El año 2025 estuvo marcado por pérdidas récord en ataques y fraudes en el universo de las criptomonedas. Solo en la primera mitad del año, los robos ya totalizaron 2,17 mil millones de dólares, superando el valor total registrado en 2024, según Chainalysis. Las proyecciones indican que 2025 podría terminar con más de 4 mil millones de dólares en activos desviados, un máximo histórico.

ESET, compañía líder en detección proactiva de amenazas, repasa algunos de los principales casos ocurridos en 2025 y cómo vulnerabilidades aparentemente simples resultaron en robos millonarios que sacudieron el mercado de criptomonedas.

Este escenario de vulnerabilidad contrasta con la creciente institucionalización del sector donde los ETF de criptomonedas registraron entradas récord de 5.95 mil millones de dólares e inversores corporativos como Strategy (anteriormente MicroStrategy) anunciaron nuevas compras de Bitcoin, el mercado expuso sus debilidades de seguridad. “La BBC señaló que el ataque de 1.500 millones de dólares al exchange Bybit, atribuido a hackers vinculados a Corea del Norte, fue el más grande de la historia, simbolizando así esta contradicción: incluso con avances regulatorios y técnicos, se siguen explotando fallas conocidas”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El año 2025 se consolida como un período de pérdidas históricas para el mercado de criptoactivos. Según CertiK, la industria perdió casi 2.5 mil millones de dólares por ataques y estafas solo en los primeros seis meses del año. Chainalysis , por otro lado, señaló que el volumen de criptoactivos robados en el mismo período superó la marca de 2.17 mil millones de dólares registrada en todo 2024.

Manteniendo este ritmo, según ESET, las pérdidas podrían superar los 4 mil millones de dólares para fin de año, lo que haría de 2025 el año con la mayor cantidad de activos desviados en la historia de las criptomonedas.

Vulnerabilidades que pueden convertirse en pérdidas multimillonarias

ESET ha analizado los incidentes más significativos del año, que ilustran cómo las vulnerabilidades de diferente naturaleza pueden resultar en pérdidas multimillonarias:

1. Ataques a exchanges y plataformas centralizadas (CEX):Entre los episodios más emblemáticos se encuentra el ataque a Bybit, que resultó en el robo de aproximadamente 1.500 millones de dólares en Ethereum, el más grande jamás registrado en la historia de las criptomonedas. En este caso, los atacantes no violaron directamente los servidores del exchange, sino que comprometieron a un proveedor externo de la plataforma, cambiando la dirección de la billetera donde se transfirieron los fondos. ByBit pensó que estaba transfiriendo los fondos a su propia billetera digital, pero lo envió todo a los piratas informáticos. La sofisticación de la operación reveló cómo las cadenas de confianza y las integraciones externas pueden convertirse en puntos de entrada para delincuentes altamente especializados.
2. Exploits en protocolos DeFi: El ataque a Balancer, que causó pérdidas de más de 100 millones de dólares, destacó una de las debilidades recurrentes en el espacio DeFi; errores en el código. Un error en el contrato inteligente permitió retiros no autorizados, exponiendo cómo se pueden explotar pequeñas fallas lógicas para comprometer un protocolo completo. El impacto se extendió a proyectos derivados, como Beets Finance, que también reportó pérdidas millonarias. Estos incidentes refuerzan la importancia de las auditorías continuas e independientes, un desafío para los protocolos que priorizan la innovación y la velocidad de lanzamiento.
3. Estafas de phishing: Si bien las grandes plataformas sufrieron ataques coordinados, los usuarios individuales siguieron siendo los objetivos preferidos. Las estafas de phishing, en las que se engaña a las víctimas para que renuncien voluntariamente a sus credenciales, generaron 410 millones de dólares en pérdidas, según Certik. Se estima que los ataques dirigidos a individuos representaron el 23,35% de todos los fondos robados en el período, una señal de que la ingeniería socialsigue siendo tan eficiente como las intrusiones técnicas.
4. Ataques históricos y vulnerabilidades de puentes: Aunque en 2025 no se produjeron incidentes importantes relacionados con puentes, este tipo de ataque sigue siendo uno de los más destructivos. El recuerdo del caso del puente Ronin, en 2022, cuando se robaron 600 millones de dólares, sigue siendo una alerta permanente. Estas fallas muestran cómo la interconectividad entre redes, esencial para la escalabilidad del ecosistema criptográfico, también amplía la superficie de ataque y puede convertir un solo error de código en un colapso sistémico.

“Los ataques recientes revelan el creciente nivel de profesionalización de la ciberdelincuencia relacionada con las criptomonedas. Incluso con la creciente madurez técnica y regulatoria del ecosistema, los ciberdelincuentes han demostrado que siguen un paso por delante en 2025, mejorando los métodos, explotando las lagunas conocidas y diversificando los objetivos. Si bien la industria ha madurado en regulación, transparencia e infraestructura, muchos de los ataques explotaron errores humanos, integraciones mal administradas y código no auditado, puntos que la innovación por sí sola no elimina”, destaca Gutierrez Amaya.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/.

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Ciberseguridad y criptomonedas: Los avances, riesgos y aprendizajes de 2025   apareció primero en Bitfinance.

El número de filtraciones de datos durante 2024, investigadas por Verizon, aumentó 20 puntos porcentuales en el total de incidentes, con respecto al año anterior. ESET, compañía líder en detección proactiva de amenazas, asegura que la preparación previa es significativamente importante para dar una respuesta eficaz a los incidentes (IR).

Una vez que las amenazas se introducen en la red, el tiempo juega en contra y detenerlas antes de que lleguen a provocar daño es cada vez más difícil: según las últimas investigaciones, en 2024 los adversarios fueron un 22% más rápidos que en el año anterior para progresar desde el acceso inicial hasta el movimiento lateral (también conocido como «tiempo de fuga»). El tiempo medio de penetración fue de 48 minutos, aunque el ataque más rápido registrado fue casi la mitad: solo 27 minutos.

“Una filtración de datos no tiene por qué ser tan catastrófica como parece para los defensores de la red, siempre y cuando los equipos sean capaces de responder con rapidez y decisión a las intrusiones. Aunque cada organización (y cada incidente) es diferente, si todos los miembros del equipo de respuesta a los incidentes saben exactamente lo que tienen que hacer, y nada queda librado al azar o a inventar sobre la marcha, hay más posibilidades de que la resolución sea rápida, satisfactoria y de bajo costo”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Guía sobre cómo actuar durante las primeras 24 a 48 horas

Desde ESET aclaran que ninguna organización es 100% protegida, a prueba de brechas, y que si se sufre un incidente y sospecha de un acceso no autorizado, se debe trabajar metódicamente y con rapidez. Para ello, una guía de cómo actuar durante las primeras 24 a 48 horas rápidamente y con minuciosidad, sin comprometer la precisión ni las pruebas, es de máxima utilidad:

1. Recopilar información y comprender el alcance: El primer paso es comprender exactamente qué sucedió, activar el plan de respuesta a incidentes preestablecido y notificarlo al equipo. Este grupo debe incluir a las partes interesadas de toda la empresa, entre estas las áreas de recursos humanos, de relaciones públicas y comunicación, el departamento jurídico y la dirección ejecutiva. Todos ellos tienen un importante papel que desempeñar tras el incidente.

A continuación, se calcula el radio de acción del ataque: ¿Cómo ha entrado el adversario en la red de la empresa? ¿Qué sistemas se han visto comprometidos? ¿Qué acciones maliciosas han realizado ya los atacantes?

Es preciso documentar cada paso y recopilar pruebas, tanto para evaluar el impacto del ataque, como para la etapa de investigación forense e, incluso para futuros procesos legales. Mantener la cadena de custodia garantiza la credibilidad en caso de que deban intervenir las fuerzas de seguridad o los tribunales.

2. Notificar a terceros: Una vez que se haya establecido qué sucedió, es necesario informar a las autoridades pertinentes.

• Reguladores: Si se ha robado información de identificación personal (PII), hay que ponerse en contacto con las autoridades correspondientes en virtud de las leyes de protección de datos o específicas del sector. En los Estados Unidos, por ejemplo, debe actuarse de acuerdo a las normas de divulgación de ciberseguridad de la SEC o las leyes de violación a nivel estatal.
• Aseguradoras: La mayoría de las pólizas de seguros estipulan que se informe a su proveedor de seguros tan pronto como se haya producido una violación.
• Clientes, socios y empleados: La transparencia genera confianza y ayuda a evitar la desinformación. Es mejor que se enteren antes de que la información se difunda por redes sociales o medios de comunicación.
• Fuerzas y cuerpos de seguridad: Informar de incidentes, especialmente de ransomware, puede ayudar a identificar campañas más grandes, o a proporcionar herramientas de descifrado y apoyo de inteligencia.
• Expertos externos: También puede ser necesario ponerse en contacto con especialistas legales e informáticos externos.

3. Aislar y contener: Mientras se mantiene el contacto con los terceros pertinentes, se debe trabajar con rapidez para evitar la propagación del ataque. Se recomienda aislar de internet los sistemas afectados sin apagar los dispositivos, para limitar el alcance del atacante sin comprometer posibles pruebas valiosas.

Todas las copias de seguridad deben estar fuera de línea y desconectadas para evitar que sean secuestradas o el ransomware pueda corromperlas. Desactivar todos los accesos remotos, restablecer las credenciales VPN y utilizar herramientas de seguridad para bloquear cualquier tráfico malicioso entrante y las conexiones de comando y control.

4. Eliminar y recuperar: Se debe realizar el análisis forense para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde la entrada inicial hasta el movimiento lateral y (si procede) el cifrado o la extracción de datos. Y eliminar cualquier malware persistente, backdoors, cuentas fraudulentas y otros signos de peligro. Para recuperar y restaurar es clave eliminar el malware y las cuentas no autorizadas, verificar la integridad de los sistemas y datos críticos, restaurar copias de seguridad limpias (tras confirmar que no están comprometidas) y vigilar de cerca la aparición de indicios de un nuevo compromiso o de mecanismos de persistencia.

En esta fase puede aprovecharse la reconstrucción de los sistemas para reforzar los controles de privilegios, implementar una autenticación más estricta y robustecer la segmentación de la red. Para acelerar el proceso puede recurrirse a la ayuda de socios que ofrezcan herramientas como Ransomware Remediation de ESET.

5. Revisar y mejorar:Una vez pasado el peligro inmediato, es momento de revisar las obligaciones con los organismos reguladores, los clientes y otras partes interesadas (por ejemplo, socios y proveedores). Es necesario actualizar las comunicaciones una vez que se comprenda el alcance de la infracción, lo que podría incluir una presentación ante los organismos reguladores. Esta iniciativa debería impulsarse desde los asesores jurídicos y de relaciones públicas.

La revisión posterior al incidente puede ser un catalizador para la resiliencia. Una vez que se ha calmado el ambiente, también es buena idea averiguar qué ocurrió y qué lecciones se pueden aprender para evitar que se produzca un incidente similar en el futuro. Un punto útil sería introducir ajustes en el plan de gestión de incidentes o recomendar nuevos controles de seguridad y consejos para la formación de los empleados.

Una cultura sólida tras un incidente trata cada brecha como un ejercicio de entrenamiento para la siguiente, mejorando las defensas y la toma de decisiones en situaciones de estrés

“No siempre es posible evitar una brecha, pero sí minimizar los daños. Si su organización no dispone de recursos para vigilar las amenazas 24 horas al día, 7 días a la semana, considere la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR) de un tercero de confianza. Pase lo que pase, ponga a prueba su plan de IR, y luego vuelva a ponerlo a prueba. Porque el éxito de la respuesta a incidentes no es solo una cuestión de IT. Requiere que una serie de partes interesadas de toda la organización y externas que trabajen juntas en armonía. El tipo de memoria muscular que todos necesitan suele requerir mucha práctica para desarrollarse”, concluye Gutiérrez Amaya de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/.

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Hay 5 acciones clave por ejecutar tras descubrir un ciberataque apareció primero en Bitfinance.

En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenzó a observar una actividad sospechosa relacionada con un nuevo empleado que comenzó a manipular y transferir archivos potencialmente dañinos, e intentó ejecutar software no autorizado. Posteriormente, se descubrió que era un trabajador norcoreano que había engañado al equipo de recursos humanos de la empresa para conseguir un empleo a distancia. En total, consiguió superar cuatro entrevistas por videoconferencia, así como una comprobación de antecedentes previa a la contratación.

ESET, compañía líder en detección proactiva de amenazas, analiza y profundiza sobre este engaño y advierte que ninguna organización es inmune al riesgo de contratar inadvertidamente a un saboteador.

“Las amenazas basadas en la identidad no se limitan al robo de contraseñas o la apropiación de cuentas, sino que se extienden a las personas que se incorporan a la plantilla. A medida que la IA mejora en la falsificación de la realidad, se hace bastante necesario afinar y optimizar los procesos de contratación”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Este tipo de amenaza ha estado presente desde, al menos, abril de 2017, según una alerta de búsqueda del FBI y rastreado como WageMole por ESET Research. Según Microsoft, el gobierno estadounidense ha descubierto más de 300 empresas -algunas de ellas incluidas en la lista Fortune 500- que han sido víctimas de este tipo de ataques, entre 2020 y 2022. Dicha empresa tecnológica se vio obligada en junio a suspender 3.000 cuentas de Outlook y Hotmail creadas por solicitantes de empleo norcoreanos.

Por otra parte, una acusación estadounidense imputa a dos norcoreanos y tres «facilitadores» por haber obtenido más de 860.000 dólares de 10 de las más de 60 empresas en las que trabajaron. El equipo de investigación de ESET advierte que el foco se ha desplazado recientemente a Europa, incluyendo Francia, Polonia y Ucrania. Por su parte, Google ha advertido de que las empresas británicas también están en la mira.

Engaños tras robo de identidades

Estos engaños son posibles, ya que los estafadores crean o roban identidades que coinciden con la ubicación de la organización objetivo y, a continuación, abren cuentas de correo electrónico, perfiles en redes sociales y cuentas falsas en plataformas de desarrolladores como GitHub para añadir legitimidad. Durante el proceso de contratación, pueden utilizar imágenes y vídeos deepfake, o software de intercambio de caras y cambio de voz, para disfrazar su identidad o crear otras sintéticas.

Según los investigadores de ESET, el grupo WageMole está vinculado a otra campaña norcoreana que rastrea como DeceptiveDevelopment. Esta se centra en engañar a desarrolladores occidentales para que soliciten trabajos inexistentes. Los estafadores piden a sus víctimas que participen en un reto de codificación o en una tarea previa a una entrevista. Pero el proyecto que descargan para participar contiene en realidad código troyanizado. WageMole roba estas identidades de desarrolladores para utilizarlas en sus falsos esquemas de trabajadores.

La clave de la estafa reside en los facilitadores extranjeros

• Crear cuentas en sitios web de trabajo autónomo
• Crear cuentas bancarias, o prestar al trabajador norcoreano la suya propia
• Comprar números de móvil, o tarjetas SIM
• Validar la identidad fraudulenta del trabajador durante la verificación del empleo, utilizando servicios de comprobación de antecedentes

Una vez contratado el falso trabajador, estos individuos reciben el portátil corporativo y lo instalan en una granja de portátiles situada en el país de la empresa contratante. A continuación, el trabajador informático norcoreano utiliza VPN, servicios proxy, supervisión y gestión remota (RMM) y/o servidores privados virtuales (VPS) para ocultar su verdadera ubicación.

“El impacto en las organizaciones engañadas podría ser enorme. No solo están pagando involuntariamente a trabajadores de un país fuertemente sancionado, sino que estos mismos empleados a menudo obtienen acceso privilegiado a sistemas críticos. Es una invitación abierta a robar datos confidenciales o incluso a pedir un rescate a la empresa”, resalta el investigador de ESET.

En términos de detección y protección, desde ESET explican cómo evitar que una organización se convierta en víctima

1. Identificar los falsos trabajadores durante el proceso de contratación:

• Comprobar el perfil digital del candidato, incluidas las redes sociales y otras cuentas en línea, en busca de similitudes con otras personas cuya identidad puedan haber robado. También pueden crear varios perfiles falsos para solicitar puestos de trabajo con nombres diferentes.
• Prestar atención a las discrepancias entre las actividades en línea y la experiencia declarada: un “desarrollador senior” con repositorios de códigos genéricos o cuentas creadas recientemente debería hacer saltar las alarmas.
• Asegurarse de que tiene un número de teléfono legítimo y único, y comprobar que su currículum no presenta incoherencias. Comprobar que las empresas mencionadas existen realmente. Ponerse en contacto directamente con las referencias (teléfono/videollamada) y prestar especial atención a los empleados de las empresas de personal.
• Dado que muchos solicitantes pueden utilizar audio, video e imágenes falsificados, insistir en las entrevistas en video y realizarlas varias veces durante la contratación.
• Durante las entrevistas, considerar una advertencia importante cualquier afirmación de que la cámara funciona mal. Pedirle al candidato que apague los filtros de fondo para tener más posibilidades de identificar los deepfakes(los indicios podrían incluir fallos visuales, expresiones faciales que parecen rígidas y poco naturales y movimientos de los labios que no se sincronizan con el audio) Hacerles preguntas basadas en la ubicación y la cultura del lugar donde “viven” o “trabajan”, por ejemplo, sobre la comida o los deportes locales.

2. Vigilar a los empleados en busca de actividades potencialmente sospechosas:

• Estar atento a señales de alarma como números de teléfono chinos, descarga inmediata de software RMM en un portátil recién entregado y trabajo realizado fuera del horario normal de oficina. Si el portátil se autentica desde direcciones IP chinas o rusas, también debe investigarse.
• Vigilar el comportamiento de los empleados y los patrones de acceso al sistema, como inicios de sesión inusuales, transferencias de archivos de gran tamaño o cambios en el horario de trabajo. Centrase en el contexto, no solo en las alertas: la diferencia entre un error y una actividad maliciosa puede estar en la intención.
• Utilizar herramientas contra amenazas internas para detectar actividades anómalas.

3. Contener la amenaza:

• Si se cree haber identificado a un trabajador norcoreano en la organización, actuar con cautela al principio para no ponerle sobre aviso.
• Limitar su acceso a recursos sensibles y revisar su actividad en la red, limitando este proyecto a un pequeño grupo de personas de confianza de los departamentos de seguridad informática, recursos humanos y jurídico.
• Conservar las pruebas e informe del incidente a las fuerzas de seguridad, al tiempo de buscar asesoramiento jurídico para la empresa.

“Además, es buena idea actualizar los programas de formación sobre ciberseguridad. Y asegurarse de que todos los empleados, especialmente los responsables de contratación de IT y el personal de recursos humanos, comprenden algunas de las señales de alarma a las que hay que prestar atención en el futuro. Las tácticas, técnicas y procedimientos (TTP) de los actores de amenazas evolucionan constantemente, por lo que estos consejos también deberán cambiar periódicamente. Los mejores métodos para evitar que los falsos candidatos se conviertan en informadores maliciosos combinan los conocimientos humanos y los controles técnicos. Asegurarse de cubrir todas las bases”, sugiere Gutiérrez Amaya de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/.

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Cómo detectar falsos postulantes a empleos: Espionaje corporativo con informantes malintencionados apareció primero en Bitfinance.

Durante octubre se celebra el mes de la Concienciación sobre la Ciberseguridad, una iniciativa global para reforzar los hábitos seguros en el entorno digital. En la región latinoamericana los riesgos en ciberseguridad son concretos, según el último ESET Security Report 2025, 1 de cada 4 empresas ya ha sufrido un ciberataque en el último año. Pero no solo las empresas son vulnerables, ya que las campañas masivas de phishing buscan atraer al público general y simulan mensajes de empresas de correos con supuestos problemas de entregas, o de organismos gubernamentales que comunican multas inexistentes, citaciones judiciales, entre tantos otros intentos de engañar y generar urgencia para que se actúe bajo presión.

En este contexto, ESET, compañía líder en detección proactiva de amenazas, advierte que cualquier persona usuaria de servicios en línea es blanco de ataque y comenta que, es necesario abordar algunos mitos que aún persisten sobre la seguridad digital y que pueden poner en riesgo tanto a usuarios personales como a sistemas corporativos.

La seguridad no es solo tecnología, también es proceso y gobernanza

LOS MITOS:

1. No soy un objetivo, porque no tengo nada de valor: Es común que las personas crean que los ciberataques solo apuntan a grandes empresas o figuras públicas. La realidad es que cualquier dato personal tiene valor para los ciberdelincuentes, desde información bancaria hasta credenciales de correo electrónico o redes sociales. Las estafas digitales llegan a millones de usuarios comunes, independientemente de su perfil o relevancia en línea.

“Subestimar el riesgo crea una falsa sensación de seguridad y conduce a comportamientos riesgosos, como no habilitar la autenticación multifactor, usar contraseñas débiles o hacer clic en enlaces sospechosos. Estas debilidades son una oportunidad única para ataques que resultan en robo de datos, clonación de tarjetas, apropiación de cuentas o incluso extorsión digital, a usuarios que creen no ser blanco de ataques”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

2.Mi antivirus me protege contra todo: El antivirus es una pieza importante de la defensa, pero no cubre todos los vectores de ataque. La ingeniería social, las fallas en los procesos, la mala administración de privilegios, los ataques a la cadena de suministro y brechas de visibilidad operativa, son acciones que un antivirus por sí solo no puede resolver.

Un ejemplo de esto se dio en Brasil, el caso de C&M Software expuso cómo las lagunas en los procedimientos, la falta de controles y las fallas en la gestión de terceros permitieron el desvío de recursos y comprometieron la seguridad operativa de la organización. Esto demostró que la seguridad no es solo tecnología, también es proceso y gobernanza. Otro punto crítico es que muchos ataques explotan credenciales filtradas, debilidades humanas o flujos de autorización inseguros, escenarios en los que una solución antivirus no evita la intrusión inicial o la escalada de acceso. Por lo tanto, la estrategia de defensa actual debe estar en capas.

3.Mi contraseña es segura, puedes usarla en todo: Aunque una contraseña sea segura, reutilizarlas en múltiples servicios presenta un riesgo. En la práctica, los delincuentes que se especializan en ataques automatizados, como el relleno de credenciales (credential stuffing), donde utilizan combinaciones de correo electrónico y contraseña filtradas para intentar acceder a otras cuentas automáticamente. Si la contraseña es la misma, el acceso es inmediato y silencioso.

Por otro lado, la reutilización de contraseñas hace que estafas como el phishing y la apropiación de cuentas sean más efectivas, porque los ciberdelincuentes pueden combinar información de diferentes servicios para engañar al usuario de manera más convincente. Incluso si una plataforma tiene una protección sólida, si se usa la misma contraseña en un sitio web con seguridad débil, el riesgo se replica.

“Confiar exclusivamente en contraseñas seguras y únicas crea una falsa sensación de seguridad y deja a los usuarios vulnerables a intrusiones, robo de identidad y fraude financiero. La protección eficaz requiere no solo contraseñas seguras, sino también una combinación de autenticación multifactor, monitoreo de actividades sospechosas y buenas prácticas de administración de credenciales”, agrega Gutiérrez Amaya de ESET.

4.Mi celular está seguro, solo tengo que preocuparme por la computadora: Muchas personas creen que sus teléfonos inteligentes o tabletas están protegidos porque son dispositivos más pequeños o modernos, y que los ataques cibernéticos no les afectan. Los dispositivos móviles son objetivos frecuentes de estafas sofisticadas, y los riesgos aumentan a medida que se concentra información personal, financiera y profesional en ellos. La defensa móvil efectiva implica contraseñas seguras, autenticación multifactor, tener cuidado con las aplicaciones y enlaces sospechosos, actualizaciones periódicas y prestar atención a llamadas telefónicas inesperadas.

Además de los casos de phishing y vishing y otros de ingeniería social, también los dispositivos, tanto Android como Apple, y otros, son blanco de distribución de malware, con aplicaciones falsas y explotación de vulnerabilidades del sistema, que pueden comprometer el dispositivo incluso sin interacción directa del usuario. De hecho, se ha identificado en el pasado como apps maliciosas han permanecido en las tiendas oficiales de Google por un tiempo considerable sin ser detectadas. O cómo, hacia fines de 2023, se había advertido un aumento de las aplicaciones de préstamos en Android que no eran más que vías de entrada para programas espías.

5.La ciberseguridad es responsabilidad exclusiva del sector IT: Todo usuario tiene un papel esencial en la protección de datos y sistemas. La persona que adopta buenas prácticas contribuye a fortalecer la seguridad de toda la organización o comunidad en línea. Hábitos simples como verificar enlaces antes de hacer clic, mantener contraseñas seguras y únicas, habilitar la autenticación multifactor y reportar actividades sospechosas crean barreras efectivas que complementan las tecnologías y políticas de IT.

Cuanto más actúe cada persona de forma consciente, más resistente será el ecosistema digital

“Cuando todos nos involucramos, la conciencia colectiva se convierte en una poderosa defensa, capaz de prevenir estafas, fraudes e invasiones, proteger la información personal y corporativa y la comunidad digital en su conjunto. Cuanto más actúe cada persona de forma consciente, más resistente será el ecosistema digital. Es importante recordar que la ciberseguridad es responsabilidad de todos, y los pequeños hábitos marcan una gran diferencia”, concluye el investigador de ESET Latinoamérica.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/.

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Mitos sobre ciberseguridad que pueden ponerte en riesgo: ESET analiza 5 bastante comunes apareció primero en Bitfinance.

Ante las dudas e inquietudes económicas, no es de extrañar que se busquen alternativas para que el dinero rinda un poco más. Esto lleva a que usuarios con poca experiencia en inversiones se interesen y den sus primeros pasos. ESET, compañía líder en detección proactiva de amenazas, advierte que los estafadores se aprovechan de esta curiosidad o necesidad con engaños cada vez más sofisticados en redes sociales y alerta que las estafas potenciadas con inteligencia artificial producen anuncios falsos, deepfakes y promesas de ganancias que buscan engañar incluso a los usuarios más cautelosos.

“¿Sabrías distinguir entre un anuncio de inversión real y uno falso? Cada vez es más difícil hacerlo. Los actores o autores de amenazas cuentan hoy con diversas tácticas para hacer sus engaños más verosímiles, incluidos los videos deepfake generados con inteligencia artificial. Si bien son muchas las tácticas, técnicas y procedimientos (TTP) asociados a este tipo de fraude, la mayoría empiezan con anuncios maliciosos o engañosos que circulan por las redes sociales. Suelen utilizarse como señuelo para engañar a la víctima, ya sea para que facilite información personal o para dirigirla directamente a una estafa de inversión”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Según el FBI, las estafas relacionadas con inversiones han sido la principal fuente de ingresos para los ciberdelincuentes durante varios años. En el último recuento, ganaron casi 6.600 millones de dólares, y eso solo por los delitos denunciados a los federales. Esta cifra eclipsa los 2.800 millones de dólares obtenidos por el segundo puesto, el correo electrónico comercial comprometido (BEC).

Un ejemplo de este tipo de campañas se identificó en junio de 2025, cuando anuncios de Instagram se hacían pasar por bancos legítimos. Algunos utilizaban ofertas tentadoras, como cuentas con tipos de interés elevados, en un intento de persuadir a la víctima para que hiciera clic e introdujera sus datos bancarios. En otros casos, utilizaban historias de Instagram deepfake protagonizadas por estrategas de inversiones bancarias para recopilar información personal y/o atraerlos a grupos de WhatsApp con temas de estafas de inversión. Una campaña de 2024 difundía un video falso de Lionel Messi para promover supuestas inversiones mediante una aplicación que prometía ganancias altas.

También en 2024, ESET observó la campaña del troyano Nomani. El contenido de los anuncios y los sitios web de phishing a los que enlazaban estaban diseñados para hacerse pasar por medios de noticias locales y otras organizaciones. O bien podría ser un visual genérico de temática financiera con nombres que cambian con frecuencia como «Quantum Bumex, Immediate Mator o Bitcoin Trader». Algunas de las características de la campaña de Nomani (y de otras campañas similares), son:

• Contenido muy localizado para atraer a víctimas regionales específicas.
• Distribución a través de anuncios falsos en Facebook, Instagram, X, YouTube, así como Messenger y Threads.
• Testimonios en vídeo deepfake utilizando potencialmente a celebridades, a menudo mostrados en vídeos de baja calidad y con repetición no natural de palabras clave.
• Uso de cuentas falsas y pirateadas para ejecutar los anuncios (incluido, en un caso, un actor con 300.000 seguidores).
• Plantillas y callbacks compartidos que apuntan a la misma infraestructura de alojamiento.

En esta campaña, según ESET, el objetivo pretendido es persuadir a la víctima para que entregue su información personal, que es utilizada por los estafadores para contactarlo directamente. Utilizan este método para engañarles y conseguir que se apunten a una estafa de inversión, pidan un préstamo o incluso instalen un software de acceso remoto en su dispositivo. ESET observó un aumento del 335% en las amenazas Nomani entre H1 y H2 de 2024, y bloqueó más de 8.500 dominios relacionados.

Si bien estas técnicas parecen indicadores claros de fraude, puede ser mucho más difícil detectarlos, especialmente si se buscan oportunidades para aliviar presiones financieras. Desde ESET aseguran que la continua efectividad de este tipo de estafas, como los anuncios financieros fraudulentos, se debe a que:

• Los tiempos son difíciles, y la posibilidad de obtener ganancias financieras rápidas y sencillas es atractiva.
• La capacidad de atención está disminuyendo, especialmente en los dispositivos móviles, por lo que las señales de advertencia pueden no ser detectadas a tiempo.
• Muchas personas no están familiarizadas con las últimas TTP de amenazas, como el uso de vídeos deepfake, lo que los hace más vulnerables.
• Muchas de estas amenazas están localizadas, utilizan cuentas legítimas (secuestradas) y pueden aparecer en las primeras posiciones de las búsquedas.
• Los mecanismos antifraude tradicionales de los bancos no suelen funcionar si la manipulación se realiza también socialmente por teléfono para invertir en un plan tramposo.

Las estafas de inversión son muy frecuentes y desde ESET señalan que es necesario prestar atención a estas señales de advertencia

• Anuncios llamativos (que pueden aprovechar marcas legítimas) que ofrecen rentabilidades demasiado buenas para ser ciertas o tipos de interés inusualmente altos.
• Avales de famosos, suelen ser el anzuelo para darle una cierta legitimidad. Comprobar siempre si el aval es legítimo.
• Vídeos que no se ven del todo bien, por ejemplo, con fallos visuales, mala sincronización de audio y vídeo, baja resolución o voces robóticas o demasiado pulidas.
• Presión para actuar con rapidez y asegurar la inversión.
• Retorno de la inversión garantizado.

Además, aconsejan mantenerse en alerta frente a las señales de advertencia, resistir tentación de hacer clic en anuncios sobre finanzas o inversiones, aunque parezcan promovidos por marcas y personas legítimas, buscar reseñas en Internet sobre un plan o grupo de inversión concreto para comprobar su veracidad, no invertir en productos financieros sin haberlos estudiado y saber bien cómo funcionan, ignorar cualquier propuesta no solicitada de terceros, nunca compartas información personal y/o financiera después de hacer clic en un anuncio en línea, así como chequear siempre la información que se vea circular con la entidad supuestamente emisora por los canales oficiales. Por último, utilizar software de seguridad en todos los dispositivos de un proveedor de confianza como ESET, que ayudará a bloquear las estafas

“En tiempos de incertidumbre económica, es comprensible que busquemos alternativas para mejorar nuestra situación financiera. Pero justamente esa necesidad es la que los estafadores aprovechan con tácticas cada vez más sofisticadas. Por eso, desconfiar de lo fácil, reconocer las señales de alerta y proteger tus datos personales es fundamental para evitar caer en este tipo de engaños”, concluye el investigador de ESET.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Bitfinance.News

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Aumentan las estafas a inversores en redes sociales con ayuda de la inteligencia artificial  apareció primero en Bitfinance.

El credential stuffing (o relleno de credenciales) es un tipo de ciberataque en el que los actores maliciosos utilizan usuarios y contraseñas que hayan sido filtradas para iniciar sesión en cuentas y servicios distintos al que sufrió la filtración. El éxito de estos ataques se vale del hábito de reutilizar la misma contraseña para diferentes cuentas o servicios. Entonces, si una contraseña se filtra, los atacantes solo deben probarla en otros sitios donde el usuario ya tenga cuenta, ya que si hay coincidencia, acceden sin necesidad de vulnerar el sistema. ESET, compañía líder en detección proactiva de amenazas, analiza cómo es un ataque de credential stuffing, por qué son tan efectivos, cuáles pueden ser sus consecuencias y cómo evitarlos.

“Repetir contraseñas es como usar la misma llave para abrir la casa, automóvil, oficina y la caja fuerte. Prestar atención y gestionar las contraseñas correctamente es tan importante como cerrar la puerta de casa con llave. Hábitos simples pueden marcar la diferencia: evitar la reutilización de contraseñas, activar el doble factor de autenticación y usar un gestor seguro son prácticas que necesitamos incorporar para estar protegidos ante este tipo de amenazas y muchas otras”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

El inicio de un ataque de credential stuffing es la obtención por parte del cibercriminal de credenciales filtradas, las mismas son provocadas por casos de brechas en información, de empresas y organizaciones importantes y reconocidas, e involucra la exposición de millones de datos. Con esa información sensible disponible, y mediante la utilización de bots o scripts automatizados, se realizan pruebas de esas contraseñas en diversos sitios, cuentas o servicios (como Netflix, Gmail, bancos, redes sociales, entre otras). Se llegan a probar miles de logins por minuto.

En caso de que se encuentre una coincidencia, se realiza el ingreso a las cuentas. Este acceso sería idéntico al del usuario legítimo, lo que dificulta su detección, ya que no hay una actividad sospechosa como pueden ser los intentos fallidos reiterados.

Para entender mejor el impacto de estos ataques, desde ESET repasan dos casos concretos que muestran cómo el credential stuffing puede comprometer miles de cuentas

• Caso PayPal: Entre el 6 y el 8 de diciembre de 2022, PayPal sufrió un ataque de credential stuffing que comprometió cerca de 000 cuentas, exponiendo información sensible como nombres, direcciones, fechas de nacimiento y números de identificación tributaria.
• Snowflake: Más de 165 organizaciones fueron afectadas cuando atacantes accedieron a cuentas de clientes de Snowflake utilizando credenciales robadas mediante malware tipo infostealer. Aunque no se vulneró directamente la infraestructura de Snowflake, los atacantes aprovecharon la falta de autenticación multifactor y el uso de contraseñas antiguas.

“Las grandes filtraciones de datos son la principal vía por la que los cibercriminales obtienen estas credenciales, y suceden con más frecuencia de la esperada”, agrega el especialista de ESET.

En junio de 2025, otro ejemplo fue una serie de bases de datos que sumaban 16 mil millones de registros estuvo alojada en repositorios mal configurados que quedaron expuestos y públicos. Aunque la exposición fue temporal, fue suficiente para que los investigadores, o cualquier persona, accedieran a los datos, que incluían combinaciones de usuario y contraseña para servicios online como cuentas de Google, Facebook, Meta, Apple, entre otros.

Pero no fue la única del año: en mayo, el investigador de seguridad Jeremiah Fowler reveló la exposición pública de 184 millones de credenciales de acceso de cuentas de usuarios de todo el mundo. Allí se incluían información de diversos proveedores de servidores de correo electrónico, productos de Apple, Google, Facebook, Instagram, Snapchat, Roblox, por nombrar solo los más conocidos. No solo eso: entre los registros había credenciales de bancos y otras entidades financieras, plataformas de atención de salud y portales de gobiernos de varios países.

Para evitar un ataque de credential stuffing ESET recomienda distintas acciones

1. Fundamental: no reutilizar una misma contraseña en diferentes cuentas, plataformas y servicios.
2. Tener contraseñas robustas, seguras y únicas en cada una de las cuentas. Para ello, es muy útil un gestor de contraseñas, herramienta diseñada para almacenar credenciales de acceso y protegerlas mediante cifrado, y además contar con una funcionalidad dedicada a generar contraseñas complejas y robustas.
3. Activar el doble factor de autenticación en todas las cuentas y servicios que sea posible. El segundo factor es clave si una contraseña cae en las manos equivocadas, ya que el ciberatacante no podrá acceder sin él a las cuentas.
4. Verificar si las contraseñas o credenciales de acceso ya fueron filtradas en alguna brecha de datos, para cambiarlas de inmediato. Por ejemplo, en el sitio haveibeenpwned.com.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

Con información e imagen principal suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Credential stuffing: el riesgo de repetir contraseñas y cómo protegerse apareció primero en Bitfinance.

No es una novedad que la Inteligencia Artificial llegó para revolucionar el mundo, así como que los ciberdelincuentes han sabido aprovechar todo este potencial para armar ataques de ingeniería social dirigidos, muy realistas y sofisticados. Las técnicas que involucran la clonación de voz para hacerse pasar por familiares, amigos o conocidos están en pleno auge con el objetivo de obtener información privada o directamente dinero de sus víctimas. ESET, compañía líder en detección proactiva de amenazas, analiza la metodología que utilizan los atacantes en este tipo de engaños, cómo pueden afectar a las personas y de qué manera debemos evitar ser víctimas.

Los cibercriminales o delincuentes informáticos toman pequeños fragmentos de una grabación real y mediante el uso de la Inteligencia Artificial (IA) y los patrones de voz, crean conversaciones y frases para llevar a cabo sus engaños, con consecuencias tan graves como costosas.  Estas muestras las obtienen de grabaciones de voz o de videos que estén publicados en redes sociales como Instagram o TikTok.

Para dimensionar cuál es su impacto, la Comisión Federal de Comercio de los Estados Unidos informó que en 2023 ese país perdió 2.700 millones de dólares solo por estafas. En esa línea, Starling Bank (banco británico que opera de manera online) alertó sobre la preponderancia de este tipo de estafas en el Reino Unido. La encuesta realizada a más de 3.000 personas reveló que más de una cuarta parte de los adultos afirma haber sido víctima de una estafa de clonación de voz mediante inteligencia artificial al menos una vez en el año. Además, el 46% de los encuestados mencionó que no sabía que existían tales estafas.

El crecimiento del número de estafas que involucran a la Inteligencia Artificial llevó al FBI a emitir un comunicado para alertar a las personas: “Los atacantes están aprovechando la IA para crear mensajes de voz o video y correos electrónicos muy convincentes para permitir esquemas de fraude contra individuos y empresas por igual. Estas tácticas sofisticadas pueden resultar en pérdidas financieras devastadoras, daño a la reputación y compromiso de datos confidenciales”, remarcó el organismo de investigaciones estadounidense.

Recomendaciones de ESET

Desde ESET advierten que ante este tipo de estafas que involucran la ingeniería social, el primer consejo es mantenerse bien alerta. Esto quiere decir, prestar especial atención a aquellos mensajes inesperados que llegan con la urgencia de solicitar dinero o credenciales de ciertas cuentas. Y en esa misma línea, devolver la llamada al familiar o amigo correspondiente a un número de teléfono conocido.

Otra de las medidas sugeridas por el equipo de investigación de ESET es tener una “frase segura”, que sea acordada previamente entre familiares y amigos, con el objetivo de comprobar si la persona que está hablando del otro lado es quien realmente dice ser.

También es muy importante implementar la autenticación multifactor siempre que se pueda. Se trata de agregar una capa de seguridad extra, con el objetivo de que los ciberdelincuentes no puedan acceder a nuestras cuentas y sistemas.

“En el caso de las empresas, más allá de combinar soluciones para reducir la cantidad de correos electrónicos, llamadas y mensajes de phishing que llegan a sus colaboradores, es primordial educar y concientizar a sus equipos de colaboradores para que puedan detectar los engaños y no caer en la trampa”, comentó y compartió Camilo Gutiérrez Amaya, Jefe del Laboratorio de investigación de ESET Latinoamérica.

Coordenadas de contacto con ESET, empresa especialista en seguridad digital e informática, fuente de la presente información y recomendaciones: https://www.eset.com/ve/.

También sus redes sociales: Instagram (@esetla) y Facebook: (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Crecen estafas que se aprovechan de la clonación de voz con Inteligencia Artificial apareció primero en Bitfinance.

El mundo de los videojuegos cambió su dinámica de ingresos: ya no basta con comprar el juego, sino que ahora se abre un abanico de posibilidades para que los usuarios adquieran ciertos artículos para progresar u obtener beneficios, lo cual tiene una segunda cara o lado peligroso que creció luego de la pandemia y con el que muchas familias ya están lidiando: la ludopatía.

En el contexto del Día del Gamer, 29 de agosto, ESET, compañía líder en detección proactiva de amenazas, analiza el mundo de las apuestas y los videojuegos, la adicción que puede generar en niños y adolescentes, y el rol de los influencers que se benefician cuando los usuarios pierden. Además, comparte cuáles son las medidas que están tomando los países ante esta situación y qué acciones pueden tomar las madres y los padres para ayudar y orientar a sus hijos.

“Hace no muchos años atrás, los videojuegos solían ser una compra única: eso ya garantizaba la experiencia completa. Pero actualmente las empresas de la industria muchas veces ofrecen a sus usuarios los videojuegos de forma gratuita, siendo las «cajas de botín» (o Loot Boxes) y otras transacciones dentro del juego, la fuente de ingreso más importante de ganancia”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Las “CAJAS DE BOTÍN”, son una dinámica de monetización específica que se ve representada en productos que se pueden adquirir en alguna fase puntual de un juego. Pueden esconder elementos o recompensas muy valoradas por las comunidades. Eso sí, tienen un costo y su contenido es aleatorio. Las mismas adquirieron un status tan importante que hasta surgió una economía con base en ellas, y hasta se pueden utilizar para apostar en sitios de terceros.

Algo que comenzó como un juego, con el tiempo, se fue convirtiendo en una gran preocupación para padres, madres y hasta gobiernos debido a que su formato de apuestas estilo casino para obtenerlas y comercializarlas, fomentan un gasto adictivo del consumidor. Esto, además, se potencia con la gran accesibilidad que permiten los dispositivos móviles y el poco (o nulo) control que existe respecto de la mayoría de edad de los usuarios en estas plataformas.

Ludopatía infantojuvenil

Las consecuencias pueden ser muy graves: desde generar un hábito adictivo en los usuarios, como el endeudamiento por grandes sumas de dinero, muchas veces hasta desconocidas por parte de los propios padres y madres. Así, la ludopatía infantojuvenil emerge como una adicción al juego en personas menores de edad, que se manifiesta en comportamientos compulsivos en videojuegos y apuestas en línea, entre otros.

Más allá de esto, las grandes franquicias de videojuego como Candy Crush, Fornite, FIFA, League of Legends, o Final Fantasy continúan lanzando títulos cuyos ingresos para compensar el costo del desarrollo del propio juego dependen en gran medida de las “cajas de botín” o microtransacciones. Tanto es así que estudios recientes estiman que para 2025 las “cajas de botín” generarán más de 20.000 millones de dólares.

“La mecánica de las “cajas de botín” literalmente funciona como cualquier casino: el usuario debe recargar la cuenta con fondos monetarios, luego hace su apuesta y por último espera a que giren los gráficos para saber si ganó o perdió. Así es como el servicio con el que cuentan los videojuegos, ofrecen similitudes alarmantes con las características de un casino en línea: de hecho, imitan la ruleta y hasta las máquinas tragamonedas”, agrega el investigador de ESET. La diferencia fundamental entre los casinos y la dinámica que proponen los videojuegos es que estos últimos no cuentan con una licencia de juego de algún organismo oficial y, en muchos casos, tampoco ofrecen una verificación fiable que evite que los menores de 18 años hagan sus apuestas. Vale recordar que es ilegal que un menor de edad realice apuestas.

La vinculación de los videojuegos y las apuestas se ve, en ciertos casos, potenciada por la figura de los influencers, quienes desempeñan un papel clave y a la vez ambiguo en el crecimiento de esta problemática. Esto se debe a que muchos de ellos promueven plataformas de apuestas o dan recomendaciones que, directa o indirectamente, llevan a sus seguidores a realizar apuestas que lógicamente pueden terminar en pérdida de dinero.

Lo que se destaca dentro de esta dinámica, es que son varios los influencers que reciben pagos y comisiones de estas plataformas de apuestas, pero basadas en las pérdidas de dinero de sus seguidores. El conflicto de intereses es tan claro como controversial, los influencers tienen un incentivo financiero para que sus seguidores pierdan dinero en vez de ganarlo.

Una problemática seria

Un ejemplo real de esto fue lo sucedido en 2016 con los YouTubers TmarTn y Syndicate, quienes promovían sitios de apuestas de skins de Counter Strike y fueron acusados por no revelar que tenían puestos sus intereses financieros en las páginas que promovían. En ambos casos ganaban dinero por las visitas a cada uno de sus videos, pero también con las pérdidas de los usuarios en los sitios de apuestas que promocionaban y que hasta era de su propiedad.

Para contrarrestar esta tendencia, son muchos los países que tomaron este escenario como una problemática seria, y por eso han comenzado a promulgar leyes y reglamentaciones en contra del funcionamiento de los sitios que operan en una zona gris, sin licencia oficial ni controles adecuados.

En Argentina, por ejemplo, el gobierno de la ciudad de Buenos Aires envió cartas documentos a un gran número de influencers debido a que hicieron publicidad en sus redes sociales para plataformas de juegos de apuestas online.

En Estados Unidos, por su parte, tomaron acciones concretas para regular el acceso de jóvenes a los sitios de apuestas online. De hecho, hay leyes que obligan a estas webs a implementar tecnologías más avanzadas de verificación de edad y otras que limitan la cantidad de dinero que se puede apostar.

Otro caso es el de Reino Unido, país en el que la Comisión de Apuestas implementó regulaciones muy estrictas que apuntan a limitar la publicidad de juegos de azar como el acceso a personas menores de edad, mientras que en España prohíben el acceso de menores a las cajas de botín para evitar conductas adictivas y en Australia se introdujeron reformas cuyo objetivo principal es tener controles más estrictos sobre la identidad de los usuarios para también prevenir el desarrollo de futuras adicciones.

Para acompañar a los más pequeños en sus interacciones en Internet, el primer paso es no subestimar la problemática subyacente entre los videojuegos y las apuestas. Estudios recientes sugieren que las compras de “cajas de botín” y hábitos similares, pueden conducir a que los niños y adolescentes evidencien problemas de juego en el futuro y otros problemas severos.

Acompañamiento y consejos

Para evitarlo, desde ESET, comparten acciones concretas que se pueden implementar para acompañar y aconsejar a los más chicos en medio de este preocupante escenario:

• Tener conversaciones con los niños/adolescentes sobre sus actividades en línea e intereses.
• Dar información sobre qué es la ludopatía y sus consecuencias.
• Realizar un análisis en conjunto de las publicidades de apuestas, a fin de que puedan tomar buenas decisiones e incorporar buenos hábitos.
• Incentivarlos a que realicen actividades recreativas, sin el dispositivo móvil.
• Como personas mayores, dar el ejemplo y dar un uso equilibrado a los dispositivos.

Coordenadas de contacto con ESET en Venezuela: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET)

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Apuestas en videojuegos: tendencia que preocupa respecto a niños y adolescentes  apareció primero en Bitfinance.

ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de phishing dirigida a usuarios de móviles que tenía como objetivo a clientes de bancos. Esta novedosa técnica delictiva instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de aplicaciones, la misma afecta tanto a usuarios de iOS como de Android. La mayoría de los casos conocidos al momento se han producido en República Checa, y aplicaciones dirigidas al banco húngaro OTP Bank y al banco georgiano TBC Bank.

El equipo de investigación de ESET identificó una serie de campañas de phishing dirigidas a usuarios móviles que utilizaban tres mecanismos de entrega de URL diferentes: llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.

La entrega de llamadas de voz se realizó a través de una llamada automatizada que advertía al usuario sobre una aplicación bancaria desactualizada y le pedía que seleccione una opción en el teclado numérico. Tras pulsar el botón correcto, se enviaba una URL de phishing por SMS.

El acercamiento inicial por SMS se realizó mediante el envío indiscriminado de mensajes a números de teléfono checos. El mensaje enviado incluía un enlace de phishing y un texto para que las víctimas realizaran ingeniería social y visitaran el enlace.

La propagación a través de anuncios maliciosos se realizó mediante el registro de anuncios en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios a que «descargaran una actualización a continuación». Esta técnica permitió a los actores de amenazas especificar el público objetivo por edad, sexo, etc. Los anuncios aparecían entonces en las redes sociales de las víctimas.

Después de abrir la URL entregada en la primera etapa, las víctimas de Android se encontraban con una página de phishing de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación de la aplicación.

A partir de ahí, se pide a las víctimas que instalen una «nueva versión» de la aplicación bancaria. Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (solo para usuarios de Android), o como Aplicación Web Progresiva (PWA, por sus siglas en inglés) para usuarios de iOS y Android. Lo destacado de esta instancia es que elude las advertencias tradicionales de los navegadores de «instalar apps desconocidas»: este es el comportamiento por defecto de la tecnología WebAPK de Chrome, de la que abusan los atacantes.

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS. Al final, no se advierte a los usuarios de iOS sobre la adición de una aplicación potencialmente dañina a su teléfono.

Tras la instalación, se pide a las víctimas que introduzca sus credenciales bancarias por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información facilitada se envía a los servidores de C&C de los atacantes.

Los anuncios maliciosos incluían una mezcla de la mascota oficial del banco (camaleón azul), así como logotipos del banco y texto que prometía una recompensa económica al instalar la aplicación o advertía a los usuarios de que se había lanzado una actualización crítica.

Toda la información de acceso robada se registraba a través de un servidor backend, que luego enviaba los datos de acceso bancario introducidos por el usuario a un chat de grupo de Telegram. Las llamadas HTTP para enviar mensajes al chat de grupo del actor de la amenaza se realizaron a través de la API oficial de Telegram. Según mencionan desde ESET: esta técnica no es nueva y se utiliza en varios kits de phishing.

Advertencia

“Dado que se emplearon dos infraestructuras de C&C drásticamente diferentes, hemos determinado que dos grupos distintos son responsables de la propagación de las aplicaciones de phishing. Seguramente se crearán más aplicaciones de imitación, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing. Toda la información sensible encontrada durante nuestra investigación se envió rápidamente a los bancos afectados para su procesamiento. También coordinamos el desmantelamiento de múltiples dominios de phishing y servidores de C&C”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Coordenadas de contacto con ESET en Venezuela: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Aplicaciones bancarias maliciosas: Nuevo phishing contra usuarios de Android e iOS apareció primero en Bitfinance.

Hoy en día, es más probable que la infraestructura, las plataformas y el software informáticos se ofrezcan como un servicio en una configuración tradicional in situ. Esto resulta muy atractivo para pequeñas y medianas empresas (pyme), más que a la mayoría, ya que permite competir en igualdad de condiciones con rivales de mayor envergadura, con más agilidad empresarial y una rápida escalabilidad, sin necesidad de gastar demasiado. Es por esto que ESET, compañía líder en detección proactiva de amenazas, advierte que la transformación digital también conlleva riesgos sin importar el tamaño de las empresas y comparte puntos clave de seguridad a tener en cuenta para evitar errores.

“El 53% de las pymes encuestadas en un informe reciente afirman que gastan más de 1,2 millones de dólares al año en la nube, frente al 38% del año pasado. Además, la seguridad (72%) y el cumplimiento de normativas (71%) son el segundo y tercer reto más citado por las pymes encuestadas. El primer paso para hacer frente a estos retos es comprender los principales errores que cometen las empresas más pequeñas con sus implementaciones en la nube. De todas formas, no son solo errores que cometen las pymes en la nube, las empresas más grandes y con más recursos son a veces culpables de olvidar lo básico. Al eliminar estos puntos ciegos, su organización puede dar grandes pasos hacia la optimización de su uso de la nube, sin exponerse a riesgos financieros, o de reputación, potencialmente graves”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

Los 7 principales errores de seguridad en la nube que cometen las Pymes (y no tan Pymes), según ESET

1. Sin autenticación multifactor (MFA): Las contraseñas estáticas son intrínsecamente inseguras y no todas las empresas siguen una política sólida de creación de contraseñas. Las contraseñas pueden ser robadas de varias maneras, por ejemplo mediante phishing, métodos de fuerza bruta o simplemente adivinadas. Por eso es necesario añadir una capa adicional de autenticación (doble llave o doble factor). La MFA hará mucho más difícil que los atacantes accedan a las aplicaciones de las cuentas SaaS, IaaS o PaaS de sus usuarios, mitigando así el riesgo de ransomware, robo de datos y otros posibles resultados. Otra opción consiste en cambiar, siempre que sea posible, a métodos alternativos de autenticación, como la autenticación sin contraseña.
2. Depositar demasiada confianza en el proveedor de la nube: Muchos responsables de TI creen que invertir en la nube significa efectivamente externalizar todo a un tercero de confianza. Esto es cierto solo en parte: existe un modelo de responsabilidad compartida entre el proveedor y el cliente, para asegurar la nube. Lo que hay que tener en cuenta dependerá del tipo de servicio -SaaS, IaaS o PaaS- y del proveedor. Si bien la mayor parte de la responsabilidad recae en el proveedor, vale la pena invertir en controles adicionales de terceros.
3. No hacer copias de seguridad: Nunca dar por sentado que el proveedor de servicios en la nube (por ejemplo, para servicios de almacenamiento/compartición de archivos) te cubre las espaldas. Debes pensar en el peor de los casos: un fallo del sistema o un ciberataque a tu proveedor. No es solo la pérdida de datos lo que afectará a su organización, sino también el tiempo de inactividad y el golpe a la productividad que podría seguir a un incidente.
4. No aplicar parches con regularidad: Si no aplicas parches, expones tus sistemas en la nube a la explotación de vulnerabilidades. Esto, a su vez, podría dar lugar a infecciones de malware, fugas de datos y mucho más. La gestión de parches es una de las mejores prácticas de seguridad que es tan importante en la nube como en demás sistemas.
5. Desconfiguración de la nube: Los proveedores de servicios en la nube son un grupo innovador, pero el enorme volumen de nuevas funciones y capacidades que lanzan en respuesta a los comentarios de los clientes puede acabar creando un entorno en la nube increíblemente complejo para muchas pymes. Esto hace que sea mucho más difícil saber qué configuración es la más segura. Los errores más comunes son configurar el almacenamiento en la nube para que cualquier tercero pueda acceder a él y no bloquear los puertos abiertos.
6. No supervisar el tráfico de la nube: La detección y respuesta rápidas son críticas si se quieren detectar las señales a tiempo, para contener un ataque antes de que tenga la oportunidad de afectar a la organización. Esto hace que la supervisión continua sea imprescindible. Vale la pena pensar que no se trata de “si” el entorno de nube será vulnerado, sino de “cuándo”.
7. No cifrar las joyas de la corona de la empresa: Ningún entorno es 100% a prueba de brechas. Entonces, ¿qué ocurre si un malintencionado consigue acceder a sus datos internos más sensibles o a información personal de empleados/clientes altamente regulada? Si los encripta en reposo y en tránsito, se asegurará de que no puedan utilizarse, incluso si se obtienen.

Qué aconsejan los expertos

Desde ESET aseguran que el primer paso para abordar estos riesgos de seguridad en la nube es comprender cuáles son las responsabilidades y de qué áreas se encargará el proveedor. Se trata de decidir si confiar en los controles de seguridad nativos de la nube o si es preferible mejorarlos con productos adicionales de terceros. Por eso, aconsejan lo siguiente:

• Invertir en soluciones de seguridad de terceros para mejorar la seguridad en la nube y la protección de las aplicaciones de correo electrónico, almacenamiento y colaboración, además de las funciones de seguridad integradas en los servicios en la nube que ofrecen los principales proveedores de servicios en la nube del mundo
• Añadir herramientas de detección y respuesta ampliadas o gestionadas (XDR/MDR) para impulsar una respuesta rápida ante incidentes y la contención/remediación de infracciones
• Desarrollar e implantar un programa continuo de aplicación de parches basado en el riesgo y basado en una sólida gestión de activos (es decir, saber qué activos en la nube se tienen y asegurarse de que están siempre actualizados)
• Cifrar los datos en reposo (a nivel de base de datos) y en tránsito para garantizar su protección. Esto también requerirá una detección y clasificación de datos eficaz y continua
• Definir una política clara de control de acceso; exigir contraseñas seguras, MFA, principios de mínimo privilegio y restricciones basadas en IP/listas de acceso permitido para IP específicas
• Considerar la adopción de un enfoque de confianza cero, que incorporará muchos de los elementos anteriores (MFA, XDR, cifrado) junto con la segmentación de la red y otros controles

“Muchas de las medidas anteriores son las mismas mejores prácticas que uno esperaría desplegar también en los sistemas in situ, con algunos detalles que serán diferentes. Lo más importante es recordar que la seguridad en la nube no es solo responsabilidad del proveedor y que se debe tomar el control para prevenir los riesgos cibernéticos”, concluye Gutiérrez Amaya de ESET.

Para conocer más sobre seguridad informática usted puede visitar el portal de ESET: https://www.welivesecurity.com/es/.

Bitfinance.News

Con información e imagen referencial suministrada por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Pymes: 7 errores comunes al usar servicios en la nube apareció primero en Bitfinance.