“Antes de hablar con tus hijos sobre cómo proteger sus datos, empieza por explicarles por qué deberían hacerlo. Puedes usar una situación real que ya entiendan. Por ejemplo, antes de irse a la escuela, cierran la puerta principal con llave. Así, mantienen seguros sus juguetes, dispositivos y otras cosas importantes. Si alguien les roba la ropa y sus pertenencias, esa persona podría incluso hacerse pasar por ellos. Eso es esencialmente lo que significa el robo de identidad en el mundo online”, comparten desde el Laboratorio de Investigación en Seguridad Informática de ESET Latinoamérica.

Las escuelas, las plataformas de juegos y las aplicaciones de entretenimiento también se han convertido en blancos frecuentes de ciberataques. Cuando estos sistemas sufren una vulneración, grandes cantidades de información infantil pueden quedar expuestas en un instante. Una vez que esos datos se divulgan, también pueden circular en línea durante años. ESET recomienda asegurarse -confirmar- que las cuentas estén bien protegidas en todas estas plataformas ¿De qué manera?

“Los niños suelen asumir que sus datos no son valiosos, simplemente porque son pequeños. Como padre, es útil explicarles con delicadeza que la información personal tiene valor en el mundo digital, sin importar la edad de quien la posee. Los delincuentes pueden usar indebidamente la identidad de un niño por diversas razones. Algunos buscan datos personales para crear identidades falsas o sintéticas que permiten a los delincuentes abrir cuentas o solicitar servicios bajo el nombre de otra persona. Otros pueden apropiarse de las cuentas de redes sociales o juegos de un menor para hacerse pasar por él, contactar a sus amigos o difundir contenido dañino”, haciendo daño a terceras personas; se apunta en este análisis del Laboratorio de ESET.

Señales de alerta que podrían indicar que la cuenta de un menor podría estar comprometida

• De repente, la contraseña no funciona y el niño o niña insisten en que no la cambiaron.
• Dispositivos o ubicaciones desconocidas en el historial de inicio de sesión de la cuenta.
• Mensajes enviados desde el perfil del niño que no recuerda haber escrito.
• Faltan elementos del juego, aspectos, monedas o progreso sin explicación.
• Nuevas aplicaciones, extensiones o pestañas del navegador que no instalaron.
• Correos electrónicos o notificaciones inesperadas sobre cambios de cuenta, restablecimientos o nuevos inicios de sesión.
• Compras o suscripciones que no fueron autorizadas.
• Amigos que informan sobre comportamientos extraños, mensajes o solicitudes provenientes de la cuenta del niño.

Qué medidas de seguridad debemos implementar, según ESET

• Contraseñas largas y únicas para cada cuenta importante.
• Autenticación multifactor siempre que sea posible.
• Protección biométrica (desbloqueo por huella dactilar o rostro) más un PIN seguro.
• Revisión de la configuración de privacidad en todas las aplicaciones, juegos y plataformas sociales.
• Limitar el uso compartido de la ubicación y desactivar funciones como mapas en vivo o geoetiquetado.
• Monitoreo regular de todas las cuentas: verificar el historial de inicio de sesión, el acceso al dispositivo y las alertas de seguridad.
• Dispositivos y aplicaciones actualizadas periódicamente para corregir vulnerabilidades de seguridad.
• Administrador de contraseñas familiares para almacenar credenciales de forma segura.
• Comunicación abierta para que los menores se sientan cómodos al informar cualquier cosa inusual.
• Contar con una solución de seguridad instalada como ESET Home Security que incluye protección segura del navegador, extensiones centradas en la privacidad y, en el plan Ultimate, monitoreo proactivo contra el robo de identidad.

Para conocer más sobre el cuidado de los niños en Internet, se recomienda visitar Digipadres, una iniciativa impulsada por SaferKidsOnline de ESET, que busca acompañar a madres, padres y docentes con el fin de generar conciencia acerca de riesgos y amenazas en el mundo digital. Se brindan materiales para el proceso de aprendizaje, diálogo y supervisión con el objetivo de facilitar los conocimientos necesarios para ayudar a lo más pequeños en el uso de las nuevas tecnologías. Para más información sobre los peligros que enfrentan los niños en línea, visite: https://digipadres.com/

El sitio web de ESET Venezuela es: www.eset.com/ve/, también se recomiendan las redes sociales: Instagram @esetla y Facebook ESET.

Con información suministrada por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram

Un equipo de especialistas en ciberseguridad de ESET revela los 5 errores claves que se podrían estar cometiendo ahora mismo en la aplicación y, sobre todo, cómo blindar una cuenta de WhatsApp en pocos minutos para no ser víctima.

“El factor humano sigue siendo el eslabón más débil de esta cadena en un ataque. El gran problema es que la mayoría de las intrusiones no se producen por complejos fallos tecnológicos de la aplicación, sino por simples errores de seguridad cometidos por los propios usuarios”, comenta David Gonzalez, Investigador de Seguridad Informática de ESET Latinoamérica.

Aunque WhatsApp cuenta con cifrado de extremo a extremo, los estafadores, según ESET, modificaron su objetivo: en lugar de intentar “romper” el código de la aplicación, ahora se centran en llamar la atención del usuario, para que sea él mismo quien comparta información o realice acciones que llevan al robo de su cuenta.

De manera que ESET repasa los 5 errores más comunes a corregir para evitar convertirse en una próxima víctima:

1. No activar la confirmación en dos pasos. Este es, sin duda, el error más común y el que más daño causa, y no solo en WhatsApp, si no que muchas de las estafas actuales solo tienen éxito porque la víctima no cuenta con una capa extra de protección.

“Muchos usuarios creen que el código de 6 dígitos enviado por SMS es el único candado de su cuenta. El problema es que los delincuentes utilizan técnicas de ingeniería social para convencerte de que introduzcas este código (haciéndose pasar por el servicio técnico, un hotel o un sitio de ventas). Si entregas el código SMS y no tienes activada la autenticación en dos pasos, el estafador se hace con el control total de tu aplicación en cuestión de segundos. Una vez dentro de tu cuenta, el atacante activa su PIN, dándole tiempo para pedir dinero a tus contactos, simulando una emergencia financiera, una de las estafas más replicadas hoy en día”, analiza David Gonzalez.

Cómo blindar la cuenta ahora mismo

• Ir a Ajustes en WhatsApp.
• Pulsar en Cuenta > Confirmación en dos pasos .
• Hacer clic en Activar y crear una contraseña numérica de 6 dígitos.
• Consejo de oro: Añade un correo electrónico de recuperación en caso de olvidar el PIN.

2. Hacer clic en enlaces a “ofertas imperdibles”, promociones o acciones instantáneas. Creer en mensajes que ofrecen una ventaja económica inmediata o un premio inesperado. La estafa suele llegar por WhatsApp con un enlace acortado y un texto pegadizo.

Al hacer clic en estos enlaces, se accede a una página que imita a la perfección el sitio web oficial de la empresa que simulan ser. Allí, se introducen datos personales, contraseñas bancarias e incluso datos de tarjeta de pago. En otros casos, el simple clic puede descargar malware que vigila lo que se teclea en el móvil, incluidas las contraseñas de las aplicaciones financieras.

Algunas señales o puntos para detectar una estafa de phishing en proceso

• Promesas exageradas: El dinero fácil y los premios gratis sin sorteo son las mayores señales de alarma. Promociones absurdas que están muy por debajo del valor real del producto.
• Errores ortográficos: Los estafadores suelen cometer errores en portugués (si fuera el idioma que usan; ocurre en Brasil) o utilizar un lenguaje demasiado informal.
• URLs extrañas: Debemos comprobar la dirección del sitio web. Si es algo como www.promocao-banco-xyz.net en lugar del sitio oficial .com.br , cierra la página inmediatamente.
• Peticiones de compartir: Si el sitio dice que sólo se gana el premio si se comparte el enlace con 10 contactos, se trata de una estafa piramidal digital.

Consejo de seguridad ESET: Nunca acceder a canales bancarios a través de enlaces enviados por mensaje. Abrir siempre la aplicación oficial del banco o teclear directamente la dirección en el navegador.

3. Dejar la foto de perfil a la vista de cualquiera: Este error facilita uno de los tipos de fraude más comunes. La suplantación de identidad o la estafa del número nuevo. A diferencia de la clonación, en este caso el delincuente no piratea la cuenta, sino que simplemente crea una nueva utilizando los datos públicos. Utilizando la foto y nombre, el estafador se pone en contacto con familiares diciendo que se ha cambiado de número porque el antiguo se ha roto o ha tenido algún problema. Aunque WhatsApp no permite actualmente capturar la foto de perfil mediante una impresión, el delincuente puede utilizar otro dispositivo o la versión de escritorio de la app para hacer una captura de pantalla y obtener la imagen. A partir de la conversación, crean sensación de urgencia y solicitan una transferencia inmediata para pagar una factura o a un proveedor.

Cómo configurar la privacidad

• Ir a Ajustes en WhatsApp.
• Hacer clic en Privacidad.
• Seleccionar Foto de perfil.
• Cambiarlas de “Todos” a “Mis contactos”.

Consejo de seguridad ESET: Siempre que un contacto conocido pida dinero para un número nuevo, hacer una videollamada o una llamada de audio para confirmar su identidad. Nunca realizar transferencias basándose únicamente en mensajes de texto y fotos de perfil.

4. No hacer copias de seguridad blindadas de las conversaciones en la nube: Muchas personas se centran en proteger la aplicación, pero olvidan la información que se almacena fuera de ella. WhatsApp realiza copias de seguridad automáticas en Google Drive (Android) o iCloud (iPhone). El error es que estas copias de seguridad no están protegidas por el mismo cifrado que la app.

“Si un delincuente consigue hackear tu correo electrónico o tu cuenta de Apple/Google, puede descargar el archivo de tu copia de seguridad en otro dispositivo. Tendrán acceso a todo tu historial: fotos de documentos, conversaciones íntimas, datos de trabajo y contraseñas que hayas anotado. es un robo de datos “por la puerta de atrás”.”, advierte el investigador de ESET.

Cómo blindarlo

• Ir a Ajustes > Conversaciones > Copia de seguridad de conversaciones.
• Activar “Copia de seguridad protegida por contraseña con cifrado de extremo a extremo”.
• Crear una contraseña única. Ahora ni Google ni Apple podrán leer los datos si son hackeados.

5. Mantener la vista previa de notificaciones en la pantalla bloqueada: Este es el error del “acceso físico”.

Un delincuente (o alguien malintencionado) puede intentar registrar tu WhatsApp en otro móvil. El código de verificación llega por SMS al dispositivo y si la vista previa está activa, el atacante puede leer el código de 6 dígitos sin necesidad de la huella dactilar o contraseña. En segundos, pueden robar la cuenta con sólo mirar la pantalla del móvil sentado en la mesa del restaurante o la oficina.

Cómo proteger las notificaciones

• Ve a los ajustes de tu móvil (Android o iOS) y luego a Notificaciones.
• Busca WhatsApp (y también la app Mensajes/SMS ).
• Cámbiala a “No mostrar notificaciones” o “Mostrar sólo al desbloquear”.
• De esta forma, el contenido del mensaje sólo aparecerá a tus ojos.

“La mayoría de las estafas de WhatsApp no se basan en tecnologías sofisticadas, sino en simples errores que cometemos con las prisas del día a día. Los delincuentes se aprovechan de nuestra curiosidad, urgencia emocional y, sobre todo, de la configuración de privacidad que dejamos “abierta” por defecto.”, concluye Gonzalez de ESET.

ESET invita a conocer más y profundizar sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener datos útilies preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram

Este análisis identifica a Perú, México, Argentina, Brasil y Colombia como los países con mayor actividad de malware en América Latina. Si bien cada territorio presenta características propias, también es posible identificar patrones comunes en las campañas de cibercrimen, como la presencia recurrente de ciertas familias de malware utilizadas en distintos países.

No obstante ser una apreciación tecnológica, es muy importante saber que el riesgo lo corremos todos

“Al analizar la telemetría de la región es posible observar que muchas amenazas se repiten en distintos países. Esto puede indicar cooperación entre grupos que operan en América Latina o que un mismo grupo está distribuyendo variantes específicas de malware en varios territorios”, comenta Daniel Cunha Barbosa, especialista en seguridad informática de ESET Latinoamérica.

En Perú, país que encabeza la lista, se registró un crecimiento gradual en las detecciones de amenazas y en algunos casos se convirtió en el punto inicial de campañas que luego se extendieron a otros países latinoamericanos. Muchos de los ataques están dirigidos a organismos gubernamentales y sectores críticos. Entre las amenazas más detectadas se encuentran Backdoor.Win32/Tofsee, Trojan.PDF/Phishing.D.Gen y Trojan.Win32/TrojanDownloader.Rugmi.AOS.

México ocupa el segundo lugar en el ranking de detecciones. Se trata de un objetivo significativo para los ciberdelincuentes, con una fuerte incidencia de phishing y ransomware impulsados por campañas de ingeniería social. Entre las principales detecciones se destacan Trojan.Win32/TrojanDownloader.Rugmi.AOS,Trojan.PDF/Phishing.A.Gen y Trojan.Win32/Spy.Banker.AEHQ.

Argentina se ubica en el tercer lugar, con un incremento sostenido en los ataques registrados. Los sectores más afectados incluyen el área de salud y el sector público. Entre las amenazas más detectadas se encuentran Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.Win32/Exploit.CVE-2012-0143.A y Trojan.HTML/Phishing.Agent.AUW.

Brasil aparece en cuarto lugar y, tal como se ha observado en análisis anteriores, el tipo de amenaza que más afecta al país es el troyano bancario. En este caso, las detecciones más frecuentes fueron Trojan.JS/Spy.Banker.KN,Trojan, Win32/TrojanDownloader.Rugmi.AOS y Trojan.HTML/Phishing.Agent.BGB.

Colombia completa el listado con un crecimiento acelerado en el volumen de ataques por organización, con especial énfasis en campañas de malware y la explotación de vulnerabilidades conocidas. Entre las amenazas más detectadas se encuentran Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.PDF/Phishing.D.Gen y Trojan.Win64/Kryptik.EDF.

El análisis también destaca la presencia recurrente de Rugmi en distintos países de la región. Este tipo de malware funciona como downloader, es decir, permite analizar la infraestructura del entorno comprometido antes de desplegar la carga maliciosa final.

“El uso de etapas previas a la infección permite a los atacantes analizar el entorno comprometido antes de continuar con el ataque. Este enfoque dificulta que los equipos de seguridad identifiquen rápidamente qué tipo de amenaza están enfrentando y complica el análisis del artefacto principal”, agrega Barbosa.

Otro aspecto relevante es la alta presencia de detecciones de phishing genérico, identificadas como Trojan.PDF/Phishing y Trojan.HTML/Phishing. Estas detecciones incluyen diferentes variantes, pero se consideran genéricas porque no es posible asociarlas directamente con amenazas más estructuradas.

Por último, el análisis también resalta la detección del exploit CVE-2012-0143 en Argentina, una amenaza que aprovecha un manejo inadecuado de la memoria en herramientas de la suite Office. A pesar de su antigüedad —más de catorce años—, continúa siendo efectiva para los ciberdelincuentes debido al número de detecciones observadas.

Desde ESET señalan que, aunque el panorama tecnológico de cada país es heterogéneo, las similitudes en los enfoques utilizados por los ciberdelincuentes sugieren que estrategias de protección similares pueden aplicarse de forma eficiente en distintos entornos.

¿Qué hacer? para protegernos

Entre las principales recomendaciones para reducir el riesgo de incidentes se encuentran mantener los sistemas actualizados, proteger todos los dispositivos dentro de la infraestructura, y aprovechar fuentes de inteligencia de amenazas externas que permitan fortalecer las capacidades de defensa de las organizaciones.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram

En este contexto, los especialistas de ESET advierten que muchas de estas amenazas se distribuyen a través de tiendas de aplicaciones no oficiales o mediante apps que imitan a servicios conocidos, aprovechando la popularidad de determinadas plataformas para engañar a los usuarios.

“Las aplicaciones falsas suelen aprovechar la confianza que los usuarios tienen en servicios populares para engañarlos y lograr que descarguen software malicioso. Por eso es importante prestar atención a ciertos detalles antes de instalar una app, como quién es el desarrollador, la cantidad de descargas o los permisos que solicita”, explica Mario Micucci, Especialista de Seguridad Informática de ESET Latinoamérica.

Para ayudar a identificar este tipo de engaños, ESET comparte siete recomendaciones para detectar aplicaciones móviles falsas antes de instalarlas

1. Revisar la cantidad de descargas

Si se trata de una aplicación muy conocida que debería tener miles o millones de descargas, pero aparece con pocos usuarios o no figura entre las más populares, podría tratarse de una aplicación impostora.

2. Leer las reseñas de otros usuarios

Las valoraciones pueden ofrecer pistas importantes. Una gran cantidad de comentarios negativos o reseñas demasiado similares entre sí pueden indicar la presencia de valoraciones falsas o generadas por bots.

3. Analizar el diseño y el logo

Las apps maliciosas suelen imitar el diseño de aplicaciones legítimas, aunque a menudo presentan pequeñas diferencias en el logo, el color o los elementos visuales. Ante la duda, es recomendable comparar el diseño con el sitio oficial del proveedor.

4. Verificar que realmente exista una app oficial

No todos los servicios ofrecen aplicaciones móviles. Antes de descargar una app asociada a un servicio popular, conviene revisar el sitio oficial de la empresa para comprobar si realmente existe una aplicación y acceder desde allí a los enlaces oficiales de descarga.

5. Revisar el nombre y la descripción

Las aplicaciones legítimas suelen cuidar la calidad de su presentación. Errores de ortografía, descripciones poco claras o inconsistencias en la información pueden ser señales de alerta.

6. Investigar al desarrollador

Es recomendable verificar quién está detrás de la aplicación. Los desarrolladores legítimos suelen tener un historial de otras apps publicadas y una reputación reconocible. En cambio, un desarrollador desconocido o sin historial debe generar sospechas.

7. Revisar los permisos solicitados

Si una aplicación solicita permisos que no parecen necesarios para su funcionamiento —por ejemplo, acceso a funciones del sistema que no tienen relación con su objetivo— podría tratarse de una aplicación maliciosa.

Señales de que una app instalada puede ser maliciosa

Incluso después de instalar una aplicación, existen algunos indicadores que pueden alertar sobre un posible riesgo. Entre ellos, que la app no funcione como debería, que presente comportamientos extraños como abrirse o cerrarse sola, o que aparezcan cargos inesperados en la tarjeta de crédito o en la factura del teléfono.

Otros síntomas pueden incluir el envío de mensajes o llamadas desconocidas desde el dispositivo, un consumo inusual de batería o de datos móviles, o la aparición de publicidad invasiva y aplicaciones instaladas sin autorización del usuario.

Qué hacer ante una aplicación sospechosa

Si un usuario sospecha que ha descargado una aplicación maliciosa, lo recomendable es eliminarla inmediatamente y utilizar una solución de seguridad que permita analizar el dispositivo y detectar posibles amenazas.

Para reducir los riesgos, ESET recomienda descargar aplicaciones únicamente desde tiendas oficiales, evitar instalar apps desde enlaces recibidos por correo electrónico o redes sociales, mantener el sistema operativo actualizado y utilizar autenticación de doble factor en las cuentas que lo permitan.

Mantenernos atentos y verificar, aprender para estar actualizados, disponer de buenas herramientas para analizar y protegernos ante ataques, más que un deber es la actitud inteligente que nos evitará problemas, dolores de cabeza por así decirlo, proteger nuestros equipos y valores, privacidad personal así como datos clave.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en  X/Twitter  e  Instagram 

A continuación se describen e informan resumidamente los motivos por los cuales se puede acabar recibiendo una avalancha repentina de este tipo de mensajes

1. Filtraciones y fuga de datos: En la economía del cibercrimen participantes individuales suelen desempeñar un papel especializado. Algunos pueden centrarse en vulnerar organizaciones para robar grandes volúmenes de datos, como direcciones de correo electrónico e información de identificación personal (PII). Luego, publican o venden esos datos en foros/mercados de cibercrimen, donde otros los compran para utilizarlos como phishing. Pueden suplantar la identidad de una empresa que acaba de sufrir la violación, citando su PII y la información de su cuenta para dar mayor credibilidad a su engaño. El objetivo final suele ser robar datos de inicio de sesión o información financiera, o la instalación de malware.

