“Están surgiendo preocupaciones legítimas en materia de seguridad, privacidad y psicología debido al uso frecuente de esta tecnología por parte de los más pequeños y jóvenes. Como adultos responsables, no se puede dar por sentado que todos los proveedores de plataformas cuentan con medidas eficaces de seguridad y privacidad adecuadas para los infantes. Incluso cuando existen protecciones, su aplicación no es necesariamente coherente, y la propia tecnología evoluciona más rápido que las políticas”, alerta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Niños y niñas utilizan la IA generativa (GenAI) de diversas maneras. Algunos valoran su ayuda para hacer los deberes o trabajos escolares. Otros pueden tratar al chatbot como a un compañero digital, pidiéndole consejo y confiando en sus respuestas como lo harían con un amigo íntimo. Esto, según ESET, conlleva varios riesgos evidentes.

El primero es psicológico y social. Los niños atraviesan un periodo de desarrollo emocional y cognitivo, lo que les hace vulnerables en varios sentidos. Pueden llegar a confiar en la IA como una compañía en detrimento de la formación de amistades genuinas con sus compañeros de clase, lo que exacerba el aislamiento social. Como los chatbots están preprogramados para complacer a sus usuarios, están en capacidad de producir resultados que amplifiquen las dificultades por las que puedan estar pasando los jóvenes, como trastornos alimentarios, autolesiones o pensamientos intrusivos. También existe el riesgo de que el menor pase tiempo con su inteligencia artificial, no sólo en detrimento de las amistades humanas, sino también del tiempo que debería dedicar a cumplir con los deberes o a estar con la familia.

También hay riesgos en torno a lo que un chatbot GenAI pueda permitir acceder a un menor en internet. Aunque los principales proveedores tienen barras de contención diseñadas para limitar los enlaces a contenidos inapropiados o peligrosos, no siempre son eficaces. En algunos casos, pueden anular estas medidas de seguridad internas para compartir contenidos sexualmente explícitos o violentos, por ejemplo. Si tu hijo tiene más conocimientos de tecnología, puede incluso ser capaz de llevar a cabo un “jailbreak” (proceso de eliminar las restricciones) en el sistema a través de indicaciones específicas.

La información errónea es otro motivo de preocupación. Para los usuarios corporativos, esto puede crear importantes riesgos de reputación y responsabilidad. Pero para los niños, puede dar lugar a que crean información falsa presentada de forma convincente como un hecho, lo que los lleva a tomar decisiones imprudentes sobre cuestiones médicas o de pareja.

Por último, es importante recordar que los chatbots también suponen un riesgo potencial para la privacidad. Si un niño introduce información personal y financiera sensible en una consulta, el proveedor la almacenará. Si eso ocurre, en teoría podría acceder a ella un tercero (por ejemplo, un proveedor/socio), o ser pirateada por un ciberdelincuente. Del mismo modo que no es deseable ni se querría que un niño compartiera demasiado en las redes sociales, lo mejor es minimizar lo que comparte con un bot GenAI.

Dependiendo de dónde se viva y de qué chatbot estén utilizando, puede que haya poca verificación de edad o moderación de contenidos. Por lo tanto, es responsabilidad de los adultos anticiparse a cualquier amenaza mediante una supervisión y educación proactivas.

Algunas señales de que un niño o niña puede tener una relación poco saludable con la IA; de acuerdo a lo compartido por ESET

• Se retiran del tiempo extraescolar que pasan con amigos y familiares.
• Se ponen nerviosos cuando no pueden acceder a su chatbot e intentan ocultar los signos de uso excesivo.
• Hablan del chatbot como si fuera una persona real.
• Repiten como si fueran “hechos” ciertos información errónea obvia.
• Preguntan a su IA sobre enfermedades graves, como problemas de salud mental (lo cual puedes chequear o averiguar accediendo al historial de conversaciones).
• Acceden a contenidos para adultos o inapropiados ofrecidos por la IA

“En muchas jurisdicciones, los chatbots de IA están restringidos a usuarios mayores de 13 años. Sin embargo, dada la irregularidad o complejidad en su aplicación, es posible que se tengan que tomar cartas en el asunto. Las conversaciones importan más que los controles por sí solos. Para obtener los mejores resultados, consideremos la posibilidad de combinar los controles técnicos con la educación, el asesoramiento y sobre todo el acompañamiento, impartidos de forma abierta y sin confrontación”, comenta Luis Lubeck, vocero de Argentina Cibersegura.

Tanto si están en la escuela, en casa o en un club extraescolar, los menores tienen adultos que los guían en lo que tienen que hacer. Por eso, desde ESET recomiendan intentar que la comunicación sobre la IA sea un diálogo bidireccional, en el que se sientan cómodos compartiendo sus experiencias sin miedo a ser castigados. Explicarles los peligros del uso excesivo, el intercambio de datos y la dependencia extrema de la IA para resolver problemas graves. Ayudarles a entender que los robots de IA no son personas reales sino máquinas diseñadas para ser atractivas. Enseñarles a pensar de forma crítica y chequear siempre los resultados de la IA. Además de nunca sustituir una charla con sus padres por una sesión con una máquina.

Si es necesario, se aconseja combinar esa parte educativa con una política para limitar el uso de la IA (igual que se limitaría el uso de las redes sociales o el tiempo de pantalla en general) y restringir su uso a plataformas apropiadas para su edad. Activar el control parental en las aplicaciones que utilicen para ayudarle a supervisar su uso y minimizar los riesgos. Recordarles que nunca deben compartir información personal identificable (IPI) con la IA y ajustar su configuración de privacidad para reducir el riesgo de filtraciones involuntarias.

“Los más pequeños necesitan seres humanos en el centro de su mundo emocional. La IA puede ser una herramienta útil para muchas cosas. Pero hasta que los niños desarrollen una relación sana con ella, su uso debe supervisarse cuidadosamente. Y nunca debe sustituir al contacto humano”, concluye Lopez de ESET.

Para conocer más sobre el cuidado de los niños en Internet, puede visitar Digipadres, una iniciativa impulsada por SaferKidsOnline de ESET, que busca acompañar a madres, padres y docentes con el fin de generar conciencia acerca de riesgos y amenazas en el mundo digital. Se brindan materiales para el proceso de aprendizaje, diálogo y supervisión con el objetivo de facilitar los conocimientos necesarios para ayudar a lo más pequeños en el uso de las nuevas tecnologías. Para más información sobre los peligros que enfrentan los niños en línea: https://digipadres.com/

ESET invita a conocer y profundizar sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

“Las estafas de despido son un tipo de ataque de phishing diseñado para que sus víctimas compartan su información personal y financiera, o alentarlas a hacer clic mediante un enlace malicioso que podría desencadenar en la descarga de malware. Las tácticas de ingeniería social utilizadas en el phishing pretenden crear una sensación de urgencia en la víctima, para que actúe sin pensárselo antes, y la excusa puntual es un aviso de despedido”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El engaño puede llegar en forma de un correo electrónico de RR.HH. o de una tercera parte autorizada ajena a la empresa. El correo puede mencionar que sus servicios ya no son necesarios, o pretender incluir detalles sobre colegas que son difíciles de resistirse a leer. El objetivo final es persuadir a la víctima a que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.

Una vez que haga clic o abra el archivo adjunto, es posible descubrir que se activa una instalación encubierta de malware o se pide que se introduzcan datos de acceso en una página de phishing falsa. Con los datos de acceso al trabajo, los cibercriminales podrían secuestrar el correo electrónico u otras cuentas para acceder a datos y/o redes corporativas confidenciales con fines de robo y extorsión. En el caso que se reutilicen esos nombres de usuario en distintas cuentas, podrían incluso llevar a cabo campañas de relleno de credenciales para desbloquear también otros accesos.

“Las estafas de cancelación son eficaces porque explotan la credulidad de las personas, creando una sensación de miedo en la víctima e inculcándole la necesidad urgente de actuar. Sería difícil encontrar a un empleado que no quisiera saber más sobre su propio despido, o detalles potencialmente artificiales de una supuesta mala conducta. No es casualidad que el phishing siga siendo una de las tres principales tácticas de acceso inicial para los autores de ransomware y que haya contribuido a una cuarta parte (25%) de los ciberincidentes con motivación financiera de los últimos dos años”, agrega Gutierrez Amaya de ESET.

Distintas versiones de este tipo de estafa

• Un correo electrónico que se hace pasar por el Servicio de Tribunales y Juzgados del Reino Unido y que supuestamente contiene un enlace a un documento de despido. Al hacer clic, se carga un sitio web falso con el logotipo de Microsoft diseñado para persuadir a la víctima de que lo abra en un dispositivo Windows. Se activa la descarga del troyano bancario Casbaneiro (también conocido como Metamorfo).
• Un correo electrónico que supuestamente procede del departamento de Recursos Humanos de la víctima y que dice contener una lista de despidos y detalles sobre nuevos puestos. Al abrir el falso PDF se activa un formulario trucado de inicio de sesión de DocuSign en el que se solicita a la víctima que introduzca su dirección de correo electrónico y contraseña para acceder.

Hay algunas señales que nos pueden prevenir

Como ocurre con cualquier ataque de phishing, hay algunas señales de advertencia o alerta que deberían llamar nuestra atención si se recibe este tipo de correos en la bandeja de entrada:

• Una dirección de remitente inusual que no coincide con el declarado. Puede ser algo completamente diferente, o podría ser un intento de imitar el dominio de la empresa suplantada, utilizando errores tipográficos y otros caracteres (por ejemplo, m1crosoft.com, @microsfot.com)
• Un saludo genérico (por ejemplo, “estimado empleado/usuario”), que no es el tono que adoptaría una carta de despido legítima.
• Enlaces incrustados en el correo electrónico o archivos adjuntos para abrir. Suelen ser un signo revelador de un intento de phishing. Si se pasa el pulsor por encima del enlace y no parece correcto, es suficiente razón para no hacer clic.
• Enlaces o archivos adjuntos que no se abren inmediatamente, pero que piden que se introduzcan datos de acceso. Nunca responder a un mensaje de este tipo que no haya sido solicitado.
• Lenguaje urgente. Los mensajes de phishing suelen intentar precipitar a quien lo recibe para que tome una decisión rápida.
• Errores ortográficos, gramaticales o de otro tipo en la carta. Cada vez son menos frecuentes a medida que los ciberdelincuentes adoptan herramientas de IA generativa para redactar sus mensajes de phishing, pero aun así vale la pena prestarles atención.
• En el futuro, mantenerse alerta ante los esquemas asistidos por IA en los que los estafadores podrían utilizar imitaciones de audio y vídeo de personas reales (como un jefe, por ejemplo) para engañar y conseguir que facilite información corporativa confidencial.

ESET comparte consejos para no caer en la trampa

• Utilizar contraseñas seguras y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas.
• Asegurarse de activar la autenticación de dos factores (2FA) para una capa adicional de seguridad en el acceso.
• Asegurarse de que todos los dispositivos personales y de trabajo estén actualizados y parcheados con regularidad.
• Si el departamento informático se lo ofrece, participar en ejercicios periódicos de simulación de phishing para saber a qué se debe prestar atención preventiva o defensiva.
• Si se recibe un mensaje sospechoso, nunca hacer clic en los enlaces incrustados ni abrir el archivo adjunto.
• Si se está preocupado, ponerse en contacto con el remitente a través de otros canales, pero no respondiendo al correo electrónico ni utilizando los datos de contacto que aparecen en él.
• Informar al departamento informático de la empresa de cualquier mensaje sospechoso.
• Comprobar si algún compañero ha recibido el mismo mensaje.

“Las estafas por despido existen desde hace algún tiempo. Pero si siguen circulando, deben de seguir funcionando. Desconfíe siempre de todo lo que llegue a su bandeja de entrada”, concluye el investigador de ESET.

Coordenadas de contacto con ESET, empresa especialista en seguridad digital e informática, fuente de la presente información y recomendaciones: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Por primera vez en su historia, la moneda digital Bitcoin superó los 100.000 dólares a principios de diciembre, con una subida de más del 30% desde la noche electoral en Estados Unidos. Se cumpla o no el optimismo sobre la retórica pro cripto del presidente electo Donald Trump durante su campaña electoral, el valor de las monedas virtuales sigue subiendo. En este contexto, ESET, compañía líder en detección proactiva de amenazas, destaca que también crecen las estafas y el malware diseñados para robar cripto.

El último Threat Report de ESET revela que las detecciones de criptomineros aumentaron un 56% entre el primer y el segundo semestre de 2024, en Windows, Android y macOS. “El crecimiento de este tipo de delitos es un reflejo del papel cada vez más importante que desempeñan las criptomonedas en las finanzas mundiales. Pero también se ve favorecido por razones específicas, según el FBI, como la naturaleza descentralizada de la moneda virtual, la velocidad de las transacciones irreversibles y la posibilidad de transferirla por todo el mundo que la hacen popular entre los ciberdelincuentes, y difícil de recuperar para las víctimas una vez robadas”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de investigación de ESET Latinoamérica.

El FBI afirma haber recibido más de 69.000 denuncias públicas sobre fraudes financieros relacionados con criptomonedas como bitcoin, ether o tether en 2023, que representan el 10% del número total de reclamos por fraude financiero presentados a la Oficina, pero contemplan casi la mitad de las pérdidas totales (5.600 millones de dólares) en el año. Estas denuncias evidencian un aumento anual del 43%, con robos de criptomonedas en todos los principales tipos de ciberdelincuencia rastreados por el FBI (desde malware y robo de identidad hasta ransomware, phishing y estafas románticas). Sin embargo, la mayoría de las pérdidas de criptomonedas en 2023 provinieron de fraudes de inversión (71%) y fraudes en centros de llamadas, incluyendo estafas de soporte técnico/cliente y estafas de suplantación de identidad del gobierno (10%).

La actividad delictiva en 2024, según el último ESET Threat Report, se centró en …

• En la plataforma macOS, Password Stealing Ware (PSW), que a menudo apunta a credenciales relacionadas con billeteras de criptomonedas (wallets o criptocarteras), se disparó un 127%. Esto se debió en parte a una herramienta de malware como servicio, vendida en Telegram llamada AMOS (también conocida como Atomic Stealer), junto con sus numerosas versiones e imitadores. Los atacantes propagan este malware a través de anuncios aparentemente auténticos pero maliciosos en la red publicitaria de Google, atrayendo a la gente a un sitio que los lleva a descargar malware que se hace pasar por software legítimo.
• Las amenazas PSW provocaron el crecimiento de criptosecuestradores dirigidos a la plataforma Windows. Una gran parte de esta actividad fue alimentada por una variante del malware-as-a-service Lumma Stealer.
• Muchos troyanos bancarios para Android contienen ahora funciones de robo de criptomonedas junto con las tradicionales, hasta el punto de que ESET incorporó ambos tipos de amenazas en la categoría «Amenazas financieras para Android». Este tipo de amenazas aumentó un 20% en total en el segundo semestre de 2024.

ESET Threat Report del primer semestre de 2024 también reveló …

• Novedoso malware GoldPickaxe dirigido a propietarios de billeteras de criptomonedas y clientes de servicios financieros del sudeste asiático. Este sofisticado troyano es capaz de robar datos biométricos faciales y utilizarlos para producir vídeos falsos de las víctimas, con el fin de eludir los controles de autenticación.
• La evolución de una red de bots de larga duración (Ebury) para robar carteras de criptomonedas alojadas en servidores objetivo. Para ello, lleva a cabo ataques de intermediario, redirigiendo el tráfico de red a un sistema bajo el control de los actores de la amenaza para que puedan capturar credenciales SSH y ejecutar secuencias de comandos para extraer los datos pertinentes de los monederos de criptomonedas.
• Un repunte de la actividad se centró en el infostealer Vidar, diseñado para recopilar las credenciales almacenadas por los navegadores y los datos de las criptocarteras. Se distribuye mediante un instalador malicioso a través de anuncios de Facebook, grupos de Telegram y foros de la web oscura.
• Ataque a jugadores a través de malware de robo de criptomonedas e información oculto en juegos crackeados y herramientas de engaño ofrecidas en servidores Discord y sitios de torrents. Entre ellas se incluyen Red Line Stealer y Lumma Stealer. Las detecciones de Lumma, centrado en las criptocarteras, disminuyeron en este periodo, pero ESET descubrió una nueva variante, Win/Spy.Agent.QLD, que va en aumento.
• El phishing como medio para acceder a criptoactivos, engañando a los usuarios para que entreguen sus datos de acceso. Por ejemplo, los sitios de phishing relacionados con criptomonedas representaron el 8% de todos los observados por ESET en el primer semestre de 2024. Esto lo sitúa entre las cinco categorías más importantes del periodo.

“No sólo hay que tener cuidado con el phishing y el malware cuando se trata del robo de criptomonedas. Como se desprende de las cifras del FBI, los estafadores han diseñado una serie de engaños con la intención de despojar a los usuarios de su moneda virtual. Es importante conocer los riesgos para tomar las medidas de protección y cuidados necesarios”, apunta Gutiérrez Amaya de ESET Latinoamérica.

Este panorama obliga a mantener las criptomonedas protegidas, e ESET comparte varias medidas que se pueden tomar para mitigar la amenaza del phishing, el malware de robo de información/cripto, y las estafas entre otras …

• No poner todos los fondos en una sola criptocartera. Distribuir el riesgo y considerar la posibilidad de poner al menos la mayor parte de los fondos en carteras frías (hardware) que no están conectadas a Internet y, por lo tanto, están mejor aisladas de las amenazas digitales. Elegir cuidadosamente los proveedores de monederos basándose en las reseñas y asegurarse de que al mantener las billeteras conectadas a Internet (también conocidas como monederos calientes) estén protegidas por MFA, así como los monederos fríos bajo llave.
• Activar la autenticación de doble factor (2FA) para cualquier aplicación criptográfica que se posea, mitigando el riesgo de que los phishers obtengan las contraseñas.
• Evitar utilizar redes Wi-Fi públicas cuando se esté fuera del hogar y, por supuesto, no acceder a las cuentas criptográficas mientras se utilizan las mismas.
• Mantener siempre actualizados los dispositivos y portátiles/PC con parches y software de seguridad, para mitigar el impacto de los ladrones de información/criptomonedas.
• Utilizar una VPN de un proveedor de confianza para contar con una capa adicional de seguridad que proteja del phishing, el malware y otras amenazas.
• Descargar software únicamente de fuentes fiables y sitios web oficiales, comprobando antes las opiniones de los usuarios y las calificaciones de los desarrolladores.
• Minimizar la exposición al riesgo limitando la cantidad de software que descarga. Para ello, eliminar periódicamente las extensiones y el software que no se utilice.
• Comprobar regularmente cualquier posible actividad inusual en las cuentas de criptomonedas.
• Estar alerta ante las estafas. Eso significa mensajes de phishing, oportunidades de inversión que parecen demasiado buenas para ser ciertas y encuentros románticos con personas que se niegan a reunirse de manera presencial o a hacer una videollamada.

Coordenadas de contacto con ESET: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Puro Vinotinto

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos