En los últimos días fueron detectados dos casos en los que suplantaron a la imagen de la marca Spotify, y donde los ciberdelincuentes aprovecharon sitios comprometidos de pymes de la región para alojar páginas que simulan ser de este servicio de streaming dentro de un dominio legítimo. De esta forma, confunden a los usuarios al combinar la utilización de una marca conocida con un dominio en el que confían. La página de phishing queda en un entorno de dominios válidos que aumenta la sensación de seguridad. Según ESET, esto hace más probable que una persona caiga en el engaño si no se verifica cuidadosamente el dominio completo.

“Para las pymes, esta estafa revela un problema estructural ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala. El impacto incluso puede ir más allá del hackeo inicial: una empresa comprometida puede perder la confianza de clientes y socios, ser bloqueada por navegadores o buscadores y quedar atrapada en un ciclo de reinfecciones si no aborda el problema desde la raíz”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Desde el equipo de investigación de ESET analizan el paso a paso de este engaño y destacan la importancia de que aprendamos, de educarnos, de comprender la importancia preventiva de la ciberseguridad

1. Los ciberatacantes explotan vulnerabilidades (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio web real.
2. Una vez dentro del sitio comprometido, alojan una copia falsa del servicio que desean suplantar, que visualmente es idéntica a la original.
3. Luego, el enlace a dicha página falsa puede ser distribuido a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos.
4. Cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente al ciberatacante.

“La efectividad de la estafa está basada en cuatro puntos clave: El dominio comprometido es legítimo, y así logran eludir filtros de seguridad básicos. La marca suplantada es conocida y confiable. Lo que hace que muchas personas solo verifican el candado HTTPS sin prestar la debida atención al dominio completo. Y, por último, los señuelos suelen ser situaciones muy comunes, como renovación de cuenta, problemas de pago o verificación de seguridad”, advierte Lopez.

A continuación dos casos reales de páginas comprometidas de pymes en la región

Centro odontológico de Chile: Un centro especializado en odontología de la Quinta Región de Chile vio comprometido su sitio web, el cual fue aprovechado por los cibercriminales para alojar sitios falsos que simulan ser Spotify para robar información financiera y datos de acceso de sus víctimas. Los cibercriminales logran imitar la identidad visual de Spotify (alojada en la web del centro odontológico), para que las víctimas crean que realmente están ingresando en el sitio legítimo. Allí, se solicitan las credenciales de acceso.

En el siguiente paso, buscan que la víctima ingrese sus datos bancarios por la supuesta necesidad de actualizar el método de pago.

Una vez que la víctima ingresa sus datos bancarios, la página queda en espera, con la promesa de procesar la solicitud. Lo cierto es que esa información viajó directamente a los servidores de los cibercriminales.

Empresa de neumáticos de Argentina: Otro ejemplo de esta práctica maliciosa involucra a la página web de una empresa argentina que vende neumáticos. En este caso, el sitio falso busca obtener las credenciales de acceso a Spotify de las víctimas.

“Estas campañas generan un escenario de doble víctima: el usuario engañado y la pyme cuya web fue comprometida. Por ello, las consecuencias pueden ser muy peligrosas para los usuarios, y para las pequeñas y medianas empresas.”, destaca la investigadora de ESET Latinoamérica.

Algunas de las consecuencias para los usuarios

• Robo y reutilización de credenciales: Las credenciales robadas pueden venderse o reutilizarse en otros servicios, más si el usuario repite contraseñas en diferentes plataformas.
• Fraude financiero: Con los datos de las tarjetas en su poder, los ciberatacantes pueden realizar compras, suscripciones no autorizadas o revender la información en mercados clandestinos.
• Pérdida del control de cuentas: Una cuenta comprometida puede ser usada para enviar spam, cometer estafas a contactos o acceder a la información personal almacenada.
• Filtración de datos personales: La exposición de información como nombre, correo electrónico, hábitos y otra información asociada a la cuenta puede facilitar ataques dirigidos posteriores.

Para identificar esta estafa y reducir el riesgo de ser víctima, el equipo de investigadores y especialistas de ESET comparte algunos puntos clave a tener en cuenta. El primer paso sería verificar siempre el dominio completo antes de ingresar datos personales o financieros, además de desconfiar de cualquier enlace que llegue de manera inesperada por mail o mensajes. También como herramientas extras, se recomienda utilizar un gestor de contraseñas, que no se autocomplete en dominios falsos y activar doble factor de autenticación siempre que sea posible.

Este tipo de ataques asimismo produce consecuencias indeseables para las pymes

• Daño a su reputación: El sitio pasa a ser asociado con fraude o estafas, lo que puede impactar directamente en la confianza de sus clientes y socios comerciales.
• Bloqueo por navegadores y motores de búsqueda: Un dominio comprometido puede ser marcado como peligroso, lo que afecta su posicionamiento SEO y la llegada de tráfico legítimo.
• Costos de remediación: Se generan gastos de dinero asociados a limpiar el sitio, investigar el incidente, restaurar backups e implementar medidas de seguridad.
• Riesgo legal y regulatorio: La exposición de datos personales o el incumplir medidas de seguridad puede derivar en sanciones o responsabilidades legales.
• Reincidencia del ataque: En caso de que no se corrija la vulnerabilidad inicial, el sitio puede volver a ser comprometido y reutilizado por otros actores maliciosos.

De manera que es conveniente y necesario contar con soluciones de protección y resguardo. Para las pymes y la protección de sus sitios, desde ESET informan que existen además diversas buenas prácticas como mantener CMS, plugins y servidores actualizados. Se aconseja utilizar siempre contraseñas únicas y el doble factor de autenticación para accesos administrativos así como implementar soluciones de seguridad web y monitoreo de integridad. Finalmente es fundamental realizar auditorías periódicas del sitio.

“Este tipo de amenazas pone en evidencia un problema estructural: las pequeñas y medianas empresas no siempre cuentan con los recursos o la madurez en ciberseguridad necesarios para protegerse. Cuando una pyme no protege su sitio web, puede convertirse (sin saberlo) en una parte clave de una cadena de fraude que afecta a cientos de usuarios. Frente a este escenario, la prevención requiere un enfoque compartido: los usuarios deben adoptar hábitos básicos de verificación antes de ingresar datos sensibles, mientras que las pymes necesitan asumir que la seguridad de su sitio web es un componente crítico de su reputación y de la confianza digital”, concluye Martina Lopez de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

“Hay muchas razones por las que puedes tener un gran número de cuentas olvidadas e inactivas. Lo más probable es que te bombardeen a diario con ofertas especiales y nuevos servicios digitales. A veces, la única forma de comprobarlos es registrarse y crear una cuenta nueva. Pero somos humanos: nos olvidamos, nuestros intereses cambian con el tiempo y a veces no recordamos los inicios de sesión y seguimos adelante. A menudo es más difícil eliminar una cuenta que dejarla inactiva. Sin embargo, eso puede ser un error y representar un peligro para nuestra información”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según Google, las cuentas que llevan mucho tiempo inactivas tienen más probabilidades de verse comprometidas y que se utilicen sus credenciales si fueron filtradas en alguna de las brechas de información históricas. La empresa tecnológica también afirma que «las cuentas abandonadas tienen al menos 10 veces menos probabilidades que las activas de tener configurada la verificación en dos pasos».

Las cuentas “perdidas” son atractivas para los cibercriminales, que cada vez están más centrados en su apropiación (ATO). Utilizan diversas técnicas para su robo: Malware Infostealer, diseñado para robar los datos de acceso, según un informe, el año pasado se robaron 3.200 millones de credenciales, la mayoría (75%) precisamente a través de infostealers. Las filtraciones de datos a gran escala, en las que los hackers recopilan bases de datos enteras de contraseñas y nombres de usuario de terceras empresas. El credential stuffing, en el que los hackers introducen las credenciales filtradas en software automatizado, para intentar desbloquear cuentas en las que se ha reutilizado la misma contraseña. Por último, las técnicas de fuerza bruta, en las que utilizan el método de ensayo y error para adivinar sus contraseñas.

Cuáles serían las consecuencias de que un atacante acceda a una cuenta inactiva personal

• Utilizarla para enviar spam y estafas a los contactos (por ejemplo, si se trata de una cuenta inactiva de correo electrónico o de redes sociales), o incluso lanzar ataques de phishing convincentes en nombre del titular. Estos ataques pueden tratar de obtener información confidencial de los contactos o engañarlos para que instalen malware.
• Buscar información personal o datos guardados de tarjetas que pueden utilizar para cometer un fraude de identidad o para enviar más correos electrónicos de phishing haciéndose pasar por el proveedor de servicios de la cuenta con el fin de obtener más información. Las tarjetas guardadas pueden haber caducado, pero las que no lo hayan hecho podrían utilizarse para realizar compras en tu nombre.
• Vender la cuenta en la dark web, sobre todo si tienen algún valor adicional, como una cuenta de fidelización o de millas aéreas.
• Vaciar la cuenta de fondos (por ejemplo, si se trata de una criptowallet o una cuenta bancaria). En el Reino Unido, se estima que podría haber 82.000 millones de libras esterlinas (109.000 millones de dólares) en cuentas bancarias, de sociedades de construcción, de pensiones y otras cuentas perdidas.

También, las cuentas inactivas de empresas son un objetivo atractivo, ya que podrían facilitar el acceso a datos y sistemas corporativos confidenciales. Podrían robar y vender estos datos o pedir un rescate por ellos. De hecho, la brecha de ransomware de Colonial Pipeline de 2021 comenzó a partir de una cuenta VPN inactiva que fue secuestrada y este incidente provocó una importante escasez de combustible en toda la costa este de Estados Unidos. Además, el ataque de ransomware en 2020 al distrito londinense de Hackney se originó en parte por una contraseña insegura en una cuenta inactiva conectada a los servidores del ayuntamiento.

Ser proactivo es lo mejor

Para mitigar los riesgos mencionados algunos proveedores de servicios, como Google, Microsoft y X, cierran automáticamente las cuentas inactivas al cabo de cierto tiempo para liberar recursos informáticos, reducir costos y mejorar la seguridad de los clientes. Sin embargo, cuando se trata de la seguridad digital, desde ESET recomiendan ser proactivo, tomar acciones y decisiones preventivas:

• Realizar auditorías periódicas y eliminar las cuentas inactivas: Una buena forma de encontrarlas es buscar en la bandeja de entrada del correo electrónico palabras clave como «Bienvenido», «Verificar cuenta», «Prueba gratuita», «Gracias por registrarte», «Valida tu cuenta», etc.
• Buscar en el gestor de contraseñas o en la lista de contraseñas guardadas del navegador y eliminar las que estén vinculadas a cuentas inactivas, o actualizar la contraseña si se ha detectado que es insegura o se ha visto afectada por una filtración de datos.
• Comprobar las políticas de eliminación del proveedor de la cuenta para asegurarse de que toda la información personal y financiera se eliminará definitivamente si se cierra la cuenta.
• Pensar dos veces antes de abrir una cuenta.

Para aquellas cuentas que se conservan, aparte de actualizar la contraseña a una credencial fuerte y única, y almacenarla en un gestor de contraseñas, desde ESET aconsejan considerar:

• Activar la autenticación de dos factores (2FA), de modo que aunque una persona consiga la contraseña, no podrá poner en peligro la cuenta.
• No conectarse nunca a cuentas sensibles en redes wifi-públicas (al menos, sin utilizar una VPN), ya que los ciberdelincuentes podrían espiar la actividad y robar los datos de acceso.
• Tener cuidado con los mensajes de phishing que intentan engañar para que se les faciliten datos de acceso o descargar programas maliciosos (como los infostealers). Nunca hacer clic en enlaces de mensajes no solicitados y/o que intenten presionar para que se actúe rápido, por ejemplo, alegando que se debe dinero o que la cuenta se eliminará si no se toma alguna acción inmediata.

“Lo más probable es que la mayoría de nosotros tengamos docenas de cuentas inactivas esparcidas por Internet. Dedicar unos minutos al año a hacer limpieza puede hacer que tu vida digital sea un poco más segura”, concluye y subraya Gutiérrez Amaya de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros datos preventivos está igualmente disponible: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Este tipo de ataque necesita de dos clics para ser efectivo. Los actores maliciosos insertan un elemento dañino o malicioso entre el primer y segundo clic para así desencadenar acciones no deseadas por parte de la víctima. Cuando el usuario a ser estafado o dañado -la víctima- realiza el primer clic, se inserta otro elemento que se activa cuando se efectúa el segundo clic. Esto mediante la técnica llamada “iframe invisible”, en que superpone un elemento sobre el botón para que el usuario interactúe sin poder verlo, ni darse cuenta del cambio.

“Los actores maliciosos no descansan a la hora de buscar nuevas formas de atacar a sus víctimas y el doubleclickjacking es una clara muestra de ello. Un ejemplo de este ataque se podría dar en una página legítima que propone realizar algún tipo de test, y que al momento de hacer clic en “Ver resultado” del mismo, el sitio cambia de manera instantánea la interfaz, sin que lo notes, gracias a la técnica de “iframe invisible”. Allí, y sin saberlo, debajo del cursor puede haber, por ejemplo, un botón oculto de “Confirmar” en una página de inicio de sesión de una red social, entonces al hacer clic nuevamente creyendo que se continua en el test, en realidad se estará confirmando el acceso de un atacante a tu cuenta.”, comenta e informe Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

En el presente artículo se analiza y advierte sobre la nueva forma de atacar, cuyo objetivo es robar datos; puede llevarse a cabo incluso al utilizar páginas legítimas

Este tipo de ataques puede realizarse perfectamente en sitios legítimos, sin la necesidad de llevar a la víctima a un sitio web falso. Así, el atacante logra evitar las defensas que existen actualmente contra el clickjacking, y sus acciones con fines maliciosos ocurren en páginas legítimas, pero que no están protegidas debidamente.

Diferencias entre doubleclickjacking y clickjacking

El clickjacking es una técnica en la que el ciberatacante superpone una página web legítima con elementos invisibles, pueden ser botones y/o enlaces, para engañar al usuario y que haga clic en algo sin darse cuenta. Este ataque busca que el usuario haga clic en algo puntual sin quererlo y su objetivo es que la víctima crea que está tocando un botón inofensivo, pero en realidad activa otro asunto o cosa escondida debajo. Mediante el clickjacking, por ejemplo, un usuario cree que está dando un “Me gusta” a una foto, pero podría estar realizando una transferencia de dinero.  Al tratarse de una técnica más “sencilla”, las medidas de seguridad actuales suelen detectar y prevenir eficazmente los intentos de clickjacking.

Por su parte, el doubleclickjacking se vale de dos clics para consumar el ataque: el primero prepara la trampa, mientras que el segundo la hace efectiva. Y debido a que es una técnica más compleja, puede eludir algunas de las protecciones que los navegadores implementan en contra ataques de un solo clic.

Las consecuencias de un ataque de doubleclickjacking pueden derivar en el cambio de configuraciones sensibles de la seguridad de las cuentas, obtener permisos API, y en casos más extremos, obtener autorizaciones de pago y/o transferencias, o comprar cosas a nombre del usuario sin que lo sepa.

Por un lado, el actor malicioso puede engañar para que se apruebe un inicio de sesión en alguna red social y correo electrónico. Esto puede derivar en que se pierda acceso a esa cuenta, ya que pueden cambiar la contraseña, o que la utilicen para enviar mensajes a los contactos para obtener dinero o distribuir malware.

En el caso de que el ataque apunte a plataformas de pago, pueden autorizar compras en línea sin el consentimiento del titular como también transferencias bancarias.

Adicionalmente, el ciberatacante también podría instalar malware en el dispositivo, activar permisos para que un programa le brinde acceso (por ejemplo, a la cámara, el micrófono o la ubicación) y hasta desplegar ransomware.

Medidas preventivas recomendadas desde ESET

• Mantener actualizados tanto los equipos como los navegadores. El doubleclickjacking es una técnica relativamente nueva que se aprovecha de vulnerabilidades en los sitios, por lo cual es posible que futuras actualizaciones corrijan estos fallos, evitando así que puedan ser explotados por los cibercriminales.
• Estar alerta ante cualquier acción extraña que pueda suceder en un sitio web: botones que soliciten doble clic, captchas o ventanas emergentes. Y en consecuencia, prestar mucha atención a los mensajes de confirmación, y evitar dar clics inmediatos en las ventanas emergentes que se acaban de abrir.

“En resumen, es importante mantener los equipos y softwares actualizados, prestar atención a cualquier comportamiento llamativo de un sitio web, y estar al tanto de las nuevas técnicas y metodologías de ataque que implementan los cibercriminales.”, concluye Gutiérrez Amaya de ESET Latinoamérica.

Coordenadas de contacto con ESET en Venezuela, empresa especialista en seguridad digital e informática, fuente de la presente información y recomendaciones: https://www.eset.com/ve/.

También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Puro Vinotinto

Con información e imagen referencial suministrada por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Los ensayos se realizarán con menores de 12 años y los datos recolectados serán analizados para evitar los efectos adversos y lesiones en la cabeza a corto y largo plazo.

¿Qué se quiere hacer en la FIFA?

Distintos especialistas médicos y técnicos llegaron a la conclusión de que el golpe de cabeza de manera reiterada en el fútbol puede significar “efectos adversos en la salud y el bienestar de los jugadores a corto y largo plazo, en particular posibles lesiones en la cabeza”.

El último informe respecto a ensayos explica que probables complicaciones puede ser resultado de “cabecear el balón de manera intencionada, recibir un balonazo en la cabeza de manera accidental, o intentar cabecear el balón y que la cabeza impacte el cuerpo de otro jugador, el suelo o un poste”.

¿Se prohibirá el cabezazo en el fútbol?

Las autoridades del fútbol inglés, de los países nórdicos y de algunas regiones de Estados Unidos ya prohibieron los cabezazos en los entrenamientos para los menores de 12 años, y el paso siguiente es restringirlos en partidos de competencia para estas categorías, precisó el IFAB.

De esta manera, el protocolo de la prohibición de cabecear el balón de manera intencional establece la sanción de un tiro libre indirecto cuando se produce esta acción durante el juego, en el lugar en el que se ejecutó. En el caso de que sea dentro del área, el equipo atacante podrá reanudar el juego desde el punto penal.

La información surgida a partir de estos ensayos será recopilada por cada competición para que sea enviada al IFAB, que a partir de ese material buscará obtener las conclusiones que puedan ir consolidando una decisión más clara sobre un tema tan sensible.

La idea es que nadie pierda la cabeza por el fútbol.

Le puede interesar: Nahuel Ferraresi jugará en el Sao Paulo hasta 2023

PV

Con información de Redgol