“Un aumento repentino del spam probablemente significa que se acaba de publicar un lote de direcciones de correo electrónico en el mercado clandestino de la ciberdelincuencia. También es posible que una empresa haya filtrado accidentalmente la información al dominio público, lo que permite a los delincuentes sacar provecho de ella”, comenta e informa Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

2. Actualizaciones de kits de estafa: Debido a los kits de estafa/phishing preconfigurados, los estafadores tienen gran parte del trabajo hecho, desde la suplantación de marcas hasta la ofuscación, los señuelos de phishing e incluso la omisión de la autenticación multifactorial. Quienes desarrollan estos kits buscan añadir nuevas funciones para burlar a los proveedores de seguridad y de correo electrónico. Si logran dar con una solución que eluda los filtros de spam, es de esperar que los mensajes no deseados comiencen a invadir los buzones.

3. Spam selectivo: Los estafadores centran sus esfuerzos en grupos concretos, como los empleados de una empresa específica o los usuarios de un servicio concreto (por ejemplo, Netflix). Esto puede deberse a que obtuvieron los datos de una filtración en una de estas empresas o a que han recopilado datos de sitios web específicos.

4. Eventos estacionales: Las campañas de phishing suelen aprovechar los acontecimientos de actualidad para mejorar sus tasas de éxito. Son habituales casos como la muerte de famosos y emergencias graves y crisis sanitarias, como fue el COVID-19. Pero también se pueden producir picos estacionales de spam justo antes de Navidad, por ejemplo.

5. La ayuda de la IA: Las herramientas de IA permiten a los estafadores ampliar sus campañas de phishing con mensajes muy convincentes diseñados para eludir los filtros de spam. La IA también puede ayudar en el reconocimiento, para encontrar una dirección de correo electrónico en fuentes de acceso público que, de otro modo, podrían ser difíciles de descubrir.

6. Rastreo de sitios web públicos: Los spammers no solo obtienen sus listas de correo electrónico de vulneraciones de datos a gran escala. Algunos consiguen estos datos utilizando bots para rastrear sitios web públicos, como las plataformas de redes sociales. El tráfico de bots maliciosos representa el 37 % de todo el tráfico de Internet. Si algún dato es de dominio público, es posible que hayan sido capturados en una campaña de este tipo.

7. Hacer clic en un mensaje de spam: Los estafadores a menudo pueden acabar con grandes listas de correo electrónico que luego tienen que reducir para mejorar el retorno de la inversión de las campañas. Por lo tanto, si se hace clic en un mensaje de spam o, lo que es peor, se responde, el remitente sabrá que está «activo», lo que podría dar lugar a una nueva avalancha de mensajes.

8. Bombardeo de correos electrónicos: Si una bandeja de entrada se llena de mensajes no deseados, puede tratarse de una táctica de distracción diseñada para ocultar un mensaje importante, como una alerta de seguridad del banco o una notificación de una compra que no se ha realizado. El estafador inscribirá la dirección en cientos de boletines informativos o sitios web para inundar la bandeja de entrada y ocultar ese mensaje crucial.

9. Compras en línea: Durante los cumpleaños o antes de las fiestas, es posible que realice un mayor número de compras online. Algunos comerciantes pueden intentar sacar provecho de este periodo ocultando las suscripciones a las listas de marketing. Si se olvida de desmarcarlas, es posible que se reciban una avalancha de spam molesto de las marcas en las que se ha comprado.

10. Restablece la configuración: Si se cuenta con una herramienta de seguridad de correo electrónico que funciona utilizando inteligencia artificial para aprender cómo es la actividad sospechosa. Esta puede empezar a jugar con la configuración y restablecerla, lo que puede llegar a borrar todo ese comportamiento aprendido.

ESET comparte algunos útiles consejos preventivos para mantener las estafas potencialmente peligrosas fuera de la bandeja de entrada

• Mantener las cuentas de las redes sociales en privado para evitar que los robots de rastreo web recopilen la dirección de correo electrónico.
• Tomar conciencia del phishing: no hacer clic ni responder a correos electrónicos no solicitados. Verificar con el supuesto remitente buscando sus datos de contacto por separado (es decir, no utilizar los que aparecen en el correo electrónico).
• Emplee “ocultar mi correo electrónico” o servicios de enmascaramiento similares cuando se registre en nuevos servicios, para reducir el riesgo asociado a las filtraciones de datos.
• Algunos productos y servicios de protección de la identidad, como HaveIBeenPwned, pueden rastrear la web oscura en busca de datos para ver si ya han sido vulnerados y/o alertar (cuando aparezca alguna información personal en la web oscura). Esto avisará con antelación de posibles oleadas de spam.
• El software de seguridad de un proveedor de confianza incluye funciones antiphishing y antispam que pueden minimizar el volumen de comunicaciones no deseadas en la bandeja de entrada. Los mejores proveedores ofrecen protección multicapa contra las técnicas de phishing más sofisticadas, herramientas de inteligencia artificial y kits de estafa.
• Considerar la posibilidad de desmarcar las opciones de marketing al comprar para minimizar el volumen de spam “amistoso” en la bandeja de entrada.

Además de las buenas prácticas, es importante destacar y estar en cuenta sobre qué NO debe hacerse (ESET resalta lo siguiente)

• Evitar hacer clic en “darse de baja” o responder a un correo electrónico de spam, ya que esto verificará la dirección al remitente.
• No abrir archivos adjuntos a los correos electrónicos de phishing, ya que pueden contener programas maliciosos.
• Nunca entregar información personal o financiera y los datos de acceso en respuesta a un correo electrónico no solicitado, aunque parezca auténtico.
• No utilizar la dirección de correo electrónico principal para registrarte y conseguir regalos o conexión Wi-Fi pública.
• Deshabilitar el guardado de datos en sitios de compra online (incluidos el correo electrónico, la dirección postal y las tarjetas de pago) ya que podrían convertirse en un arma si la empresa sufre un ataque.

“Como ocurre con la mayor parte de la ciberseguridad, el panorama de las amenazas al correo electrónico es una carrera armamentística sin fin entre atacantes y defensores. Al equiparse con estas buenas prácticas y con herramientas de seguridad eficaces de terceros, se tendrá la mejor oportunidad de mantener una bandeja de entrada libre de repentinas oleadas de spam”, concluye Micucci de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros datos preventivos útiles está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

“Están surgiendo preocupaciones legítimas en materia de seguridad, privacidad y psicología debido al uso frecuente de esta tecnología por parte de los más pequeños y jóvenes. Como adultos responsables, no se puede dar por sentado que todos los proveedores de plataformas cuentan con medidas eficaces de seguridad y privacidad adecuadas para los infantes. Incluso cuando existen protecciones, su aplicación no es necesariamente coherente, y la propia tecnología evoluciona más rápido que las políticas”, alerta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Niños y niñas utilizan la IA generativa (GenAI) de diversas maneras. Algunos valoran su ayuda para hacer los deberes o trabajos escolares. Otros pueden tratar al chatbot como a un compañero digital, pidiéndole consejo y confiando en sus respuestas como lo harían con un amigo íntimo. Esto, según ESET, conlleva varios riesgos evidentes.

El primero es psicológico y social. Los niños atraviesan un periodo de desarrollo emocional y cognitivo, lo que les hace vulnerables en varios sentidos. Pueden llegar a confiar en la IA como una compañía en detrimento de la formación de amistades genuinas con sus compañeros de clase, lo que exacerba el aislamiento social. Como los chatbots están preprogramados para complacer a sus usuarios, están en capacidad de producir resultados que amplifiquen las dificultades por las que puedan estar pasando los jóvenes, como trastornos alimentarios, autolesiones o pensamientos intrusivos. También existe el riesgo de que el menor pase tiempo con su inteligencia artificial, no sólo en detrimento de las amistades humanas, sino también del tiempo que debería dedicar a cumplir con los deberes o a estar con la familia.

También hay riesgos en torno a lo que un chatbot GenAI pueda permitir acceder a un menor en internet. Aunque los principales proveedores tienen barras de contención diseñadas para limitar los enlaces a contenidos inapropiados o peligrosos, no siempre son eficaces. En algunos casos, pueden anular estas medidas de seguridad internas para compartir contenidos sexualmente explícitos o violentos, por ejemplo. Si tu hijo tiene más conocimientos de tecnología, puede incluso ser capaz de llevar a cabo un “jailbreak” (proceso de eliminar las restricciones) en el sistema a través de indicaciones específicas.

La información errónea es otro motivo de preocupación. Para los usuarios corporativos, esto puede crear importantes riesgos de reputación y responsabilidad. Pero para los niños, puede dar lugar a que crean información falsa presentada de forma convincente como un hecho, lo que los lleva a tomar decisiones imprudentes sobre cuestiones médicas o de pareja.

Por último, es importante recordar que los chatbots también suponen un riesgo potencial para la privacidad. Si un niño introduce información personal y financiera sensible en una consulta, el proveedor la almacenará. Si eso ocurre, en teoría podría acceder a ella un tercero (por ejemplo, un proveedor/socio), o ser pirateada por un ciberdelincuente. Del mismo modo que no es deseable ni se querría que un niño compartiera demasiado en las redes sociales, lo mejor es minimizar lo que comparte con un bot GenAI.

Dependiendo de dónde se viva y de qué chatbot estén utilizando, puede que haya poca verificación de edad o moderación de contenidos. Por lo tanto, es responsabilidad de los adultos anticiparse a cualquier amenaza mediante una supervisión y educación proactivas.

Algunas señales de que un niño o niña puede tener una relación poco saludable con la IA; de acuerdo a lo compartido por ESET

• Se retiran del tiempo extraescolar que pasan con amigos y familiares.
• Se ponen nerviosos cuando no pueden acceder a su chatbot e intentan ocultar los signos de uso excesivo.
• Hablan del chatbot como si fuera una persona real.
• Repiten como si fueran “hechos” ciertos información errónea obvia.
• Preguntan a su IA sobre enfermedades graves, como problemas de salud mental (lo cual puedes chequear o averiguar accediendo al historial de conversaciones).
• Acceden a contenidos para adultos o inapropiados ofrecidos por la IA

“En muchas jurisdicciones, los chatbots de IA están restringidos a usuarios mayores de 13 años. Sin embargo, dada la irregularidad o complejidad en su aplicación, es posible que se tengan que tomar cartas en el asunto. Las conversaciones importan más que los controles por sí solos. Para obtener los mejores resultados, consideremos la posibilidad de combinar los controles técnicos con la educación, el asesoramiento y sobre todo el acompañamiento, impartidos de forma abierta y sin confrontación”, comenta Luis Lubeck, vocero de Argentina Cibersegura.

Tanto si están en la escuela, en casa o en un club extraescolar, los menores tienen adultos que los guían en lo que tienen que hacer. Por eso, desde ESET recomiendan intentar que la comunicación sobre la IA sea un diálogo bidireccional, en el que se sientan cómodos compartiendo sus experiencias sin miedo a ser castigados. Explicarles los peligros del uso excesivo, el intercambio de datos y la dependencia extrema de la IA para resolver problemas graves. Ayudarles a entender que los robots de IA no son personas reales sino máquinas diseñadas para ser atractivas. Enseñarles a pensar de forma crítica y chequear siempre los resultados de la IA. Además de nunca sustituir una charla con sus padres por una sesión con una máquina.

Si es necesario, se aconseja combinar esa parte educativa con una política para limitar el uso de la IA (igual que se limitaría el uso de las redes sociales o el tiempo de pantalla en general) y restringir su uso a plataformas apropiadas para su edad. Activar el control parental en las aplicaciones que utilicen para ayudarle a supervisar su uso y minimizar los riesgos. Recordarles que nunca deben compartir información personal identificable (IPI) con la IA y ajustar su configuración de privacidad para reducir el riesgo de filtraciones involuntarias.

“Los más pequeños necesitan seres humanos en el centro de su mundo emocional. La IA puede ser una herramienta útil para muchas cosas. Pero hasta que los niños desarrollen una relación sana con ella, su uso debe supervisarse cuidadosamente. Y nunca debe sustituir al contacto humano”, concluye Lopez de ESET.

Para conocer más sobre el cuidado de los niños en Internet, puede visitar Digipadres, una iniciativa impulsada por SaferKidsOnline de ESET, que busca acompañar a madres, padres y docentes con el fin de generar conciencia acerca de riesgos y amenazas en el mundo digital. Se brindan materiales para el proceso de aprendizaje, diálogo y supervisión con el objetivo de facilitar los conocimientos necesarios para ayudar a lo más pequeños en el uso de las nuevas tecnologías. Para más información sobre los peligros que enfrentan los niños en línea: https://digipadres.com/

ESET invita a conocer y profundizar sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

En los últimos días fueron detectados dos casos en los que suplantaron a la imagen de la marca Spotify, y donde los ciberdelincuentes aprovecharon sitios comprometidos de pymes de la región para alojar páginas que simulan ser de este servicio de streaming dentro de un dominio legítimo. De esta forma, confunden a los usuarios al combinar la utilización de una marca conocida con un dominio en el que confían. La página de phishing queda en un entorno de dominios válidos que aumenta la sensación de seguridad. Según ESET, esto hace más probable que una persona caiga en el engaño si no se verifica cuidadosamente el dominio completo.

“Para las pymes, esta estafa revela un problema estructural ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala. El impacto incluso puede ir más allá del hackeo inicial: una empresa comprometida puede perder la confianza de clientes y socios, ser bloqueada por navegadores o buscadores y quedar atrapada en un ciclo de reinfecciones si no aborda el problema desde la raíz”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Desde el equipo de investigación de ESET analizan el paso a paso de este engaño y destacan la importancia de que aprendamos, de educarnos, de comprender la importancia preventiva de la ciberseguridad

1. Los ciberatacantes explotan vulnerabilidades (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio web real.
2. Una vez dentro del sitio comprometido, alojan una copia falsa del servicio que desean suplantar, que visualmente es idéntica a la original.
3. Luego, el enlace a dicha página falsa puede ser distribuido a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos.
4. Cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente al ciberatacante.

“La efectividad de la estafa está basada en cuatro puntos clave: El dominio comprometido es legítimo, y así logran eludir filtros de seguridad básicos. La marca suplantada es conocida y confiable. Lo que hace que muchas personas solo verifican el candado HTTPS sin prestar la debida atención al dominio completo. Y, por último, los señuelos suelen ser situaciones muy comunes, como renovación de cuenta, problemas de pago o verificación de seguridad”, advierte Lopez.

A continuación dos casos reales de páginas comprometidas de pymes en la región

Centro odontológico de Chile: Un centro especializado en odontología de la Quinta Región de Chile vio comprometido su sitio web, el cual fue aprovechado por los cibercriminales para alojar sitios falsos que simulan ser Spotify para robar información financiera y datos de acceso de sus víctimas. Los cibercriminales logran imitar la identidad visual de Spotify (alojada en la web del centro odontológico), para que las víctimas crean que realmente están ingresando en el sitio legítimo. Allí, se solicitan las credenciales de acceso.

En el siguiente paso, buscan que la víctima ingrese sus datos bancarios por la supuesta necesidad de actualizar el método de pago.

Una vez que la víctima ingresa sus datos bancarios, la página queda en espera, con la promesa de procesar la solicitud. Lo cierto es que esa información viajó directamente a los servidores de los cibercriminales.

Empresa de neumáticos de Argentina: Otro ejemplo de esta práctica maliciosa involucra a la página web de una empresa argentina que vende neumáticos. En este caso, el sitio falso busca obtener las credenciales de acceso a Spotify de las víctimas.

“Estas campañas generan un escenario de doble víctima: el usuario engañado y la pyme cuya web fue comprometida. Por ello, las consecuencias pueden ser muy peligrosas para los usuarios, y para las pequeñas y medianas empresas.”, destaca la investigadora de ESET Latinoamérica.

Algunas de las consecuencias para los usuarios

• Robo y reutilización de credenciales: Las credenciales robadas pueden venderse o reutilizarse en otros servicios, más si el usuario repite contraseñas en diferentes plataformas.
• Fraude financiero: Con los datos de las tarjetas en su poder, los ciberatacantes pueden realizar compras, suscripciones no autorizadas o revender la información en mercados clandestinos.
• Pérdida del control de cuentas: Una cuenta comprometida puede ser usada para enviar spam, cometer estafas a contactos o acceder a la información personal almacenada.
• Filtración de datos personales: La exposición de información como nombre, correo electrónico, hábitos y otra información asociada a la cuenta puede facilitar ataques dirigidos posteriores.

Para identificar esta estafa y reducir el riesgo de ser víctima, el equipo de investigadores y especialistas de ESET comparte algunos puntos clave a tener en cuenta. El primer paso sería verificar siempre el dominio completo antes de ingresar datos personales o financieros, además de desconfiar de cualquier enlace que llegue de manera inesperada por mail o mensajes. También como herramientas extras, se recomienda utilizar un gestor de contraseñas, que no se autocomplete en dominios falsos y activar doble factor de autenticación siempre que sea posible.

Este tipo de ataques asimismo produce consecuencias indeseables para las pymes

• Daño a su reputación: El sitio pasa a ser asociado con fraude o estafas, lo que puede impactar directamente en la confianza de sus clientes y socios comerciales.
• Bloqueo por navegadores y motores de búsqueda: Un dominio comprometido puede ser marcado como peligroso, lo que afecta su posicionamiento SEO y la llegada de tráfico legítimo.
• Costos de remediación: Se generan gastos de dinero asociados a limpiar el sitio, investigar el incidente, restaurar backups e implementar medidas de seguridad.
• Riesgo legal y regulatorio: La exposición de datos personales o el incumplir medidas de seguridad puede derivar en sanciones o responsabilidades legales.
• Reincidencia del ataque: En caso de que no se corrija la vulnerabilidad inicial, el sitio puede volver a ser comprometido y reutilizado por otros actores maliciosos.

De manera que es conveniente y necesario contar con soluciones de protección y resguardo. Para las pymes y la protección de sus sitios, desde ESET informan que existen además diversas buenas prácticas como mantener CMS, plugins y servidores actualizados. Se aconseja utilizar siempre contraseñas únicas y el doble factor de autenticación para accesos administrativos así como implementar soluciones de seguridad web y monitoreo de integridad. Finalmente es fundamental realizar auditorías periódicas del sitio.

“Este tipo de amenazas pone en evidencia un problema estructural: las pequeñas y medianas empresas no siempre cuentan con los recursos o la madurez en ciberseguridad necesarios para protegerse. Cuando una pyme no protege su sitio web, puede convertirse (sin saberlo) en una parte clave de una cadena de fraude que afecta a cientos de usuarios. Frente a este escenario, la prevención requiere un enfoque compartido: los usuarios deben adoptar hábitos básicos de verificación antes de ingresar datos sensibles, mientras que las pymes necesitan asumir que la seguridad de su sitio web es un componente crítico de su reputación y de la confianza digital”, concluye Martina Lopez de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

Si se recibe un artículo en el hogar y no recuerda el haberlo pedido o solicitado, según ESET, podría tratarse de que estén usando sus datos para una estafa conocida como brushing (literalmente “cepillado”, en inglés). El término se utiliza porque el estafador “peina” o retoca la reputación de su producto con ventas y comentarios falsos.

“Las estafas de brushing son un tipo de fraude en el comercio electrónico en el que un vendedor envía un paquete a la dirección de una persona aparentemente al azar. El artículo suele ser de bajo valor y no se trata de un gesto altruista. En realidad, es un intento del vendedor de inflar fraudulentamente la calificación del producto en plataformas de venta en línea”, comenta Martina Lopez, Investigadora de Ciberseguridad de ESET Latinoamérica.

La estafa comienza cuando el embaucador obtiene una lista de nombres y direcciones postales —normalmente publicada en foros de ciberdelincuencia tras filtraciones de datos, o a través de sitios de búsqueda de personas. Incluso puede recopilar esta información de fuentes públicas.

Luego, crea una cuenta falsa de comprador en una plataforma de comercio electrónico donde vende sus productos y utiliza esa cuenta para “comprar” su propio producto y envía el artículo a la dirección de la víctima. Con la cuenta falsa, publica una reseña de 5 estrellas, mejorando (o “brushing up”) la reputación y visibilidad del producto. Así es esta trampa o engaño.

La primera vez que la víctima se entera del fraude suele ser cuando recibe el paquete no solicitado.

“La preocupación por recibir productos gratis por correo recae en el posible hecho de ser el objetivo de una estafa de brushing, lo que podría indicar que hay datos personales que se están compartiendo en el mundo del ciberdelito. Por otro lado, los estafadores podrían estar verificando que estos datos sean correctos para pasar a una segunda fase, que podría escalar e implicar un fraude de identidad más grave”, advierte Lopez, de ESET.

Existen versiones más “peligrosas” de brushing en las que se incluye un código QR dentro del paquete que se recibe. Al escanearlo probablemente lleve a un sitio malicioso o de phishing diseñado para instalar malware o engañar a la víctima para que comparta más información personal.

Finalmente, hay un costo indirecto asociado a estas estafas, y es que erosionan lenta y silenciosamente la confianza que los consumidores depositan en los sistemas de reseñas de las plataformas de comercio electrónico.

Si se recibe por correo un artículo de bajo valor y mala calidad que no se recuerda haber comprado, esto según ESET es una señal de alerta inmediata. Una dirección de remitente vaga o ausente, y la presencia de un posible código QR dentro del paquete, también son indicios preocupantes

Para asegurarse al respecto, es importante revisar los correos electrónicos y las cuentas que se tengan en plataformas de comercio electrónico o marketplaces, buscando compras recientes. También vale la pena comprobar las cuentas bancarias y los informes de crédito en busca de actividad sospechosa, ya que los estafadores podrían haber pasado a la siguiente fase del fraude.

Si recibes algo por correo que no se recuerda haber pedido o solicitado, desde ESET aconsejan minimizar el riesgo siguiendo los siguientes pasos:

• Hay que confirmar que no sea un regalo preguntando a la familia, amigos o personas del hogar si han pedido algo a otro nombre recientemente.
• No escanear ningún código QR que pueda venir dentro del paquete.
• Revisar que no haya salido dinero de la cuenta bancaria y que no se hayan abierto nuevas líneas de crédito a ese mismo nombre.
• Activar la autenticación multifactor (MFA) en las cuentas bancarias y de tarjetas de crédito.
• Habilitar MFA en todas las cuentas de compras en línea y correo electrónico.
• Reportar el fraude a la plataforma correspondiente (por ejemplo, Amazon). La mayoría tiene un apartado específico para denunciar estafas de brushing.
• No intentar devolver el artículo al remitente.

Desde ESET también comparten algunas medidas preventivas personales que se pueden tomar para reducir las probabilidades y adoptar buenos hábitos de privacidad:

• Minimizar lo que se comparte en redes sociales.
• Configurar las cuentas para que solo tus contactos vean las publicaciones.
• Eliminar datos personales como dirección, fecha de nacimiento y número de teléfono.

“Las estafas de brushing son solo una de las muchas formas en que los delincuentes usan tu información personal en tu propia contra, así como de terceros. Mitigar este riesgo no es algo que se haga una sola vez: exige vigilancia continua sobre tu mundo digital. En definitiva, es el precio que pagamos por acceder a los servicios que nos gustan”, concluye Martina Lopez.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imágenes referenciales suministradas por ESET y Comstat R

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

Cuáles son las tendencias de 2026 en ciberseguridad para ESET Latinoamérica

1. IA y automatización ofensiva

La inteligencia artificial pasó de ser una herramienta de productividad a convertirse en un vector crítico dentro del universo delictivo. La disponibilidad masiva de modelos generativos, frameworks de agentes autónomos y entornos que permiten automatizar tareas complejas contribuyen al perfeccionamiento de las capacidades ofensivas. Durante 2025, ESET observó un crecimiento significativo en varias áreas, y todo indica que en 2026 esta tendencia continuará. Entre ellas se destacan:

• Phishing hiperpersonalizado, generado en segundos y con un realismo cada vez más perfecto.
• Agentes ofensivos (“agentic AI”) capaces de ejecutar ciclos completos de ataque, desde reconocimiento hasta explotación.
• Evasión dinámica de detección, donde modelos entrenados ad hoc aprenden a evitar firmas y patrones defensivos.
• Abuso de modelos de gran capacidad para crear contenido sintético convincente, deepfakes y desinformación automatizada.

“La IA ya no solo acelera el trabajo del atacante: multiplica su alcance y reduce los requisitos técnicos para ingresar al ecosistema delictivo. Lo que antes requería conocimiento especializado hoy puede ejecutarse con simples prompts. Esta nueva fase plantea desafíos profundos, centrados en la facilidad para escalar ataques masivos con una inversión mínima y cuya velocidad puede superar la capacidad de detección. El poder ofensivo se democratiza, elevando la barrera de entrada para la defensa. Su uso en las organizaciones también genera riesgos reputacionales, legales y estratégicos para quienes la implementan sin controles adecuados”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

2. Ransomware

En 2025 los grupos de Ransomware-as-a-Service (RaaS) en Latinoamérica mostraron actividad sostenida, confirmando que este modelo criminal sigue siendo rentable y adaptable. El fenómeno se acompaña de:

• IA integrada en múltiples eslabones del ataque: Si bien algunas bandas experimentan con IA generativa para escribir código, el mayor impacto se observa en la orquestación del ataque, la ingeniería social y el incremento del daño reputacional. A diferencia de ciclos previos, la IA ahora forma parte del flujo de ataque: desde la generación de variantes de malware con mayor capacidad de ofuscación, pasando por la optimización de técnicas de movimiento lateral, hasta la extorsión más sofisticada, que incluye automatización de procesos de negociación y manipulación psicológica mediante contenido creado con IA.

Más actores, más presión y más extorsión

De cara a 2026, ESET advierte que podríamos esperar:

• Más etapas de extorsión (publicación progresiva, chantaje a clientes, amenazas con contenido sintético).
• Mayor fragmentación del ecosistema criminal, con grupos pequeños utilizando IA para escalar sus operaciones.
• Ataques más rápidos y difíciles de atribuir.

3. Regulación y políticas de ciberseguridad

Para 2026 se prosigue en la etapa donde la IA se evalúa no solo por su capacidad innovadora, sino también por su impacto en derechos, seguridad y gobernanza. Las políticas globales avanzan hacia:

• Trazabilidad y etiquetado obligatorio del contenido sintético.
• Restricciones específicas para usos de alto riesgo (biometría, manipulación emocional, infraestructura crítica).
• Mayor fiscalización y litigios, especialmente en modelos de propósito general (GPAI).

Se observa una transición clara: de crear marcos legales a implementarlos y controlarlos operativamente

Los desafíos para las organizaciones, especialmente en Latinoamérica, para ESET se enfocarán en las exigencias crecientes en relación con el uso de IA, principalmente la implementación de controles de integridad en información generada o procesada por IA y auditorías de proveedores. Por otro lado, aumentará la necesidad de la presencia del “human in the loop” (humano en el bucle) y la instauración de políticas de respuesta ante incidentes relacionados con IA.

La convergencia entre IA, automatización, ransomware y nuevas regulaciones definirá un escenario donde la complejidad aumente, pero también las oportunidades para fortalecer la resiliencia. Además de la adopción de herramientas, la defensa, según ESET, deberá apoyarse en estrategias, entendimiento del riesgo y toma de decisiones informadas.

“Frente a una IA cada vez más integrada en todos los ámbitos -desde el delito hasta la gobernanza- la clave será encontrar un equilibrio entre innovación y protección. La velocidad del cambio tecnológico implica que la seguridad no es un destino, sino un proceso continuo de adaptación. El 2026 nos obliga a mirar más allá de la tecnología y entender que los desafíos del futuro serán, ante todo, desafíos humanos”, concluye Micucci de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

El presente análisis es un documento de máxima utilidad preventiva y para aprender; tanto en los casos de usuarios avanzados interesados en la materia, como para los básicos y ocasionales en ánimo o con propositos de enriquecer sus conocimientos, saber más y estar al día.

Principales riesgos y consecuencias asociados al uso del ChatGPT Atlas, según ESET

Inyección rápida: La inyección de prompts es uno de los principales riesgos en navegadores integrados con GenAI. El contenido malicioso puede ocultarse en la página visitada, en URL o incluso en imágenes manipuladas. Cuando el navegador interpreta esta información oculta, su comportamiento puede alterarse: desde proporcionar datos sensibles a atacantes, mostrar contenido distinto al esperado, hasta modificar sus ajustes para ser más permisivo en etapas posteriores del ataque.

Filtración de datos sensibles: Entre las funciones del navegador está el relleno de formularios de forma automatizada, lo que significa que, si una página maliciosa solicita datos que normalmente se solicitan en estos formularios, como nombre completo, teléfono, dirección, entre otros, el navegador puede proporcionarlos sin necesidad de validaciones adicionales.

Acceso excesivo a datos personales: Dado que el navegador está integrado de forma nativa con una GenAI, es posible que pueda acceder y procesar el contenido de todas las pestañas abiertas o que hayan estado abiertas. Por ejemplo, si se mantienen abiertas las cuentas de correo en distintos proveedores, una pestaña con el calendario para no perder citas o contactos, el navegador podría utilizar esa información para ejecutar acciones en esas herramientas. Esto puede ser útil en un uso legítimo, pero si se explota de manera maliciosa, podría implicar la exposición de datos sensibles a ciberdelincuentes.

“Las integraciones pueden implicar riesgos de privacidad que muchos usuarios no anticipan, incluyendo el acceso a todos los archivos presentes en el dispositivo. De hecho, es posible enviar cualquier archivo como adjunto, y el navegador podría procesarlo sin aplicar controles adicionales, lo que aumenta la exposición de información sensible”

Destaca Daniel Cunha Barbosa, Investigador de Seguridad Informática en ESET Latam

Memoria del navegador: Dado que el navegador puede interactuar con servicios autenticados, estas sesiones pueden permanecer abiertas indefinidamente. Si ocurre una interacción maliciosa y el navegador tiene varias sesiones activas, los atacantes podrían aprovecharlas para realizar acciones no autorizadas, incluyendo ataques de secuestro de sesión.

Vulnerabilidad ante ataques de phishing: Los ataques de phishing representan una amenaza significativa en navegadores que procesan contenido antes de mostrarlo en pantalla. Aunque existen ciertos indicadores para diferenciar un sitio legítimo de uno fraudulento, aún no se han identificado mecanismos eficientes para hacerlo. Esta falta de detección facilita la interacción con contenido malicioso, lo que beneficia a los ciberdelincuentes.

Omnibox vulnerable a comandos maliciosos: La Omnibox es la funcionalidad de la barra de direcciones que permite ingresar tanto URLs como términos de búsqueda, ofreciendo resultados relevantes en ambos casos. En el contexto de ChatGPT Atlas, existe el riesgo de que los usuarios sean engañados para hacer clic en comandos disfrazados de URLs. Estos comandos pueden alterar el comportamiento del navegador o redirigir a las víctimas hacia sitios web controlados por ciberdelincuentes.

Falta de transparencia en la ejecución de las acciones: Este punto resume la mayoría de las preocupaciones de seguridad relacionadas con este navegador. Al contar con capacidades automatizadas basadas en IA, muchas de las acciones que realiza no son visibles ni controlables por el usuario. Esto incluye desde interacciones con contenido malicioso en páginas web hasta el procesamiento de información personal o sensible, que incluso podría utilizarse como parte de modelos de entrenamiento o en respuestas futuras a otros usuarios. Idealmente, este tipo de navegador debería ofrecer configuraciones explícitas para cada funcionalidad que pueda comprometer la seguridad o privacidad del usuario.

Ausencia de estándares de divulgación de vulnerabilidades: Al igual que cualquier otro tipo de software, los navegadores integrados con IA pueden tener vulnerabilidades que afectan su funcionamiento. Esto hace necesario que la propia OpenAI disponga de formas de revelar estas vulnerabilidades para poder trabajar en una solución y actualización de software. Muchas vulnerabilidades permiten a los ciberdelincuentes controlar los dispositivos sin tener que interactuar con sus víctimas.

Inyección en portapapeles: La manipulación de portapapeles es un recurso utilizado por varios tipos de malware y suele estar destinada a robar información. Los troyanos suelen usar esta función al atacar carteras de criptomonedas; cuando la víctima copia la dirección de la cartera a la que quiere enviar fondos, el troyano la cambia y coloca la cartera de los ciberdelincuentes; cuando la víctima va a pegar la información y completa la transferencia, los fondos se envían a los delincuentes.

Inyección de Reconocimiento Óptico de Caracteres (OCR): La interpretación de texto oculto en imágenes como comandos válidos representa un riesgo emergente. Aunque la capacidad de reconocer contenido en imágenes no es nueva, el problema surge cuando esta función se utiliza con fines maliciosos. Es posible incrustar instrucciones ocultas en imágenes, invisibles para el ojo humano, que el navegador interprete como comandos válidos. Esto puede modificar su comportamiento de manera similar a una inyección de prompts.

Hay mejoras aplicadas

-Es importante conocer que, consciente de los riesgos asociados al nuevo producto, OpenAI ha adoptado medidas para mejorar la seguridad del navegador Atlas. Estableció limitaciones de agentes, Atlas no puede ejecutar código, descargar archivos, instalar extensiones, acceder a otras aplicaciones ni a información del dispositivo local sin acceso a contraseñas ni autocompletado. Además, el agente no puede acceder a contraseñas guardadas, datos autocompletados ni memorias internas fuera de su alcance. En cuanto al historial y control de navegación, el usuario puede borrar historial, memorias y definir qué sitios son visibles para ChatGPT, incluyendo la opción de bloquear la IA con un solo clic. Por otro lado, para que Atlas recuerde páginas visitadas, el usuario debe habilitar la función (desactivada por defecto). Asimismo, las interacciones no se usarán para entrenamiento de modelos, salvo que el usuario lo autorice explícitamente cuidando la privacidad. Y, finalmente, reforzaron la protección para sitios críticos y acciones en sitios sensibles (por ejemplo, bancos) requieren aprobación manual del usuario.

Resumen que concreta las recomendaciones de ESET en materia de ciberseguridad para reducir los riesgos

• No proporcionar datos para entrenamiento: Evitar enviar información sensible que pueda aparecer en interacciones futuras.
• Cumplir con leyes de protección de datos: Especialmente en entornos corporativos (LGPD, GDPR).
• Usar el agente con precaución: Recordar que toma decisiones por / en nombre del usuario; no todas serán seguras.
• Evitar sitios poco confiables: Reduce riesgos de inyección de prompts y otros ataques.
• Utilizar entornos virtuales cuando sea posible: Facilitar la recuperación ante fallos o ataques.
• Capacitar a los usuarios: La formación en seguridad es clave para minimizar riesgos.

“La integración con GenAI es una tendencia inevitable, pero la seguridad debe evolucionar al mismo ritmo. Será responsabilidad de los profesionales y usuarios configurar y usar estas herramientas de forma consciente para reducir los riesgos”, agrega para finalizar Cunha Barbosa de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos