Archives for octubre 2022

Halloween en Ciberseguridad

¿Oís eso? ¿Gritos? ¿Sustos? ¿Risas también? Se acerca uno de los momentos más divertidos y terroríficos del año. Sí, hablamos de Halloween. La popular fiesta, arraigada en América del Norte desde hace un par de siglos, y que unos pocos años atrás dio el salto a Europa (regresando a su lugar de origen según las teorías que la sitúan como una fiesta pagana de origen Celta) para convertirse en una celebración frecuente, está llamando a nuestra puerta. ¿Truco o Dato?

Espera, ¿Truco o Dato? ¿No era truco o trato? ¿Estamos confundiendo términos? Según la tradición, los niñ@s recorren las casas, disfrazados de criaturas de pesadilla (zombis, momias, vampiros, hadas del bosque…) pidiendo caramelos. Para conseguirlos, usan la clásica frase “truco o trato”. Truco (jugarreta) si no consiguen lo que quieren; trato (no hay jugarreta) si consiguen su preciado y dulce botín. Entonces, ¿a qué viene lo de Truco o Dato?

Un evento social que llama a la estafa

Halloween es una fiesta muy esperada en todo el mundo, especialmente por los más pequeños de la casa. No obstante, hay otros que están deseando su llegada, y no precisamente para conseguir caramelos. Hablamos, como ya imaginaréis, de los cibercriminales. Todo acontecimiento social que se precie, sea cual sea y caiga en el mes que caiga, es un reclamo perfecto para este colectivo.

La publicidad, las campañas de marketing de las tiendas, el show, por así decirlo, es algo ligado a esta festividad. Todo se engalana para la ocasión; se pinta de naranja calabaza. Los que no se engalanan, sino que se ocultan entre las sombras para no ser descubiertos, son aquellos que aprovechan tan esperada festividad para lanzar su Truco a los incautos. Trucos=Estafas. Las ciberestafas en Halloween están siendo algo muy común en los últimos años.

¿Cómo actúa un cibercriminal en Halloween?

Uno de los aspectos que hemos comentado anteriormente es que, durante las semanas previas a la celebración de Halloween, las campañas de publicidad inundan televisiones, calles, radios y, lo más problemático, las redes sociales e internet en general. Y son estos momentos los que causan auténtico terror, sobre todo si el objetivo cae en la trampa. El modus operandi del cibercriminal es muy sencillo de ejecutar, pero no tan fácil de destapar. El buen ojo todo lo ve, pero debe ser entrenado para ello.

Partiendo de la base que el principal reclamo de Halloween son las campañas de publicidad orquestadas en los medios, una de las técnicas más usadas por los cibercriminales es el Web Spoofing, o suplantación web. A través de una web falsa, similar a otra legal, el cibercriminal intenta acceder a nuestro dispositivo para controlarlo, robar toda la información albergada en él, tomar posesión de nuestras cuentas, etc. El objetivo final es que el afectado pague un rescate para su recuperación. Dependiendo de la víctima, el reclamo puede ser mayor o menor. ¡Ojo con meterse en una web de dudosa legalidad desde un PC Corporativo! Los efectos podrían ser desastrosos no solo para ti, sino también para tu empresa. La información corporativa es muy valiosa.

¿Cómo reconocer un intento de Web Spoofing? Si bien los cibercriminales cada vez pulen más sus técnicas, siguen cometiendo errores que, con un ojo analítico bien desarrollado, pueden ser descubiertos. Los más evidentes son los relacionados con la ortografía. Muchos de estos ciberdelincuentes proceden de países extranjeros, y apenas cuentan con los conocimientos suficientes del idioma de la web que pretenden suplantar. Es muy común encontrar webs donde, en lugar de escribir Halloween, ponen: Haloween, Hallowen o Halloweenn. Otro detalle a tener en cuenta es el diseño de la web, donde podemos ver errores en las imágenes usadas: mala calidad, que no coincide con la original, posición errónea…

¿Qué otros métodos pueden usar los cibercriminales para engañar a las víctimas? La Ingeniería Social sigue siendo la estrella en lo que a ciberestafas se refiere: phishing y smishing están a la cabeza en cualquier situación que se precie. Un correo electrónico con ofertas falsas aprovechando la festividad de Halloween; un SMS en nuestro smartphone anunciando que hemos sido seleccionados como ganador de un concurso con motivo de Halloween… Hay tantos ejemplos que es difícil enumerarlos.

¿Cómo evito un susto de muerte?

No os asustéis, no estamos hablando de pasar directamente al camposanto. Hablando metafóricamente, quizás sí… Evitar caer en una estafa es sencillo, pero solo si estamos tanto al corriente de la problemática actual como de la forma de evitarlo. Entonces, respondiendo a la pregunta, el mejor aliado de la potencial víctima no es otro que la duda. Dudar de la legitimidad de cualquier correo electrónico, SMS o web es nuestra principal arma para evitar que Halloween se convierta en una “fiesta mortal”.

Si llega un correo electrónico, vigilar el remitente, un posible enlace vinculado o el archivo adjunto puede suponer la diferencia entre caer en la trampa o salir airoso de ella. En el caso de recibir un SMS, de nuevo, comprobar de forma minuciosa en enlace -que suele venir acotado y con un formato extraño- y el remitente. Por otra parte, si vemos una web con faltas de ortografía, iconografía mal diseñada o fuera de lugar, salir de ella en el acto y evitar pinchar en los enlaces internos.

Con estos consejos, vuestra noche de Halloween no solo será apacible, sino que además habréis demostrado que los cibercriminales, independientemente de la época en la que nos encontremos, no os van a pillar desprevenidos. ¡Feliz Halloween a todos!


Guía para proteger nuestra privacidad en WhatsApp

Esta es sin lugar a duda una de las aplicaciones de mensajería más utilizadas hoy en día. ¿Pero sabemos todo lo que podemos hacer para cuidar al máximo posible nuestra privacidad en WhatsApp? Os contamos con todo detalle qué opciones tenemos ahora mismo dentro de la app.

WhatsApp es una aplicación que ha ido evolucionando a lo largo de los años y nada tiene que ver con lo que era hace 10 años, por ejemplo. Ahora mismo tenemos muchas más opciones de privacidad y que ayudan al usuario a protegerse u ocultarse con aquellas personas que deseemos. Vamos a ir comentando las opciones disponibles:

Elimina tu foto de perfil o limita su visibilidad

Privacidad en WhatsApp

En los ajustes de WhatsApp para IOS podemos eliminar la foto que tengamos puesta o bien seleccionar quien puede verla. Hay tres opciones disponibles: mostrarla a todo el mundo que tenga nuestro número (Todos), mostrarla solo a nuestros contactos o no mostrarla a nadie. Este menú está disponible en Ajustes -> Cuenta -> Privacidad -> Foto del perfil.

Oculta tu nombre de perfil

Cuando se crea una cuenta en WhatsApp se nos pide añadir un nombre. Este aparece visible para todo el que tenga nuestro número de teléfono y se reemplazará solo si nos guarda en su agenda con otro nombre. La única manera de ocultar ahora mismo este nombre es utilizando un nombre anónimo, que no diga nada sobre nuestra identidad. Podemos poner alguna frase o incluso algún emoticono sin problema.

Desactiva el doble check azul

Hace tiempo se implementó esta función que indica cuando hemos leído un mensaje. Esta opción a la que WhatsApp llama “confirmaciones de lectura” se puede desactivar y nuestros contactos no podrán ver cuándo se ha leído el mensaje. Para desactivarlas en IOS, hay que ir a Ajustes -> Cuenta -> Privacidad -> Confirmaciones de lectura.

Evita que te metan en grupos sin tu consentimiento

Seguro que más de una vez os han metido en algún grupo de WhatsApp en el que no nos gustaría estar, pues bien, esto tiene una fácil solución. Dentro de Ajustes -> Cuenta -> Privacidad -> Grupos, podemos seleccionar si todos pueden meternos en un grupo, solo nuestros contactos o nuestros contactos exceptuando de alguna persona. Si lo que buscamos es que nadie nos pueda meter, debemos de seleccionar la opción de “Mis contactos, excepto” y seleccionar a todos nuestros contactos.

Oculta tu información de perfil

La información de perfil es algo que apenas se utiliza pero que la gran mayoría lo tiene como viene por defecto. Se puede ocultar de manera total o parcial. En IOS ve a Ajustes -> Cuenta -> Privacidad -> Info. Otra opción es poner algo anónimo como puede ser un signo de puntuación o un emoticono.

Activa la verificación en dos pasos

Algo muy importante que debemos de tener activado para evitar que alguien registre nuestro número de teléfono en otro dispositivo con algún descuido. Activando la verificación en dos pasos hará que cuando demos de alta nuestro número, además de pedirnos el típico SMS, nos pedirá un código PIN que solo debemos de conocer nosotros.

Esta opción se activa en Ajustes -> Cuenta -> Verificación en dos pasos. Debemos de introducir un PIN de 6 dígitos y acto seguido una cuenta de correo para reestablecer el PIN en el supuesto caso de que no nos acordemos.

Realiza las copias de seguridad cifradas, si fuera necesario

Puede darse el caso de que no realicemos copias de seguridad porque el contenido que tengamos en WhatsApp no sea importante o bien lo consideremos importante y por ello tenemos una copia automática. Es cierto que las conversaciones están cifradas pero las copias de seguridad no, a no ser que indiquemos lo contrario. La manera de cifrar nuestra copia de seguridad es accediendo a Ajustes -> Chats -> Copia de seguridad -> Copia de seguridad cifrada de extremo a extremo. De esta forma estaremos seguros de que si alguien tiene en su poder una copia de seguridad nuestra no va a poder leer las conversaciones.

Oculta la hora de tu última conexión

La hora de conexión es un dato bastante importante que por defecto en WhatsApp viene visible para todos, pero podemos cambiarlo y poner que solo lo vean nuestros contactos o nadie. Esto lo que indica es la última vez que abriste WhatsApp en el móvil, por lo que damos pistas de nuestra actividad. Se puede configurar en Ajustes -> Cuenta -> Privacidad – >Últ. Vez

Controla quien puede ver los estados de WhatsApp

Los estados llevan menos tiempo entre nosotros y digamos que es un símil a las historias de Instagram. En este caso, si subimos algún tipo de contenido a los estados, tenemos más margen de configuración. En Ajustes –> Cuenta -> Privacidad -> Privacidad de estados podemos elegir entre compartir solo con algunos contactos, con todos los contactos exceptuando alguno o bien con todos los contactos. Decir también, que los estados no se muestran a aquellas personas que no tengamos guardadas en la agenda.


Ransomware, ¿pago el rescate?

Como ya sabéis, desde 2012, Octubre es el ‘Mes Europeo de la Ciberseguridad’. Una iniciativa organizada por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) para concienciar a los ciudadanos europeos sobre los desafíos de la red. ‘Think Before U Click’ (#ThinkB4UClick) o ‘Piensa antes de hacer clic’ es el lema escogido para este #CyberSecMonth siendo las ‘Habilidades digitales’ y ‘Estafas cibernéticas’ los temas escogidos a tratar. Desde S2 Grupo, nos sumamos a esta iniciativa y os traemos este artículo sobre Ransomware y el pago del rescate, además de otras acciones que podréis ir viendo publicadas en nuestras redes sociales durante este mes.

El Ransomware es una amenaza de seguridad y aunque, mayormente, afecta directamente a las empresas desde finales de la década de los años 80, el 99% de los ataques dependen de la interacción humana para activarse. La concienciación en ciberseguridad y la incorporación de buenas prácticas se presentan como la mejor opción para saber reaccionar con rapidez y eficacia cuando algo va mal ante las posibles amenazas de la red. Sigue leyendo este post para saber cómo enfrentarte en estos casos y para resolver el enigma de si debes o no pagar el rescate.

Ransomware ¿pago el rescate?

El peligro del Ransomware y el pago del rescate

¿Qué es un Ransomware?

Un Ransomware o ‘secuestro de datos’ es un tipo de malware que restringe el acceso a determinadas partes o archivos del sistema operativo infectado (ordenador, smartphone o tableta, por ejemplo) y pide un rescate a cambio para permitirnos usar de nuevo el dispositivo o recuperar los ficheros que han sido cifrados por el programa malicioso.

¿Cómo se produce la infección?

Normalmente, el problema se inicia con la instalación inadvertida de un programa, archivos de descarga o enlaces maliciosos que cifran algunos ficheros del hardware del ordenador infectado y de archivos compartidos internamente en la red. El daño que quieren hacer es proporcional al grado de sofisticación del Ransomware por ello en algunos casos, los ciberdelincuentes buscan las copias de seguridad para encriptarlas y anularlas. Por tanto, debemos prestar mucha atención a la descarga e instalación de cualquier archivo, aunque parezca inofensivo.

Aunque el Ransomware puede estar oculto en una gran diversidad de archivos de descarga que pululan por Internet en forma de cebos como en páginas relacionadas con la descarga de música, series o videojuegos, el vector de amenaza más utilizado por los ciberdelincuentes suele ser el correo electrónico malicioso de origen desconocido, conocido como Phishing. Siempre que nos llegue un mensaje inesperado solicitándonos claves o información sensible, nunca abrir un archivo no confiable, comprobar dicha petición con el remitente por otra vía, cerciorarnos de que el dominio es verídico y la url es oficial para despejar toda sospecha.

En el caso de teléfonos móviles o tabletas, normalmente la infección por este tipo de malware se produce por instalar aplicaciones no oficiales o instalar alguna característica en el navegador.

Detección del Ransomware

Desde que el ordenador o cualquier otro dispositivo es infectado por un Ransomware hasta que es detectado por el usuario podrían pasar días, aunque en la mayoría de los casos se detecta al ver archivos a los que les ha cambiado el nombre y no podemos acceder a su contenido. Al intentarlo, nos sale una nota de secuestro con las indicaciones para pagar el rescate y para contactar con el atacante.

¿Pago el rescate?

Nunca pagar el rescate. Si cedemos a las presiones y pretensiones de los ciberdelincuentes favorecemos la continuidad de este delito y, además, al haber realizado el pago podemos volver a ser víctimas en futuras ocasiones. El pago del rescate no asegura que la información cifrada pueda recuperarse íntegramente y en perfectas condiciones. Podemos encontrarnos con archivos dañados e irrecuperables.

Consejos para minimizar las consecuencias del Ransomware

◾ En algunos casos, el daño en los archivos es irreversible y como el virus se propaga rápidamente por el sistema operativo, el mejor remedio es realizar copias de seguridad periódicamente y protegerlas en discos duros extraíbles, en la nube u otro dispositivo de almacenamiento al que podamos recurrir en caso de robo, pérdida o cifrado.

◾ También es importante mantener actualizados los sistemas operativos y el resto de programas y aplicaciones con la última versión disponible. Cabe recordar que los fabricantes para proteger los dispositivos incluyen mejoras para evitar brechas de seguridad y que no sean vulnerables ante posibles amenazas. Si no actualizamos nuestros dispositivos, no estarán protegidos y la información que contienen correrá peligro.

◾ Como medida de prevención, un antivirus actualizado, y en funcionamiento, es de las mejores elecciones. Contar con un antivirus tanto en el ordenador como smartphone o tableta supone poder analizar previamente las posibles amenazas porque con todos ellos navegamos por la red y corriendo un riesgo real.

◾ Por último, pero no menos importante, el mejor consejo para hacer frente a los ataques de Ransomware es concienciar a los usuarios sobre ciberseguridad y crear buenos hábitos seguros para estar prevenidos y poder reaccionar a tiempo de un modo eficiente. Leer artículos, realizar cursos, consultar manuales, asistir a charlas o ver vídeos sobre la temática que nos interesa es un buen comienzo para instruirnos en el mundo cibernético.

Recuperación del equipo

Con el paso del tiempo, los virus han evolucionado constantemente y son muy variados, por lo que, dependiendo del sistema operativo infectado con un determinado virus, se podrá actuar de un modo u otro. Lo primero que hay que hacer es buscar en Internet información sobre nuestro modelo o equipo infectado para valorar si estamos capacitados para dar el siguiente paso o en su defecto, buscar ayuda.

En el caso de Windows, bastará con restaurar el equipo a un estado anterior y en el de Android, la solución es reiniciar el teléfono en modo seguro y desinstalar la aplicación maliciosa, aunque siempre puedes recurrir a un profesional o algún servicio técnico para mayor seguridad.

Como pagar con NFC en nuestro móvil de forma segura

Desde hace unos años tenemos la posibilidad de pagar con NFC en nuestro Smartphone de una manera muy cómoda y sobre todo segura. Vamos a contaros cuáles son las opciones más utilizadas ahora mismo tanto en Android como en iOS.

Pagar con nuestro Smartphone es muy sencillo y por eso vamos a explicaros cómo hacerlo y qué requisitos debe de cumplir el dispositivo. La verdad es que los dispositivos móviles cada vez son más completos y nos permiten sustituir más cosas para facilitarnos la vida.

La ventaja que tienen los móviles frente a la cartera física es el factor biométrico (lector de huella dactilar o registro facial) y solo se pueden utilizar después de haber verificado nuestra identidad. En cambio, con la cartera, si no nos damos cuenta, personas ajenas podrían tener acceso a la tarjeta y más documentación que llevemos encima.

Pagar con NFC: el funcionamiento de los pagos móviles

El principal requisito en nuestro Smartphone Android o iOS es que incorpore NFC, si no lo incorpora no podremos realizar pagos con las principales apps que hay actualmente en España. Cada vez son más los dispositivos que lo incorporan, pero todavía hay en el mercado algunos que no lo llevan. Si tenemos NFC, el Smartphone actuará como si fuera una tarjeta física, exactamente igual al pago contactless que tienen las tarjetas de los bancos.

Además de tener NFC, necesitaremos tener instalada en nuestro smartphone la aplicación con la que realizaremos los pagos. Digamos que estas aplicaciones se encargan de convertir el dispositivo en una tarjeta de débito/crédito y son las que gestionan con qué tarjeta realizamos el pago.

Aplicaciones de pago NFC más utilizadas ahora mismo

  • Google Pay: Esta es la aplicación por defecto que tiene Google. Su funcionamiento es extremadamente sencillo y compatible con una gran cantidad de bancos. Solo hay que descargar la aplicación en la Google Play Store y añadir las tarjetas que queramos. Se puede consultar el listado de bancos que aceptan este tipo de pago y decir que se va actualizando constantemente. Una vez configurado podemos usar la verificación biométrica de nuestro móvil para realizar el pago.
  • Apple Pay: El funcionamiento es exactamente similar a la de Google, pero en este caso la ha creado Apple. Los dispositivos Apple con NFC son del iPhone 6 en adelante y esta app no es compatible con Android. Solo debemos ir metiendo las tarjetas que queramos de una en una y realizar el pago con nuestra huella dactilar o el reconocimiento facial. El listado de bancos compatibles también se va actualizando constantemente.
  • Samsung Pay: La compañía Samsung ha sacado su propio método de pago compatible únicamente con sus dispositivos. Al igual que las otras aplicaciones, debemos de introducir el número de las tarjetas con las que queramos pagar y el funcionamiento es el mismo. Utilizando la autenticación biométrica, podremos realizar el pago de una forma segura y sin complicaciones. El listado de bancos compatibles también se va actualizando poco a poco.
  • Aplicaciones de banco: El último método es utilizar las aplicaciones de los bancos. Algunos de ellos tienen un servicio propio para pagos con NFC, pero hay que decir que esto depende mucho de cada entidad. Este método solo es compatible ahora mismo en Android y debemos de vincular el NFC del móvil con la aplicación del banco que tengamos.

La importancia del docente en la educación y seguridad en redes sociales

Son muchas las noticias que se han publicado recientemente acerca del mal uso de redes sociales por parte de niños y adolescentes, y en algunos casos, sus nefastas consecuencias, pues no dejan de ser menores que, por muy avanzados que estén tecnológicamente, no siempre son conscientes de los posibles peligros a los que se enfrentan.

En los peores casos pueden ser víctimas del conocido como ‘ciberbullying’ o acoso en las redes, ‘grooming’ o ciberacoso sexual a menores, o ser víctimas de potenciales cibercriminales si a menudo se conectan a juegos en línea, y en otros no menos malos, pueden ser los propios acosadores, involuntarios o no, dependiendo del grado de madurez y conocimiento.

Debería ser conocido que la edad mínima para registrarse en una red social en España está establecida con carácter general en los 14 años, aunque hay algunas redes que se rigen por sus propias normas, pero también sabemos que en la práctica muchos niños y adolescentes disponen de dispositivos móviles a edades muy tempranas y se registran en redes y aplicaciones de mensajería bastante antes de esa edad.

Caso real de una menor y su relación con el uso de las redes sociales

A continuación, se expone un caso real como ejemplo en el que se verán reflejados muchos padres y profesores y no saben cómo actuar en estas situaciones.

Niña de 12 años. Tiene móvil desde los 9 años y portátil. Desde los 10, tiene abierta una cuenta en Instagram y otra en Tiktok. Ha aprendido de forma, más o menos autónoma, a configurar la seguridad de sus cuentas. Es consciente de que no puede compartir contenidos personales de forma pública que le puedan identificar o comprometer.

En Instagram, solo publica vídeos personales en ‘stories’ porque sabe que tienen una duración efímera de 24 horas y los comparte en su ‘bio’. Pero acepta desconocidos por aquello de acumular seguidores como hacen las influencers a las que sigue.

En Tiktok, no publica nada, solo sigue a otros ‘tiktokers’ porque le han contado que es una red china, que le pueden espiar y le genera desconfianza.

Es habitual que se comunique con sus amigos a través de grupos de WhatsApp, o de forma individual, y les envíe fotos y vídeos de sus vacaciones o de las actividades de ocio que realiza. Aunque es cuidadosa, procura que no aparezcan otros miembros de la familia, como niños más pequeños, e incluso intenta que en las fotos no se identifique a nadie de forma clara.

Precisamente, por esas publicaciones o mensajes instantáneos, es consciente de que hay otros amigos suyos que sí se exponen más y que están corriendo riesgos relacionados con su privacidad, que podrían afectar a su vida real.

En ocasiones, le sorprende que sus amigos le cuenten que sus propios educadores forman parte de sus contactos en redes y comparten también con ellos contenidos personales, aunque no es su caso.

En el último curso, que hizo en su colegio anterior, 6º de Primaria, ha recibido algunas charlas sobre concienciación en el uso de WhatsApp y redes sociales. También, el tutor les ha instado a utilizar estos canales de forma responsable y segura, teniendo especial precaución si se trata de contenidos que pudieran herir la sensibilidad de otros menores o atentar contra su privacidad, pero sin indicarles una prohibición expresa.

Como ella, cientos de miles de menores de 14 años han aprendido de forma autodidacta a utilizar las redes sociales o con sus propios compañeros y que, en el mejor de los casos, reciben algunas pautas de utilizarlas de forma segura en el colegio y/o en casa.  Un sondeo, elaborado por la Asociación Valenciana de Consumidores y Usuarios (AVACU), situaba hace algún tiempo en el 68% el porcentaje de niños entre 10 y 12 con cuenta en alguna red social. Cifra que se vio incrementada por la irrupción de la pandemia.

El gran dilema es, ¿cómo y cuándo formarles en el uso de los dispositivos y las redes si no tienen la edad legal para ello?

Es evidente que la educación que reciben en casa es muy importante para la concienciación individual, pero no menos importante es la que les puedan transmitir en los centros educativos en general, pues pasan mucho tiempo con los menores y pueden observar su comportamiento de forma colectiva.

Ciberconsejos para que los docentes acompañen a sus alumnos en el mundo digital

Aprovechando que mañana miércoles, 5 de octubre, se celebra el Día Mundial de los Docentes, lanzamos una serie de ciberconsejos y recursos a los docentes y tutores para que acompañen a sus alumnos en el mundo digital:

  • Ante cualquier posible caso de ciberacoso, actúa según la Guía SOS contra el Ciberacoso para Educadores del INCIBE, que explica cómo se debe actuar en los centros educativos ante situaciones de ciberacoso entre alumnos. CIBERACOSO
  • Al impartir cualquier asignatura con ordenadores y tablets, ayúdales a descargar aplicaciones que sean seguras y orientadas a su edad.
  • Concienciar a los padres también es importante para que en casa continúen con las mismas prácticas ‘ciberseguras’.
  • Ayuda a entender a tus alumnos que el mundo virtual no lo es todo, potenciando actividades en la vida real acordes a su edad.
  • Sobre todo, incúlcales que piensen varias veces las consecuencias que pueden tener sus mensajes o publicaciones pues, aunque se puedan eliminar, en ocasiones es demasiado tarde y el daño puede ser irreparable.

En general, recomendamos los recursos del portal de INCIBE https://www.is4k.es/ Internet Segura for Kids, y su kit para educadores Kit para educadores | Internet Segura for Kids (is4k.es).