“Muchas personas pueden creer que las conversaciones son volátiles y funcionan como un chat privado que desaparece al cerrar la ventana. En realidad, interactuar con grandes modelos de lenguaje implica una compleja red de almacenamiento y procesamiento de datos que puede exponer secretos comerciales o información personal sensible si no se tiene cuidado”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

ESET afirma que cuando se escribe información en ChatGPT, no se guarda únicamente en el navegador. El texto recorre un camino que involucra tres capas fundamentales de tratamiento de datos:

1. Almacenamiento e historial: En cuanto se envía un mensaje, se almacena en los servidores de OpenAI para que puedas acceder al historial en diferentes dispositivos y para que el chatbot mantenga el contexto de la conversación actual.

2. Entrenamiento de modelos (EL PUNTO CRÍTICO): Este es el centro del debate sobre la privacidad. Por defecto, OpenAI puede utilizar las conversaciones de las versiones gratuitas y Plus para perfeccionar sus modelos. Sin embargo, el usuario puede desactivar esta opción en la configuración. En ChatGPT Business, Enterprise, Edu, Healthcare y en la API, la herramienta no utiliza los datos para entrenamiento de forma predeterminada.

3. Revisión humana: Para garantizar que la IA no genere contenido ofensivo o peligroso, una muestra de conversaciones anonimizadas pasa por revisores humanos. Son especialistas capacitados que leen fragmentos de los diálogos para evaluar la calidad y la seguridad de la respuesta. Es decir, no es solo una máquina la que “lee” lo que se escribe; personas reales pueden tener acceso a partes de las interacciones.

“El mayor riesgo es que la IA “aprenda” patrones de los textos que se le comparten y los reproduzca de forma general en sus respuestas. Dependiendo de la herramienta, el tipo de cuenta y la configuración de privacidad, el contenido puede utilizarse para mejorar modelos futuros. Ingresar información confidencial puede exponer a la pérdida de control sobre información sensible y a riesgos de memorización o extracción de datos ya documentados en investigaciones sobre modelos de lenguaje. Por ello, los planes estratégicos, el código propietario, las credenciales, los datos de clientes u otros documentos internos deben utilizarse únicamente en herramientas de IA aprobadas por la empresa (nuestro trabajo) y con controles de privacidad adecuados”, destaca el investigador de ESET.

ChatGPT sabe más por lo que escribimos o preguntamos -y lo puede almacenar o guardar todo- que nuestro mejor confesor, por así decirlo; frente a los riesgos de privacidad hay que ser suficientemente prudentes

Además de los riesgos inherentes al procesamiento de datos por parte de la plataforma, ESET advierte que existe una amenaza externa creciente que es el interés de los ciberdelincuentes en las credenciales de acceso a ChatGPT. Dado que las conversaciones suelen contener información sensible, código fuente y estrategias de negocio, una cuenta comprometida se convierte en una oportunidad para el espionaje industrial y el robo de identidad.

Datos de 2024 muestran que más de 225.000 registros de inicio de sesión de ChatGPT fueron encontrados a la venta en foros de la Dark Web. Este volumen masivo de credenciales robadas, a menudo mediante malware del tipo infostealer, demuestra que el peligro no está solo en lo que se escribe, sino en quién puede acceder al historial si una cuenta no está correctamente protegida.

Para garantizar que la experiencia con herramientas de IA sea productiva y segura, ESET recopiló las principales recomendaciones de protección:

• Protección del comportamiento y anonimización: La herramienta más poderosa de seguridad digital es el propio criterio. La regla de oro es nunca introducir información que no harías pública. Antes de enviar un prompt, realizar una “limpieza” manual: reemplazar nombres de clientes por alias, eliminar valores financieros específicos y ocultar fragmentos de código que contengan claves de acceso o vulnerabilidades de infraestructura. Recordar que una vez que los datos son procesados por el modelo, el “desaprendizaje” de la IA es un proceso técnicamente complejo y no siempre garantizado.

• Gestión de cuentas y protección contra accesos no autorizados: Para evitar que los ciberdelincuentes accedan al historial de conversaciones, es fundamental utilizar contraseñas fuertes y únicas. Activar siempre la autenticación de dos factores (2FA) disponible en la configuración de OpenAI, Google o Anthropic. Además, mantener el sistema operativo y antivirus actualizados para evitar malware del tipo infostealer, principal responsable de la recolección de credenciales en herramientas de IA.

• Configurar la privacidad (Opt-out): No aceptar la configuración predeterminada. Explorar el menú de “Controles de datos” de ChatGPT para desactivar el historial de chat y el entrenamiento de modelos. En el caso de Gemini, gestionar la actividad en “Actividad en apps de Gemini” para decidir qué debe o no almacenar Google. Estas acciones reducen drásticamente la huella digital y ayudan a que las interacciones sean tratadas con mayor confidencialidad.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram

Hoy, la eficiencia en la gestión de riesgos y la adopción de estándares globales son las únicas barreras capaces de evitar una parálisis total del negocio.

Durante este encuentro de alto nivel, se exploraron las tendencias emergentes que están redefiniendo la protección de activos digitales. Se hizo especial énfasis en cómo las organizaciones locales deben adaptar sus infraestructuras, ante el incremento de agresiones sofisticadas que ponen en riesgo la operatividad y la integridad de la información en un ecosistema cada vez más interconectado y exigente.

Michele Flammia, Gerente General de ESET Venezuela, dio la bienvenida resaltando el compromiso de la marca con la educación digital y el blindaje de los activos estratégicos frente a los desafíos actuales.

Cifras alarmantes

Carlos López Rodríguez, Gerente de Soporte y Capacitación de la empresa, enfatizó que la ciberseguridad debe verse como un proceso continuo: “Prevenir y entrenar cuesta menos que detener la operación de ataque una vez que se ha iniciado”. Subrayó, además, que las certificaciones y el trabajo sobre marcos de control brindan una garantía real frente a terceros y clientes.

Por su parte, José Luis Rangel, Gerente Comercial de ESET, advirtió sobre la falta de visibilidad en el mercado: “Casi un 40% de las compañías no sabe si está siendo vulnerada en este momento o si lo fue en el pasado”.

Según los expertos, un ciberataque ocurre a nivel mundial cada 39 segundos, siendo una amenaza estadísticamente más probable que un incendio. El impacto económico de esta parálisis operativa puede reducirse hasta un 97% con inversión adecuada en entrenamiento y marcos de trabajo como la ISO 27001 o NIST.

El factor humano y la ingeniería social

Martina López, investigadora en Seguridad Informática de ESET Latinoamérica, destacó que la ingeniería social sigue siendo el vector principal de entrada para los criminales. Mediante técnicas como el quishing (QR phishing) y el phishing dinámico, los atacantes explotan la urgencia y la confianza de los colaboradores. En el país, las entidades más suplantadas incluyen DocuSign, MetaMask y la plataforma Telegram aprovechando picos de interés por herramientas de IA y la coyuntura nacional.

Recomendaciones clave para la resiliencia

Para fortalecer las defensas, los especialistas sugieren tres pilares fundamentales:

• Simulacros Tabletop: Practicar escenarios de crisis permite identificar fallas en los protocolos de respuesta antes de que ocurra un desastre real.

• Certificación Real: Contar con el aval de terceros que validen estándares internacionales, para brindar confianza y seguridad real a los clientes.

• Seguridad en dispositivos: Desactivar notificaciones en pantalla bloqueada, para evitar el robo de claves o credenciales y activar siempre el doble factor de autenticación (2FA).

La ciberseguridad requiere madurez operativa; es contradictorio temer a la computación cuántica mientras se trabaja con sistemas obsoletos. Como concluyó López: “entrenar y practicar siempre costará menos que detener la operación de los intrusos cibernéticos una vez iniciada”.

Video cobertura informativa con más detalles

Para obtener más información, visite el sitio web de ESET: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET).

Mediante cobertura presencial e información de ESET y Comstat Rowland Comunicaciones Estratégicas Integrales

Producción audiovisual: Ida Febres

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram

En este escenario, el respaldo de datos o backup deja de ser un proceso técnico para convertirse en un seguro de vida financiero, cuya ausencia puede representar el fin definitivo de cualquier unidad de negocio.

La brecha entre prevención y desastre

La disparidad de costos es radical. Un servicio de respaldo para una PyME (pequeña y mediana empresa) oscila entre los $10 y $100 anuales; en contraste, la recuperación profesional tras una falla física supera los $2.000, sin garantías de éxito.

Una gestión estratégica de respaldos garantiza la supervivencia financiera frente a fallos y secuestros digitales

El panorama se vuelve letal ante un ataque de ransomware, donde los rescates alcanzan cifras millonarias que el 60% de las empresas latinoamericanas no logra sobrevivir tras seis meses del incidente. Carlos López, gerente de soporte y capacitación de ESET Venezuela, advierte que muchos directivos aún creen que no poseen información atractiva para el cibercrimen.

“Los atacantes buscan sacar el máximo provecho de cualquier acción ofensiva o ataque lanzado al azar; todos somos blancos potenciales. No tener la madurez para entender el costo operativo de estar fuera de línea equivale a retroceder a la operatividad de los años 30”, señala el especialista.

Gestión vs. Copia: El factor de fiabilidad

Realizar un respaldo no es un producto estático, sino un proceso de gestión responsable. López enfatiza que una copia de seguridad de hace dos años es equivalente a no tener nada. “El backup debe ser periódico y contar con pruebas de fiabilidad que garanticen su restauración. Si al momento de restablecer los datos el proceso falla, el respaldo no sirvió”, afirma.

La metodología recomendada implica un esquema de redundancia: una copia física local, una en medio extraíble y una adicional en la nube o con un proveedor externo. Este blindaje protege contra el “ciber-secuestro”, errores humanos causantes del 29% de las pérdidas y desastres físicos como incendios o el fin de la vida útil del hardware.

Un pilar transversal del negocio

La ciberseguridad debe cortar transversalmente todo el núcleo de la organización. Según ESET, que el 30% de las empresas aún tenga el respaldo como tarea pendiente demuestra una inmadurez que pone en riesgo la supervivencia institucional. El respaldo es una solución reactiva vital, pero debe integrarse en una estrategia proactiva que contenga los ataques en etapas tempranas.

En un mundo interconectado, donde cada intercambio con clientes y proveedores es una puerta potencial para el atacante, contar con una gestión de datos robusta es la única diferencia entre mantener la operatividad o quedar fuera de línea por tiempo indeterminado.

ESET invita a conocer más y profundizar sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener datos útilies preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

Este análisis identifica a Perú, México, Argentina, Brasil y Colombia como los países con mayor actividad de malware en América Latina. Si bien cada territorio presenta características propias, también es posible identificar patrones comunes en las campañas de cibercrimen, como la presencia recurrente de ciertas familias de malware utilizadas en distintos países.

No obstante ser una apreciación tecnológica, es muy importante saber que el riesgo lo corremos todos

“Al analizar la telemetría de la región es posible observar que muchas amenazas se repiten en distintos países. Esto puede indicar cooperación entre grupos que operan en América Latina o que un mismo grupo está distribuyendo variantes específicas de malware en varios territorios”, comenta Daniel Cunha Barbosa, especialista en seguridad informática de ESET Latinoamérica.

En Perú, país que encabeza la lista, se registró un crecimiento gradual en las detecciones de amenazas y en algunos casos se convirtió en el punto inicial de campañas que luego se extendieron a otros países latinoamericanos. Muchos de los ataques están dirigidos a organismos gubernamentales y sectores críticos. Entre las amenazas más detectadas se encuentran Backdoor.Win32/Tofsee, Trojan.PDF/Phishing.D.Gen y Trojan.Win32/TrojanDownloader.Rugmi.AOS.

México ocupa el segundo lugar en el ranking de detecciones. Se trata de un objetivo significativo para los ciberdelincuentes, con una fuerte incidencia de phishing y ransomware impulsados por campañas de ingeniería social. Entre las principales detecciones se destacan Trojan.Win32/TrojanDownloader.Rugmi.AOS,Trojan.PDF/Phishing.A.Gen y Trojan.Win32/Spy.Banker.AEHQ.

Argentina se ubica en el tercer lugar, con un incremento sostenido en los ataques registrados. Los sectores más afectados incluyen el área de salud y el sector público. Entre las amenazas más detectadas se encuentran Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.Win32/Exploit.CVE-2012-0143.A y Trojan.HTML/Phishing.Agent.AUW.

Brasil aparece en cuarto lugar y, tal como se ha observado en análisis anteriores, el tipo de amenaza que más afecta al país es el troyano bancario. En este caso, las detecciones más frecuentes fueron Trojan.JS/Spy.Banker.KN,Trojan, Win32/TrojanDownloader.Rugmi.AOS y Trojan.HTML/Phishing.Agent.BGB.

Colombia completa el listado con un crecimiento acelerado en el volumen de ataques por organización, con especial énfasis en campañas de malware y la explotación de vulnerabilidades conocidas. Entre las amenazas más detectadas se encuentran Trojan.Win32/TrojanDownloader.Rugmi.AOS, Trojan.PDF/Phishing.D.Gen y Trojan.Win64/Kryptik.EDF.

El análisis también destaca la presencia recurrente de Rugmi en distintos países de la región. Este tipo de malware funciona como downloader, es decir, permite analizar la infraestructura del entorno comprometido antes de desplegar la carga maliciosa final.

“El uso de etapas previas a la infección permite a los atacantes analizar el entorno comprometido antes de continuar con el ataque. Este enfoque dificulta que los equipos de seguridad identifiquen rápidamente qué tipo de amenaza están enfrentando y complica el análisis del artefacto principal”, agrega Barbosa.

Otro aspecto relevante es la alta presencia de detecciones de phishing genérico, identificadas como Trojan.PDF/Phishing y Trojan.HTML/Phishing. Estas detecciones incluyen diferentes variantes, pero se consideran genéricas porque no es posible asociarlas directamente con amenazas más estructuradas.

Por último, el análisis también resalta la detección del exploit CVE-2012-0143 en Argentina, una amenaza que aprovecha un manejo inadecuado de la memoria en herramientas de la suite Office. A pesar de su antigüedad —más de catorce años—, continúa siendo efectiva para los ciberdelincuentes debido al número de detecciones observadas.

Desde ESET señalan que, aunque el panorama tecnológico de cada país es heterogéneo, las similitudes en los enfoques utilizados por los ciberdelincuentes sugieren que estrategias de protección similares pueden aplicarse de forma eficiente en distintos entornos.

¿Qué hacer? para protegernos

Entre las principales recomendaciones para reducir el riesgo de incidentes se encuentran mantener los sistemas actualizados, proteger todos los dispositivos dentro de la infraestructura, y aprovechar fuentes de inteligencia de amenazas externas que permitan fortalecer las capacidades de defensa de las organizaciones.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram

En este contexto, los especialistas de ESET advierten que muchas de estas amenazas se distribuyen a través de tiendas de aplicaciones no oficiales o mediante apps que imitan a servicios conocidos, aprovechando la popularidad de determinadas plataformas para engañar a los usuarios.

“Las aplicaciones falsas suelen aprovechar la confianza que los usuarios tienen en servicios populares para engañarlos y lograr que descarguen software malicioso. Por eso es importante prestar atención a ciertos detalles antes de instalar una app, como quién es el desarrollador, la cantidad de descargas o los permisos que solicita”, explica Mario Micucci, Especialista de Seguridad Informática de ESET Latinoamérica.

Para ayudar a identificar este tipo de engaños, ESET comparte siete recomendaciones para detectar aplicaciones móviles falsas antes de instalarlas

1. Revisar la cantidad de descargas

Si se trata de una aplicación muy conocida que debería tener miles o millones de descargas, pero aparece con pocos usuarios o no figura entre las más populares, podría tratarse de una aplicación impostora.

2. Leer las reseñas de otros usuarios

Las valoraciones pueden ofrecer pistas importantes. Una gran cantidad de comentarios negativos o reseñas demasiado similares entre sí pueden indicar la presencia de valoraciones falsas o generadas por bots.

3. Analizar el diseño y el logo

Las apps maliciosas suelen imitar el diseño de aplicaciones legítimas, aunque a menudo presentan pequeñas diferencias en el logo, el color o los elementos visuales. Ante la duda, es recomendable comparar el diseño con el sitio oficial del proveedor.

4. Verificar que realmente exista una app oficial

No todos los servicios ofrecen aplicaciones móviles. Antes de descargar una app asociada a un servicio popular, conviene revisar el sitio oficial de la empresa para comprobar si realmente existe una aplicación y acceder desde allí a los enlaces oficiales de descarga.

5. Revisar el nombre y la descripción

Las aplicaciones legítimas suelen cuidar la calidad de su presentación. Errores de ortografía, descripciones poco claras o inconsistencias en la información pueden ser señales de alerta.

6. Investigar al desarrollador

Es recomendable verificar quién está detrás de la aplicación. Los desarrolladores legítimos suelen tener un historial de otras apps publicadas y una reputación reconocible. En cambio, un desarrollador desconocido o sin historial debe generar sospechas.

7. Revisar los permisos solicitados

Si una aplicación solicita permisos que no parecen necesarios para su funcionamiento —por ejemplo, acceso a funciones del sistema que no tienen relación con su objetivo— podría tratarse de una aplicación maliciosa.

Señales de que una app instalada puede ser maliciosa

Incluso después de instalar una aplicación, existen algunos indicadores que pueden alertar sobre un posible riesgo. Entre ellos, que la app no funcione como debería, que presente comportamientos extraños como abrirse o cerrarse sola, o que aparezcan cargos inesperados en la tarjeta de crédito o en la factura del teléfono.

Otros síntomas pueden incluir el envío de mensajes o llamadas desconocidas desde el dispositivo, un consumo inusual de batería o de datos móviles, o la aparición de publicidad invasiva y aplicaciones instaladas sin autorización del usuario.

Qué hacer ante una aplicación sospechosa

Si un usuario sospecha que ha descargado una aplicación maliciosa, lo recomendable es eliminarla inmediatamente y utilizar una solución de seguridad que permita analizar el dispositivo y detectar posibles amenazas.

Para reducir los riesgos, ESET recomienda descargar aplicaciones únicamente desde tiendas oficiales, evitar instalar apps desde enlaces recibidos por correo electrónico o redes sociales, mantener el sistema operativo actualizado y utilizar autenticación de doble factor en las cuentas que lo permitan.

Mantenernos atentos y verificar, aprender para estar actualizados, disponer de buenas herramientas para analizar y protegernos ante ataques, más que un deber es la actitud inteligente que nos evitará problemas, dolores de cabeza por así decirlo, proteger nuestros equipos y valores, privacidad personal así como datos clave.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en  X/Twitter  e  Instagram 

A continuación se describen e informan resumidamente los motivos por los cuales se puede acabar recibiendo una avalancha repentina de este tipo de mensajes

1. Filtraciones y fuga de datos: En la economía del cibercrimen participantes individuales suelen desempeñar un papel especializado. Algunos pueden centrarse en vulnerar organizaciones para robar grandes volúmenes de datos, como direcciones de correo electrónico e información de identificación personal (PII). Luego, publican o venden esos datos en foros/mercados de cibercrimen, donde otros los compran para utilizarlos como phishing. Pueden suplantar la identidad de una empresa que acaba de sufrir la violación, citando su PII y la información de su cuenta para dar mayor credibilidad a su engaño. El objetivo final suele ser robar datos de inicio de sesión o información financiera, o la instalación de malware.

“Un aumento repentino del spam probablemente significa que se acaba de publicar un lote de direcciones de correo electrónico en el mercado clandestino de la ciberdelincuencia. También es posible que una empresa haya filtrado accidentalmente la información al dominio público, lo que permite a los delincuentes sacar provecho de ella”, comenta e informa Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.

2. Actualizaciones de kits de estafa: Debido a los kits de estafa/phishing preconfigurados, los estafadores tienen gran parte del trabajo hecho, desde la suplantación de marcas hasta la ofuscación, los señuelos de phishing e incluso la omisión de la autenticación multifactorial. Quienes desarrollan estos kits buscan añadir nuevas funciones para burlar a los proveedores de seguridad y de correo electrónico. Si logran dar con una solución que eluda los filtros de spam, es de esperar que los mensajes no deseados comiencen a invadir los buzones.

3. Spam selectivo: Los estafadores centran sus esfuerzos en grupos concretos, como los empleados de una empresa específica o los usuarios de un servicio concreto (por ejemplo, Netflix). Esto puede deberse a que obtuvieron los datos de una filtración en una de estas empresas o a que han recopilado datos de sitios web específicos.

4. Eventos estacionales: Las campañas de phishing suelen aprovechar los acontecimientos de actualidad para mejorar sus tasas de éxito. Son habituales casos como la muerte de famosos y emergencias graves y crisis sanitarias, como fue el COVID-19. Pero también se pueden producir picos estacionales de spam justo antes de Navidad, por ejemplo.

5. La ayuda de la IA: Las herramientas de IA permiten a los estafadores ampliar sus campañas de phishing con mensajes muy convincentes diseñados para eludir los filtros de spam. La IA también puede ayudar en el reconocimiento, para encontrar una dirección de correo electrónico en fuentes de acceso público que, de otro modo, podrían ser difíciles de descubrir.

6. Rastreo de sitios web públicos: Los spammers no solo obtienen sus listas de correo electrónico de vulneraciones de datos a gran escala. Algunos consiguen estos datos utilizando bots para rastrear sitios web públicos, como las plataformas de redes sociales. El tráfico de bots maliciosos representa el 37 % de todo el tráfico de Internet. Si algún dato es de dominio público, es posible que hayan sido capturados en una campaña de este tipo.

7. Hacer clic en un mensaje de spam: Los estafadores a menudo pueden acabar con grandes listas de correo electrónico que luego tienen que reducir para mejorar el retorno de la inversión de las campañas. Por lo tanto, si se hace clic en un mensaje de spam o, lo que es peor, se responde, el remitente sabrá que está «activo», lo que podría dar lugar a una nueva avalancha de mensajes.

8. Bombardeo de correos electrónicos: Si una bandeja de entrada se llena de mensajes no deseados, puede tratarse de una táctica de distracción diseñada para ocultar un mensaje importante, como una alerta de seguridad del banco o una notificación de una compra que no se ha realizado. El estafador inscribirá la dirección en cientos de boletines informativos o sitios web para inundar la bandeja de entrada y ocultar ese mensaje crucial.

9. Compras en línea: Durante los cumpleaños o antes de las fiestas, es posible que realice un mayor número de compras online. Algunos comerciantes pueden intentar sacar provecho de este periodo ocultando las suscripciones a las listas de marketing. Si se olvida de desmarcarlas, es posible que se reciban una avalancha de spam molesto de las marcas en las que se ha comprado.

10. Restablece la configuración: Si se cuenta con una herramienta de seguridad de correo electrónico que funciona utilizando inteligencia artificial para aprender cómo es la actividad sospechosa. Esta puede empezar a jugar con la configuración y restablecerla, lo que puede llegar a borrar todo ese comportamiento aprendido.

ESET comparte algunos útiles consejos preventivos para mantener las estafas potencialmente peligrosas fuera de la bandeja de entrada

• Mantener las cuentas de las redes sociales en privado para evitar que los robots de rastreo web recopilen la dirección de correo electrónico.
• Tomar conciencia del phishing: no hacer clic ni responder a correos electrónicos no solicitados. Verificar con el supuesto remitente buscando sus datos de contacto por separado (es decir, no utilizar los que aparecen en el correo electrónico).
• Emplee “ocultar mi correo electrónico” o servicios de enmascaramiento similares cuando se registre en nuevos servicios, para reducir el riesgo asociado a las filtraciones de datos.
• Algunos productos y servicios de protección de la identidad, como HaveIBeenPwned, pueden rastrear la web oscura en busca de datos para ver si ya han sido vulnerados y/o alertar (cuando aparezca alguna información personal en la web oscura). Esto avisará con antelación de posibles oleadas de spam.
• El software de seguridad de un proveedor de confianza incluye funciones antiphishing y antispam que pueden minimizar el volumen de comunicaciones no deseadas en la bandeja de entrada. Los mejores proveedores ofrecen protección multicapa contra las técnicas de phishing más sofisticadas, herramientas de inteligencia artificial y kits de estafa.
• Considerar la posibilidad de desmarcar las opciones de marketing al comprar para minimizar el volumen de spam “amistoso” en la bandeja de entrada.

Además de las buenas prácticas, es importante destacar y estar en cuenta sobre qué NO debe hacerse (ESET resalta lo siguiente)

• Evitar hacer clic en “darse de baja” o responder a un correo electrónico de spam, ya que esto verificará la dirección al remitente.
• No abrir archivos adjuntos a los correos electrónicos de phishing, ya que pueden contener programas maliciosos.
• Nunca entregar información personal o financiera y los datos de acceso en respuesta a un correo electrónico no solicitado, aunque parezca auténtico.
• No utilizar la dirección de correo electrónico principal para registrarte y conseguir regalos o conexión Wi-Fi pública.
• Deshabilitar el guardado de datos en sitios de compra online (incluidos el correo electrónico, la dirección postal y las tarjetas de pago) ya que podrían convertirse en un arma si la empresa sufre un ataque.

“Como ocurre con la mayor parte de la ciberseguridad, el panorama de las amenazas al correo electrónico es una carrera armamentística sin fin entre atacantes y defensores. Al equiparse con estas buenas prácticas y con herramientas de seguridad eficaces de terceros, se tendrá la mejor oportunidad de mantener una bandeja de entrada libre de repentinas oleadas de spam”, concluye Micucci de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros datos preventivos útiles está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

“Están surgiendo preocupaciones legítimas en materia de seguridad, privacidad y psicología debido al uso frecuente de esta tecnología por parte de los más pequeños y jóvenes. Como adultos responsables, no se puede dar por sentado que todos los proveedores de plataformas cuentan con medidas eficaces de seguridad y privacidad adecuadas para los infantes. Incluso cuando existen protecciones, su aplicación no es necesariamente coherente, y la propia tecnología evoluciona más rápido que las políticas”, alerta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Niños y niñas utilizan la IA generativa (GenAI) de diversas maneras. Algunos valoran su ayuda para hacer los deberes o trabajos escolares. Otros pueden tratar al chatbot como a un compañero digital, pidiéndole consejo y confiando en sus respuestas como lo harían con un amigo íntimo. Esto, según ESET, conlleva varios riesgos evidentes.

El primero es psicológico y social. Los niños atraviesan un periodo de desarrollo emocional y cognitivo, lo que les hace vulnerables en varios sentidos. Pueden llegar a confiar en la IA como una compañía en detrimento de la formación de amistades genuinas con sus compañeros de clase, lo que exacerba el aislamiento social. Como los chatbots están preprogramados para complacer a sus usuarios, están en capacidad de producir resultados que amplifiquen las dificultades por las que puedan estar pasando los jóvenes, como trastornos alimentarios, autolesiones o pensamientos intrusivos. También existe el riesgo de que el menor pase tiempo con su inteligencia artificial, no sólo en detrimento de las amistades humanas, sino también del tiempo que debería dedicar a cumplir con los deberes o a estar con la familia.

También hay riesgos en torno a lo que un chatbot GenAI pueda permitir acceder a un menor en internet. Aunque los principales proveedores tienen barras de contención diseñadas para limitar los enlaces a contenidos inapropiados o peligrosos, no siempre son eficaces. En algunos casos, pueden anular estas medidas de seguridad internas para compartir contenidos sexualmente explícitos o violentos, por ejemplo. Si tu hijo tiene más conocimientos de tecnología, puede incluso ser capaz de llevar a cabo un “jailbreak” (proceso de eliminar las restricciones) en el sistema a través de indicaciones específicas.

La información errónea es otro motivo de preocupación. Para los usuarios corporativos, esto puede crear importantes riesgos de reputación y responsabilidad. Pero para los niños, puede dar lugar a que crean información falsa presentada de forma convincente como un hecho, lo que los lleva a tomar decisiones imprudentes sobre cuestiones médicas o de pareja.

Por último, es importante recordar que los chatbots también suponen un riesgo potencial para la privacidad. Si un niño introduce información personal y financiera sensible en una consulta, el proveedor la almacenará. Si eso ocurre, en teoría podría acceder a ella un tercero (por ejemplo, un proveedor/socio), o ser pirateada por un ciberdelincuente. Del mismo modo que no es deseable ni se querría que un niño compartiera demasiado en las redes sociales, lo mejor es minimizar lo que comparte con un bot GenAI.

Dependiendo de dónde se viva y de qué chatbot estén utilizando, puede que haya poca verificación de edad o moderación de contenidos. Por lo tanto, es responsabilidad de los adultos anticiparse a cualquier amenaza mediante una supervisión y educación proactivas.

Algunas señales de que un niño o niña puede tener una relación poco saludable con la IA; de acuerdo a lo compartido por ESET

• Se retiran del tiempo extraescolar que pasan con amigos y familiares.
• Se ponen nerviosos cuando no pueden acceder a su chatbot e intentan ocultar los signos de uso excesivo.
• Hablan del chatbot como si fuera una persona real.
• Repiten como si fueran “hechos” ciertos información errónea obvia.
• Preguntan a su IA sobre enfermedades graves, como problemas de salud mental (lo cual puedes chequear o averiguar accediendo al historial de conversaciones).
• Acceden a contenidos para adultos o inapropiados ofrecidos por la IA

“En muchas jurisdicciones, los chatbots de IA están restringidos a usuarios mayores de 13 años. Sin embargo, dada la irregularidad o complejidad en su aplicación, es posible que se tengan que tomar cartas en el asunto. Las conversaciones importan más que los controles por sí solos. Para obtener los mejores resultados, consideremos la posibilidad de combinar los controles técnicos con la educación, el asesoramiento y sobre todo el acompañamiento, impartidos de forma abierta y sin confrontación”, comenta Luis Lubeck, vocero de Argentina Cibersegura.

Tanto si están en la escuela, en casa o en un club extraescolar, los menores tienen adultos que los guían en lo que tienen que hacer. Por eso, desde ESET recomiendan intentar que la comunicación sobre la IA sea un diálogo bidireccional, en el que se sientan cómodos compartiendo sus experiencias sin miedo a ser castigados. Explicarles los peligros del uso excesivo, el intercambio de datos y la dependencia extrema de la IA para resolver problemas graves. Ayudarles a entender que los robots de IA no son personas reales sino máquinas diseñadas para ser atractivas. Enseñarles a pensar de forma crítica y chequear siempre los resultados de la IA. Además de nunca sustituir una charla con sus padres por una sesión con una máquina.

Si es necesario, se aconseja combinar esa parte educativa con una política para limitar el uso de la IA (igual que se limitaría el uso de las redes sociales o el tiempo de pantalla en general) y restringir su uso a plataformas apropiadas para su edad. Activar el control parental en las aplicaciones que utilicen para ayudarle a supervisar su uso y minimizar los riesgos. Recordarles que nunca deben compartir información personal identificable (IPI) con la IA y ajustar su configuración de privacidad para reducir el riesgo de filtraciones involuntarias.

“Los más pequeños necesitan seres humanos en el centro de su mundo emocional. La IA puede ser una herramienta útil para muchas cosas. Pero hasta que los niños desarrollen una relación sana con ella, su uso debe supervisarse cuidadosamente. Y nunca debe sustituir al contacto humano”, concluye Lopez de ESET.

Para conocer más sobre el cuidado de los niños en Internet, puede visitar Digipadres, una iniciativa impulsada por SaferKidsOnline de ESET, que busca acompañar a madres, padres y docentes con el fin de generar conciencia acerca de riesgos y amenazas en el mundo digital. Se brindan materiales para el proceso de aprendizaje, diálogo y supervisión con el objetivo de facilitar los conocimientos necesarios para ayudar a lo más pequeños en el uso de las nuevas tecnologías. Para más información sobre los peligros que enfrentan los niños en línea: https://digipadres.com/

ESET invita a conocer y profundizar sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

En los últimos días fueron detectados dos casos en los que suplantaron a la imagen de la marca Spotify, y donde los ciberdelincuentes aprovecharon sitios comprometidos de pymes de la región para alojar páginas que simulan ser de este servicio de streaming dentro de un dominio legítimo. De esta forma, confunden a los usuarios al combinar la utilización de una marca conocida con un dominio en el que confían. La página de phishing queda en un entorno de dominios válidos que aumenta la sensación de seguridad. Según ESET, esto hace más probable que una persona caiga en el engaño si no se verifica cuidadosamente el dominio completo.

“Para las pymes, esta estafa revela un problema estructural ya que la falta de mantenimiento y de medidas básicas de seguridad en sus sitios web las expone a incidentes propios y las convierte en plataformas involuntarias de fraude a gran escala. El impacto incluso puede ir más allá del hackeo inicial: una empresa comprometida puede perder la confianza de clientes y socios, ser bloqueada por navegadores o buscadores y quedar atrapada en un ciclo de reinfecciones si no aborda el problema desde la raíz”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.

Desde el equipo de investigación de ESET analizan el paso a paso de este engaño y destacan la importancia de que aprendamos, de educarnos, de comprender la importancia preventiva de la ciberseguridad

1. Los ciberatacantes explotan vulnerabilidades (como CMS desactualizados, plugins inseguros o credenciales débiles) para subir archivos maliciosos a un sitio web real.
2. Una vez dentro del sitio comprometido, alojan una copia falsa del servicio que desean suplantar, que visualmente es idéntica a la original.
3. Luego, el enlace a dicha página falsa puede ser distribuido a través de correos de phishing, anuncios maliciosos, redes sociales o mensajes directos.
4. Cuando la víctima ingresa al sitio y completa sus credenciales de acceso o datos financieros, la información es enviada directamente al ciberatacante.

“La efectividad de la estafa está basada en cuatro puntos clave: El dominio comprometido es legítimo, y así logran eludir filtros de seguridad básicos. La marca suplantada es conocida y confiable. Lo que hace que muchas personas solo verifican el candado HTTPS sin prestar la debida atención al dominio completo. Y, por último, los señuelos suelen ser situaciones muy comunes, como renovación de cuenta, problemas de pago o verificación de seguridad”, advierte Lopez.

A continuación dos casos reales de páginas comprometidas de pymes en la región

Centro odontológico de Chile: Un centro especializado en odontología de la Quinta Región de Chile vio comprometido su sitio web, el cual fue aprovechado por los cibercriminales para alojar sitios falsos que simulan ser Spotify para robar información financiera y datos de acceso de sus víctimas. Los cibercriminales logran imitar la identidad visual de Spotify (alojada en la web del centro odontológico), para que las víctimas crean que realmente están ingresando en el sitio legítimo. Allí, se solicitan las credenciales de acceso.

En el siguiente paso, buscan que la víctima ingrese sus datos bancarios por la supuesta necesidad de actualizar el método de pago.

Una vez que la víctima ingresa sus datos bancarios, la página queda en espera, con la promesa de procesar la solicitud. Lo cierto es que esa información viajó directamente a los servidores de los cibercriminales.

Empresa de neumáticos de Argentina: Otro ejemplo de esta práctica maliciosa involucra a la página web de una empresa argentina que vende neumáticos. En este caso, el sitio falso busca obtener las credenciales de acceso a Spotify de las víctimas.

“Estas campañas generan un escenario de doble víctima: el usuario engañado y la pyme cuya web fue comprometida. Por ello, las consecuencias pueden ser muy peligrosas para los usuarios, y para las pequeñas y medianas empresas.”, destaca la investigadora de ESET Latinoamérica.

Algunas de las consecuencias para los usuarios

• Robo y reutilización de credenciales: Las credenciales robadas pueden venderse o reutilizarse en otros servicios, más si el usuario repite contraseñas en diferentes plataformas.
• Fraude financiero: Con los datos de las tarjetas en su poder, los ciberatacantes pueden realizar compras, suscripciones no autorizadas o revender la información en mercados clandestinos.
• Pérdida del control de cuentas: Una cuenta comprometida puede ser usada para enviar spam, cometer estafas a contactos o acceder a la información personal almacenada.
• Filtración de datos personales: La exposición de información como nombre, correo electrónico, hábitos y otra información asociada a la cuenta puede facilitar ataques dirigidos posteriores.

Para identificar esta estafa y reducir el riesgo de ser víctima, el equipo de investigadores y especialistas de ESET comparte algunos puntos clave a tener en cuenta. El primer paso sería verificar siempre el dominio completo antes de ingresar datos personales o financieros, además de desconfiar de cualquier enlace que llegue de manera inesperada por mail o mensajes. También como herramientas extras, se recomienda utilizar un gestor de contraseñas, que no se autocomplete en dominios falsos y activar doble factor de autenticación siempre que sea posible.

Este tipo de ataques asimismo produce consecuencias indeseables para las pymes

• Daño a su reputación: El sitio pasa a ser asociado con fraude o estafas, lo que puede impactar directamente en la confianza de sus clientes y socios comerciales.
• Bloqueo por navegadores y motores de búsqueda: Un dominio comprometido puede ser marcado como peligroso, lo que afecta su posicionamiento SEO y la llegada de tráfico legítimo.
• Costos de remediación: Se generan gastos de dinero asociados a limpiar el sitio, investigar el incidente, restaurar backups e implementar medidas de seguridad.
• Riesgo legal y regulatorio: La exposición de datos personales o el incumplir medidas de seguridad puede derivar en sanciones o responsabilidades legales.
• Reincidencia del ataque: En caso de que no se corrija la vulnerabilidad inicial, el sitio puede volver a ser comprometido y reutilizado por otros actores maliciosos.

De manera que es conveniente y necesario contar con soluciones de protección y resguardo. Para las pymes y la protección de sus sitios, desde ESET informan que existen además diversas buenas prácticas como mantener CMS, plugins y servidores actualizados. Se aconseja utilizar siempre contraseñas únicas y el doble factor de autenticación para accesos administrativos así como implementar soluciones de seguridad web y monitoreo de integridad. Finalmente es fundamental realizar auditorías periódicas del sitio.

“Este tipo de amenazas pone en evidencia un problema estructural: las pequeñas y medianas empresas no siempre cuentan con los recursos o la madurez en ciberseguridad necesarios para protegerse. Cuando una pyme no protege su sitio web, puede convertirse (sin saberlo) en una parte clave de una cadena de fraude que afecta a cientos de usuarios. Frente a este escenario, la prevención requiere un enfoque compartido: los usuarios deben adoptar hábitos básicos de verificación antes de ingresar datos sensibles, mientras que las pymes necesitan asumir que la seguridad de su sitio web es un componente crítico de su reputación y de la confianza digital”, concluye Martina Lopez de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

Así, ESET nos lo expone con claridad, para hacerlo más comprensible y poder tomar precauciones. Asunto de mucha utilidad en cuanto a educación preventiva e informativa para usuarios, tanto básicos como avanzados.

“Apple es conocida por diseñar ecosistemas digitales pensando en la seguridad y la privacidad. Por ejemplo, Apple Pay utiliza autenticación biométrica (es decir, Face ID) para autorizar los pagos. Además, cuenta con medidas como la tokenización, para que los hackers no puedan robar los datos de la tarjeta directamente del dispositivo/cartera y las compras permanezcan protegidas. Pero la plataforma y su sólida reputación aún pueden ser utilizadas para estafas, usualmente “pirateando” al propietario del dispositivo/cartera.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latam.

Los usuarios de Google Pay también deben tomar nota, según ESET, ya que las estafas habituales buscan principalmente manipular el comportamiento del usuario, en lugar de aprovechar las brechas tecnológicas. Además, la tecnología de comunicación de campo cercano (NFC) que es la base de los servicios de pago móvil está cada vez más en el punto de mira: el equipo de investigación de ESET ha descubierto que las detecciones de malware para Android que utiliza NFC casi se duplicaron entre el primer y el segundo semestre de 2025.

ESET destaca que los estafadores en Apple Pay suelen ir detrás de información financiera, dinero o ID de Apple y los códigos de inicio de sesión/2FA.

Tipos de fraude más comunes

Phishing: Se recibe un mensaje de texto, una llamada telefónica o un correo electrónico en el que se dice que tiene que verificar los datos. El señuelo puede ser un premio que se tiene que reclamar o un reembolso que se le debe. O puede tratarse de una historia falsa sobre la suspensión de una cuenta de Apple Pay, la inclusión de la tarjeta en Apple Pay o pretextos similares. Al hacer clic en los enlaces, normalmente se le llevará a un sitio de phishing donde se le pedirá que proporcione los datos de la cuenta bancaria o tarjeta. Lo mismo ocurre con los mensajes de texto de suplantación de identidad en los que se pide hacer clic en un enlace o llamar a un número de teléfono.

En algunos casos, el estafador puede recopilar datos en tiempo real y añadirlos a su monedero de Apple Pay. Si esto ocurre, el banco le enviará una contraseña de un solo uso para confirmar la nueva configuración. El sitio de phishing solicita instantáneamente este código. Si se lo introduce, el estafador tendrá los datos de la tarjeta añadidos a su monedero.

Mercado: Un comprador falso conecta las tarjetas robadas a la cuenta de Apple Pay y las utiliza para comprar un artículo (normalmente de gran valor) que está vendiendo la posible víctima en un mercado digital. Cuando el titular legítimo de la tarjeta se entere de lo ocurrido, reclamará los cargos a su banco. Entonces se le ordenará que los reembolse. En ese momento, por supuesto, la víctima ya habrá enviado el artículo al estafador.

Pago en exceso: Un estafador envía un mensaje sobre un artículo que está a la venta en un mercado. Pagan pero envían demasiado dinero. Luego, piden que se le devuelva la diferencia, utilizando Apple Cash (el servicio peer-to-peer disponible para los clientes de Apple Pay en EE.UU.) u otra aplicación de dinero en efectivo (por ejemplo, Venmo, Zelle). Resulta que el comprador utilizó una tarjeta robada, lo que significa que se pierde el producto, el pago original que hicieron y el importe del reembolso.

Pago no solicitado: Similar a la estafa anterior, excepto que se recibe un pago de la nada de alguien que utiliza Apple Pay. Luego,  piden que se lo devuelvan a través de Apple Cash o una tarjeta regalo. Una vez más, al final se tendrá que devolver el importe original al propietario legítimo de la tarjeta que utilizó el estafador. Y, por supuesto, se tendrá que desembolsar el importe de la devolución.

Recibo falso: Los estafadores aceptan comprar un artículo que se vende en Internet. Envían una captura de pantalla que muestra que han pagado a través de Apple Pay. Pueden alegar que el dinero está pendiente o en “custodia” hasta que se envíe el producto y se proporcione un número de seguimiento. En realidad, nunca han pagado: Apple Pay no retiene fondos en custodia.

Wi-Fi público: Los hackers pueden instalar un punto de acceso “gemelo malvado” en una zona pública, como una cafetería o un aeropuerto, que imite una red Wi-Fi pública legítima. Lo utilizan para controlar el tráfico hacia y desde su dispositivo, y pueden redirigirle a un portal de Apple falso para obtener un ID de Apple y contraseña. En algunos casos, estos datos pueden ser utilizados para intentar quedarse con el saldo de Apple Cash.

Si se detecta alguna de las siguientes señales, ESET alerta que un estafador puede haberse puesto en contacto

• Un mensaje de texto, correo electrónico o llamado al teléfono que utiliza la urgencia para apresurarte a tomar una decisión imprudente, como compartir datos de acceso o información financiera con alguien que no se conoce. Se trata de una técnica clásica de ingeniería social.
• Una solicitud de los códigos 2FA, que permitirá al estafador secuestrar la cuenta de Apple y/o añadir la tarjeta a su cartera. Ni Apple ni el banco los pedirán nunca.
• Que pidan la devolución en parte o la totalidad de un pago que se acaba de recibir a través de Apple Pay debería ser una señal de alarma, al igual que si indican hacerlo a través de otro método, como una tarjeta regalo o Apple Cash.
• Una petición para enviar artículos antes de haber recibido el pago (acompañada de una captura de pantalla alegando que el comprador ya ha pagado).
• Cualquier mensaje de texto, llamada o correo electrónico no solicitado en el que la persona que llama o envía el mensaje diga que trabaja para Apple o un banco y solicite información personal, financiera o de acceso confidencial.

“Las estafas relacionadas con Apple Pay pueden parecer desconcertantemente generalizadas, pero mantener la información personal, dinero y cuentas a salvo y seguras no es tan difícil como podrías pensar. En primer lugar, tómate un momento para reconocer las banderas rojas y las estafas más comunes de Apple Pay. Sigue revisando de vez en cuando para refrescar tu memoria y actualizar tus conocimientos a medida que estas estafas evolucionan”, recomienda Micucci, de ESET.

Se recomienda considerar

• Activar la protección contra dispositivos robados para garantizar que los cambios sensibles requieran Face ID. Ajustes > Face ID y contraseña > Protección de dispositivos robados.
• Activar “permitir notificaciones” para todas las tarjetas de la cartera de Apple Pay, de modo que reciba una alerta en cuanto se realice un pago.
• Si se compra un artículo en línea, utilizar solo las tarjetas de la cuenta de Apple Pay que permitan devoluciones de cargo, por si el vendedor es un estafador.
• Si se utiliza una Wi-Fi pública, asegurarse de usar una red privada virtual (VPN) para que la conexión se mantenga segura y los datos no puedan ser interceptados.
• Considerar la posibilidad de utilizar una VPN proporcionada por un proveedor de ciberseguridad de confianza, que también puede incluir otros servicios para mantener a los usuarios de iOS seguros en línea, incluida la protección de identidad que cuenta con escaneo de la web oscura.

“En caso de creer haber sido víctima de una estafa con Apple Pay, el tiempo es esencial. Es posible que puedas cancelar un pago haciendo clic en la aplicación Apple Pay o poniéndote en contacto con tu banco. Si has compartido involuntariamente tu ID de Apple, tus datos de acceso o la información de tu tarjeta, cambia inmediatamente tus contraseñas y ponte en contacto con tu banco para que cancelen y vuelvan a emitir tus tarjetas. Los monederos digitales nos facilitan la vida. Pero también hacen que sea más rápido y fácil caer en el fraude. Merece, vale, la pena detenerse y pensar un segundo al comprar, vender y revisar mensajes en línea”, concluye Mario Micucci, de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

¡Sigue nuestras noticias en Google! Para obtener información actual, interesante y precisa. Haz clic aquí y conoce todos los contenidos de Puro Vinotinto. Encuéntranos también en X/Twitter e Instagram 

“A esto se suma que muchos de los canales de distribución más efectivos siguen plenamente vigentes en la región. Campañas por SMS o mensajería con enlaces directos, APK modificadas que se comparten fuera de las tiendas oficiales y aplicaciones que logran entrar en tiendas formales con muy pocas reseñas o señales de actividad real siguen siendo vectores clave. Ese ecosistema facilita tanto la circulación de familias conocidas como la aparición constante de variantes nuevas o poco sofisticadas que igual consiguen alcance”, comenta Martina Lopez, Investigadora de Seguridad informática de ESET Latinoamérica.

ESET analiza las 3 familias de códigos maliciosos más detectadas en la región, durante el recién culminado 2025

Trojan.Android/Exploit.CVE-2012-6636: Una vulnerabilidad antigua que sigue presente en el ecosistema móvil debido a que muchas aplicaciones de Android continúan usando componentes heredados. El fallo afecta a apps que emplean WebView con una configuración insegura y que fueron compiladas con versiones previas a Android 4.2. Incluso si el dispositivo es moderno, la aplicación puede mantener ese comportamiento vulnerable. En ese contexto, una página web maliciosa cargada dentro del propio WebView puede interactuar con el código interno de la app de formas que no deberían ser posibles, abriendo la puerta a ejecución de acciones no autorizadas.

En el panorama actual de amenazas móviles, este exploit no suele ser el centro de campañas complejas, pero sí aparece integrado en APK distribuidas por fuera de las tiendas oficiales o presente en aplicaciones que ya no reciben actualizaciones. Existen exploits públicos para CVE-2012-6636, incluso módulos incorporados en frameworks como Metasploit, lo que facilita su uso por parte de actores maliciosos. Además, fue reportado como uno de los exploits más prevalentes para Android en 2023, según el ESET Security Report 2024.

Trojan.Android/Exploit.Lotoor: Es una familia de exploits de escalamiento de privilegios utilizada desde hace más de una década para obtener acceso root en dispositivos Android. Agrupa un conjunto de técnicas que abusan vulnerabilidades del sistema operativo en distintas versiones tempranas de Android, especialmente fallos descubiertos entre 2010 y 2013. Bajo ese paraguas aparecen exploits que aprovechan errores en controladores, servicios del sistema o manejos de memoria que permitían ejecutar código con privilegios superiores al de la aplicación.

Sus módulos siguen reapareciendo dentro de herramientas maliciosas que buscan activar funciones avanzadas como desinstalar apps de seguridad, modificar configuraciones internas o instalar payloads adicionales. No es la primera vez que el equipo de investigación observa a Lotoor en los primeros lugares.

Trojan.Android/Pandora: Es un código malicioso vinculado a una variante de Mirai adaptada para el ecosistema Android. Se observó por primera vez en 2023 dentro de aplicaciones de streaming populares en la región, especialmente en dispositivos Android TV Box y sticks que suelen utilizarse para acceder a contenido no oficial. En esos casos, los atacantes distribuyen APK que funcionan como apps de streaming legítimas, pero que incluyen un componente malicioso capaz de convertir el dispositivo en parte de una botnet. En algunos modelos, incluso se detectó firmware modificado que venía infectado de fábrica, lo que amplificaba el alcance del ataque.

Una vez instalado, Pandora mantiene comunicación con un servidor de comando y control, recibe instrucciones y ejecuta las mismas capacidades típicas de una botnet basada en Mirai, con el foco puesto en lanzar ataques distribuidos de denegación de servicio.

“Este panorama de 2025 nos muestra que las amenazas para Android siguen apoyándose en vectores bien conocidos y en la falta de actualización de dispositivos y aplicaciones, lo que mantiene vigentes exploits y familias que llevan años circulando. Aun así, esto no significa que el riesgo quede limitado a “lo de siempre”. También persisten amenazas menos masivas, pero igual de relevantes, como los troyanos bancarios o las aplicaciones de préstamos fraudulentos, que actúan de forma mucho más focalizada y buscan un impacto directo sobre la economía del usuario. Y, en paralelo, aparecen amenazas emergentes y técnicas cada vez más innovadoras, como un malware capaz de clonar tarjetas mediante NFC, que reflejan un ecosistema móvil en constante evolución y con un nivel creciente de sofisticación”, concluye Lopez de ESET Latinoamérica.

En este contexto, se vuelve vital proteger la información y dispositivos de estas amenazas.

ESET comparte a continuación algunos consejos para evitar ser víctima

• Mantener el dispositivo actualizado y no usar versiones antiguas de Android si existe la posibilidad de actualizar.
• Instalar aplicaciones solo desde tiendas oficiales o fuentes verificadas.
• Evitar APKs de origen desconocido, incluso si prometen funciones “premium” o contenido gratuito.
• Revisar permisos, actividad del desarrollador y cantidad real de reseñas antes de instalar una app.
• Usar soluciones de seguridad confiables que detecten exploits, troyanos y comportamientos anómalos.
• Evitar desactivar protecciones del sistema y no permitir la instalación de apps desconocidas.
• Desconfiar de mensajes, enlaces o anuncios que prometen accesos rápidos, descuentos o funciones especiales.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Puro Vinotinto

Con información e imagenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos