus actualizado.
Como veis, una vez más, debemos advertiros de los peligros que hay. Incluso en cosas tan aparentemente inocuas como los códigos QR, la afición a los videojuegos o un mensaje que tiene el aspecto de ser de WhatsApp.
Son muchas las opciones que tienen los delincuentes para hacerse con nuestros datos y las de nuestras empresas. Os explicamos otros ejemplos en este artículo de nuestro blog donde advertíamos de los problemas de las cámaras de seguridad y los protocolos wifi.
Y hay que insistir: como dice el INCIBE, hay que escanear el dispositivo con un antivirus actualizado. Eso significa que la prevención es el mejor método para trabajar, divertirse o simplemente comunicarnos con nuestros círculos próximos.
Confiar en expertos en ciberseguridad es la mejor solución, la que permite dormir más tranquilamente a los empresarios y profesionales y a toda aquella persona que use los mil y un sistemas que la tecnología pone en nuestras manos.
Imagen principal: Gerd Altmann en Pixabay
- Publicado en Ataques / Incidencias, General, Noticias, Productos, Redes sociales
- 1
- 2
Español 
Català