Home Blog

Los cibercriminales vienen por tu negocio

Por Genaro Delgado, </cyberwag>

¿Qué es la ciberseguridad?

La ciberseguridad es una de las áreas o disciplinas de las Tecnologías de la Información y Comunicaciones (TICs) que consiste en evaluar, analizar y gestionar los riesgos asociados a ecosistemas digitales con el propósito de generar los procedimientos e implementar las herramientas que permitan protegerlos.

Fuente: Desconocida

¿Por qué es importante la ciberseguridad en nuestros días?

Nuestro mundo está más conectado que nunca, y a través de una transformación digital experimentamos más cambios y de forma más rápida que cualquier generación anterior. Pero este gran beneficio, tanto la construcción de una sociedad más conectada y cohesiva, como la construcción de negocios digitales exponenciales, tiene un costo. Paradójicamente, cuanto más conectados estamos, más vulnerables son nuestros datos y más frágiles son nuestras estructuras de vida y negocios digitales, siendo esto un entorno muy atractivo para los cibercriminales. 

La evolución de las conductas cibercriminales va en la misma proporción de la evolución de la complejidad de los sistemas hiperconectados. Los ciberdelitos aparecen con mayor frecuencia, perpetrados por grupos cada vez más organizados, con una muy baja probabilidad de ser detectados y enjuiciados.

El cibercrimen se mantiene como un modelo de negocio en crecimiento, con herramientas cada vez más fáciles de utilizar y asequibles prácticamente para cualquier persona.

De acuerdo con la empresa ESET, alrededor del 70% de las violaciones de seguridad están dirigidas a las PyME. A pesar de ello, muchos empresarios creen que no son vulnerables a los ataques cibernéticos debido a su tamaño pequeño y sus activos limitados, sin embargo, esto no es del todo correcto. Por ejemplo, de acuerdo con estudios recientes de Kaspersky Lab la pérdida financiera como resultado de un ataque a portal web con e-commerce para una empresa PyME es en promedio de USD$30,000. En este caso es relativamente fácil identificar de manera “directa” la mayoría de los costos derivados por un ataque, entre ellos están:

  • Costo del robo y exposición de la base de datos de clientes y demás información sensible.
  • El costo de la indisponibilidad del portal de comercio electrónico durante la investigación forense y la recuperación.
  • Costo de los expertos de terceros asignados para investigar y corregir el incidente.
  • Costo de multas legales y de cumplimiento.

Entonces, en un ejemplo de una empresa con venta en línea (e-commerce) que sufre 6 intentos de intrusión en un año, tendríamos el siguiente resultado:

Cálculo de la Expectativa de Pérdida Anual = (Número de incidentes por año) X (Pérdida potencial por incidente) = 6 incidentes por año X USD$30000 = USD$180,000: esta es la cantidad anual que una compañía debería esperar perder al año, si no se hace nada para protegerse.

Fuente: Desconocida

Algunas cifras de la ciberseguridad en entornos empresariales en México.

Las siguientes cifras fueron obtenidas por informes y estudios de la IFT (Instituto Federal de Telecomunicaciones), Foro Económico Mundial, OEA (Organización de Estados Americanos), BID (Banco Interamericano de Desarrollo) y las siguientes empresas de ciberseguridad global: Sophos, Kaspersky, ESET, TrendMicro, CrowdStrike, Tenable, KIO Networks.

  • Los ciberataques y ciberdelitos, están dentro del TOP 10 de los Riesgos Globales del Foro Económico Mundial desde hace 10 años, y en el 2020 era el tercer riesgo más acuciante en entornos empresariales, solo después de la bancarrota y la recesión económica.
  • Un 600% fue el aumento de actividad cibercriminal en 2020 por contexto de pandemia, y sigue creciendo en 2021.
  • El 82% de las empresas en México han sido víctimas de algún tipo de ciberataque del 2020 a la fecha. Colocando a México como uno de los países con más ciberataques en todo el mundo. 
  • Los sectores en México que reportaron un mayor número de incidentes relacionados con la ciberseguridad del 2020 a la fecha son: finanzas/seguros, atención médica (hospitales y clínicas), servicios profesionales/técnicos (despachos de abogados y contadores principalmente) y educación (universidades principalmente)
  • 80% de las empresas en México no saben cuando han sido atacadas ya que no cuentan con los medios para detectar las acciones maliciosas.
  • De 60 hasta 190 días pueden transcurrir antes de que las empresas detecten que están siendo ciberatacadas.
  • 2 millones de pesos, es la cifra promedio que las empresas mexicanas han erogado para recuperarse después de un ataque cibernético. 
  • El ataque tipo Ransomware, a finales del 2020 se declaró como la mayor amenaza cibernética de la última década. 
  • El 25% de las empresas en México han sido víctimas del ciberataque Ransomware del 2020 a la fecha. Y solo el 13% de las empresas que pagaron por el rescate obtuvieron toda su información de vuelta.
  • El 33% de las brechas de seguridad en una empresa son causadas por ataques de phishing e ingeniería social.
  • El 92% del malware detectado en una organización fue enviado por email bajo un ataque de phishing. 
Fuente: Avast

Las ciberamenazas más comunes

El temido Malware. Se refiere a el “software malicioso” que vulnera redes y sistemas, usualmente cuando un usuario hace “click” en un enlace o descarga un archivo adjunto de correo electrónico riesgoso, instalando así ese software malicioso. Existen diferentes tipos de malware, entre los más conocidos están:

Fuente: islaBit
  • Gusanos: programas que se propagan entre equipos.
  • Troyanos: programa que se disfraza como software legítimo e introduce malware en los equipos.
  • Spyware: programa que registra en secreto lo que hace el usuario.
  • Ransomware: malware que bloquea los archivos y datos de un usuario, con la amenaza de borrarlos o exfiltrarlos, a menos que se pague un rescate.
  • Adware: software de publicidad que puede utilizarse para difundir malware.
  • Botnets: redes de computadoras con infección de malware que los cibercriminales utilizan para realizar tareas en línea sin el permiso del usuario.

La Ingeniería Social, siendo la madre de las conductas cibercriminales, es el arte de la manipulación psicológica que consigue que las personas hagan algo de forma voluntaria que de otra forma no harían y que beneficie al atacante. Las amenazas principales relacionadas con la ingeniería social son:

Fuente: ESET
  • Phishing. Ataque a través de envío de correo electrónico, ya haciéndose pasar por una entidad legítima o adjuntando archivos maliciosos.
  • Smishing. Ataque a través de envío de SMS (Mensajes de Texto Corto). Muy comúnmente haciéndose pasar por una entidad bancaria.
  • Vishing. Ataque a través de llamada telefónica. Al igual que el smishing, usualmente se hacen pasar por entidades financieras, además de ser uno de los procesos de seguimiento posteriores al phishing o smishing. 

Man-in-the-middle. Ataque en la que se intercepta la comunicación entre dos individuos. Este tipo de ataques son muy comunes cuando nos conectamos a redes de WiFi públicas o inseguras, donde nos ofrecen una conexión sin restricciones. Por ejemplo, en establecimientos de cafeterías, restaurantes, centros comerciales, aeropuertos, etc. Una vez que el atacante vulnera el dispositivo interceptado, pueden instalar software para procesar toda la información de su víctima.

El Ataque por Denegación de Servicio Distribuido (DDoS). Este tipo de ataque satura los sistemas, los servidores o las redes con tráfico para agotar los recursos y el ancho de banda. Como resultado, impide que una organización realice sus operaciones normales y de seguridad, dejándola vulnerable para proseguir por ejemplo, con un ataque de Ransomware. Es un ataque dirigido comúnmente a las empresas que tienen actividad e-commerce.

Fuente: cybernews

¿Qué elementos dentro de la organización vulneran la ciberseguridad?

Los elementos más comunes dentro de cualquier organización, que pueden ser la puerta para ataques cibernéticos son:

  • Rotación de personal. Cuando alguno de nuestros colaboradores deja de pertenecer a nuestra organización (por cualquier razón), ¿tenemos un protocolo de desactivación de sus privilegios y accesos a nuestros sistemas? ¿Nos podríamos imaginar qué pasaría si nuestro ahora ex-colaborador tiene aún los privilegios para descargar las bases de datos de clientes, proveedores o incluso de todo el personal, sacar sus datos privados y hacer un mal uso de ellos porque está enojado con la empresa?
  • Home Office. En estos últimos años las empresas se han dado cuenta de las ventajas de que a sus colaboradores se les brinde la oportunidad de trabajar remotamente. Sin embargo, la mayoría de estas empresas no conoce o no toma en cuenta el desafío y los riesgos en términos de ciberseguridad que esto conlleva. Por ello es importante generar los protocolos mínimos de ciberseguridad que permitan asegurar la integridad de conexiones y la gestión de información. 
  • Bring Your Own Device (BYOD, Trae Tu Propio Dispositivo). Es una de las prácticas ya más comunes en casi todas las organizaciones, desde acceder a la empresa con tu dispositivo de telefonía celular (desde el más simple hasta el más sofisticado smartphone) hasta llevar tu propio equipo de cómputo para trabajar (incluyendo el manejo de USB o cualquier otro dispositivo de almacenamiento externo); la pregunta es: ¿tenemos un protocolo que administre estos dispositivos dentro nuestras organizaciones?, ¿sabemos qué información entra o sale de nuestra organización?, ¿los equipos que entran son auditados para revisar que no contengan malware?, ¿estamos preparados para enfrentar un malware inyectado a través de la conexión de un dispositivo ajeno a la empresa? Incluso ¿revisamos que el software usado por los dispositivos ajenos a la empresa tenga licencia (no pirata)?

7 buenas prácticas de ciberseguridad para la empresa y el hogar

Fuente: Timesys
  1. Generar una conciencia de ciberseguridad. No solo es para el uso correcto de los medios o dispositivos electrónicos dentro de los entornos empresariales o del hogar, sino que todos se vean como parte de la cadena de vulnerabilidades para ataques cibernéticos, siendo las personas el eslabón más débil y a su vez el eslabón más fuerte y con ello implementar toda una cultura de entendimiento de los riesgos digitales y cómo prevenir y reaccionar ante los ataques del cibermundo.
  1. Plan de Respaldos. El tener un plan de respaldos (de todo preferentemente) y ser metódicos en su aplicación, es la forma más “económica” y tal vez una de las más eficaces contra la pérdida, secuestros y otras vulneraciones de la información.
  1. No abrir y eliminar archivos sospechosos. Desconfía de todo correo o mensaje que no esperas. Es preferible detenerse y verificar.
  1. Mantener el software actualizado. Aun cuando este proceso pueda durar horas, nunca evadas las actualizaciones de tu software común, por ejemplo de Windows. La mayoría de las actualizaciones de software son porque se detectan vulnerabilidades en su diseño que han sido explotadas.
  1. Verificar las configuraciones de seguridad en los equipos. Todos los dispositivos, por ejemplo, equipo de cómputo, tablets, smartphones, cámaras de video WiFi, impresoras en red, etc. Vienen con una configuración mínima de seguridad para que la experiencia de usuario sea la óptima, sin embargo se tiene que revisar y adecuar de acuerdo a las necesidades de las organizaciones, incluso a su entorno. Por ejemplo las cámaras WiFi que solemos conectar en nuestros hogares, si no cambiamos al menos su contraseña y dejamos la configuración de fábrica, las posibilidades de su acceso ya sea para atacar o simplemente por morbo son muy altas y sencillas, incluso hay sitios web públicos donde se exponen de manera aleatoria todas estas cámaras.  
  1. Implementar software antimalware en todos los dispositivos. En una organización sería muy recomendable que se gestione y se audite que todos los dispositivos, que se conecten a su red o se utilicen para sus operaciones, tengan implementado un software antimalware, equipos de cómputo, tablets, smartphones, etc. ya sean propiedad de la empresa o propiedad del colaborador. Además tiene que ser auditada su configuración. 
  1. Una gestión de higiene en las contraseñas. Tanto para ingresar al dispositivo como ingresar a los aplicativos (email, ERPs, almacenamiento en nube, plataformas de gestión, CRMs, etc.) se debería integrar una cultura de higiene en las contraseñas, la cual al menos consideraría lo siguiente:
  • Contraseñas robustas. Fáciles de recordar pero difíciles de adivinar por atacantes con herramientas automáticas. Por ejemplo: contraseñas basadas en frases.
  • Cambio de contraseñas con frecuencia y de manera obligatoria
  • Optar por verificación de dos pasos para los servicios que tengan estas características. Por ejemplo, algunas aplicaciones como Gmail, al momento de cerrar sesión y abrir una nueva, te pide contraseña y además manda un código de 4 dígitos por SMS, ambas cosas deben de coincidir para tener acceso.

Nuestro propósito es ayudar a generar un civismo digital en el mundo

Equipo </cyberwag> & BeWag

Ciberseguridad en la medicina: ¿Ahora nuestra salud podría estar en las manos de cibercriminales?

Por Genaro Delgado </cyberwag> 

Desde hace algunos años, los avances tecnológicos como la inteligencia artificial, el internet de las cosas, la automatización, la sensórica, y la digitalización de procesos en general, han contribuido a la transformación de las prácticas del sector médico. En estos días, ya es mucho más común hablar de un expediente clínico electrónico, implementación de prácticas con telemedicina, el monitoreo de actividad cardiaca y glucosa por parte de un especialista desde cualquier parte del mundo a través de dispositivos puestos en los pacientes y conectados a internet (wearables) Sin embargo, esta hiperconetividad y obicuidad también viene con un gran desafío en el contexto de riesgos digitales y ciberseguridad. 

¿Cuáles son los riesgos y amenazas de una mala gestión de ciberseguridad en el sector médico?

De acuerdo al “Informe de seguridad cibernética intersectorial y de atención médica de la Healthcare Information and Management Systems Society (HIMSS)” reporta que:

Los principales ataques a hospitales tienen como objetivo el robo de identidad médica, robo y comercialización de información clasificada del personal y servicios de la organización, incluso, el robo y comercialización de información de pacientes, impactando tanto la práctica clínica como las operaciones administrativas de toda la organización.  

HIMSS
Fuente: Desconocida

Así mismo, los ciberataques al sector médico no solo han sido dirigidos a los servicios e información de los hospitales y consultorios, sino que también son dirigidos a los propios dispositivos implantados en los pacientes como parte de sus tratamientos y monitoreo. Por ejemplo, el año pasado, los marcapasos de la marca Abbott pidió a 350 mil usuarios que fueran a los hospitales o con sus médicos especialistas quienes colocaron estos dispositivos, ya que necesitaban ser actualizados en su “firmware” de manera urgente por las vulnerabilidades de seguridad detectadas que podrían darle acceso a un cibercriminal y tomar control del dispositivo cambiando las acciones de regulación de frecuencia cardiaca. Algo similar pasa en equipo e instrumentación médica que están conectados a Internet, por ejemplo, equipos de radiología de Bayer, que en el 2017 fueron dispositivos afectados por el ataque masivo de WannaCry, un malware tipo “ransomware” que afectó a millones de dispositivos y sistemas en el mundo, dejándolos inoperables por horas y otros por días, afectando la continuidad de todos los servicios en hospitales y consultorios. 

Fuente: Desconocida

En un contexto de ciberterrorismo, en el segundo semestre de 2020, salieron a la luz dos eventos sobre ciberataques que tenían el objetivo de comprometer la seguridad y confianza en las vacunas. El primero, en noviembre, fue dirigido a AstraZeneca, y en diciembre la propia Agencia Europea del Medicamento (EMA) fue víctima de un ciberataque tres semanas antes de dar el fallo de cúal vacuna, entre Moderna y Pfizer, sería aprobada para aplicarse en la Unión Europea, ambos incidentes tuvieron el objetivo de generar desestabilización social y política, no solo en Europa, sino en todo el mundo.

Lamentablemente los hospitales tanto públicos como privados son ecosistemas vulnerables a ciberataques, ya que en su mayoría ejecutan software desactualizado u obsoleto. En estos ecosistemas, la gestión de riesgos digitales y ciberseguridad no suelen ser ejes prioritarios para los consejos de administración o patronatos, por lo que la asignación de recursos financieros para reparar y actualizar equipos y dispositivos y además formar profesionales en estos rubros, es poca, casi nula, convirtiéndolos en un blanco muy rentable para los cibercriminales. 

El costo de los ciberataques en el sector médico

De acuerdo a un estudio de ciberseguridad en la salud publicado en febrero de este año por el Banco Interamericano de Desarrollo (BID), señala que el costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7.13 millones de dólares en comparación a los 3.86 millones que, en promedio, cuestan los ciberataques en cualquier otra industria. Además, los datos que maneja el sector son confidenciales y sumamente sensibles. Por lo tanto, el impacto no material puede ser también sumamente grave.

El costo promedio de un ciberataque en el sector salud en términos de pérdida de negocio, gastos de prevención, detección y recuperación equivale a 7.13 millones de dólares

Según datos del Banco Interamericano de Desarrollo 2021

Así mismo, el BID señala que en el sector salud es el que más tiempo toma detectar los incidentes relacionados a brechas de seguridad sobre la información. Desde el momento que un ataque es exitoso hasta que la institución se da cuenta que sus datos fueron vulnerados pasan en promedio 329 días. Con ello, Latinoamérica presenta uno de los mayores tiempos de detección de ataques del mundo.

Fuente: Desconocida

En México, desde un consultorio hasta un hospital privado o público, puede recibir sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), por el incumplimiento, sobre todo al artículo 63 y 64, de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) (… y de Sujetos Obligados para el caso de los hospitales públicos), por acciones o inacciones que ocasionen la vulneración de bases de datos locales, programas o equipos. Estas sanciones pueden ir desde los 17 mil pesos hasta casi los 28 millones de pesos según la gravedad del caso. Comúnmente estas sanciones aparecen tras ataques de Ransomware acompañados con extorsión (secuestro de información y exposición de la misma en foros públicos en internet) y suele ser denunciado por los usuarios de los servicios médicos que se convierten también en víctimas de estas acciones criminales.

¿Qué puede hacer el sector médico para defenderse de los ciberataques?

De acuerdo a la experiencia recabada en los servicios de digitalización para instituciones de salud privada, la empresa Ikusi México, ha encontrado que la mayoría de los ciberataques documentados a este tipo de organizaciones provienen por correo electrónico tipo “phishing”, navegación en sitios no seguros en internet, prácticas mal gestionadas de BYOD (Bring Your Own Device) donde no existe algún tipo de política para el uso de dispositivos personales dentro de la red de la organización, y la madre de todas las conductas cibercriminales: la ingeniería social, que a través de engaños dirigidos a los colaboradores, los cibercriminales pueden tener acceso a toda la infraestructura e información de las instituciones de salud. 

Fuente: Desconocida

Por lo anterior, la mejor defensa seguirá siendo la formación y concientización de una higiene digital y una cultura “zero-trust”, es decir, una “cultura de desconfianza bien gestionada” que mantenga en alto lo niveles de “alerta”, generando entornos ciberresilientes que permitan la continuidad de servicios en las organizaciones del sector médico.

¡Atención papás! Cárteles mexicanos se infiltran en el mundo de los videojuegos para reclutar a sus nuevos sicarios

Revisado y editado por Genaro Delgado

Artículo Original por INFOBAE

En los últimos días, una investigación del diario The Wall Street Journal reveló la forma en la que el Cártel Jalisco Nueva Generación (CJNG) utiliza las redes sociales como Facebook y Twitter para reclutar potenciales sicarios y engrosar sus filas.

Sin embargo, recientemente también salió a la luz un nuevo método de reclutamiento que tomó por sorpresa a propios y extraños: los videojuegos.

De acuerdo con una investigación del periodista Óscar Balderas, los reclutas del crimen organizado han puesto especial atención en las plataformas multijugador, particularmente en el caso de videojuegos como GTA, Gears of Way o Call of Duty.

Balderas advirtió sobre este nuevo “modus operandi” gracias a la denuncia de un adolescente, quien la madrugada del sábado 18 de septiembre recibió una invitación de un desconocido mientras jugaba en línea Grand Theft Auto 5 en su consola Xbox 360.

Fuente: MuyComputer

El nombre del jugador era “EL KIL0Z CDN”. CDN corresponden a las siglas del Cártel del Noreste. Su imagen de perfil era la de un joven no mayor de 18 años, con un chaleco antibalas, una pashmina y un casco militar. Pero a diferencia de otras ocasiones, esta vez no se trataba de un simple admirador del cártel.

Un poco antes el jugador “EL KIL0Z CDN” había creado dentro del videojuego un evento llamado Reclutamiento abierto: CDN Z Vieja ESCUELA 35 Batallón, el cual daba a los jugadores la opción de presionar dos botones: “estoy interesado” o “compartir esta publicación”.

De inmediato, Alfredo tomó su teléfono y fotografió la pantalla de su televisión. En una imagen quedó la evidencia del evento y en otra el perfil del jugador/reclutador, quien contaba con 228 seguidores y 6 amigos.

Sin embargo, no era la primera vez que Alfredo veía mensajes similares. En los últimos meses había visto al menos tres más, todos iguales.

En una ocasión, otro presunto jugador/reclutador dijo pertenecer al Cártel Jalisco Nueva Generación (CJNG), y otro más al Cártel de Sinaloa. Los eventos advertían que buscaban gente seria. En caso de presionar el botón “estoy interesado”, se abre toda una “ventana” que el crimen organizado hace muy difícil volver a cerrar.

Por las madrugadas, los padres duermen y los adolescentes toman los controles. Esto lo saben bien los cárteles mexicanos, que al igual que las fuerzas de seguridad de otros países como Estados Unidos, Alemania o la Policía de Japón, buscan identificar a jóvenes interesados en las armas, la violencia y la adrenalina.

Hace algunas décadas, hubo una campaña que estuvo evolucionando con el pasar de los años, que versaba algo como esto: “Son las 10 de la noche, ¿sabe dónde están sus hijos?”, y tenía el propósito de reforzar o generar ese contacto urgente entre padres e hijos donde solo había monosílabos al cruzar palabras. Hoy en día, no es muy diferente esa necesidad de conexión familiar, lo que ha cambiado ha sido el contexto o terreno de juego, ahora tendríamos algo como “¿sabe lo que sus hijos están jugando en sus dispositivos?, ¿sabe lo que sus hijos ven y buscan en internet?, ¿sabe con quiénes se comunica en internet?”

Hoy más que nunca esto tiene gran relevancia, ya que debemos prepararlos para un cibermundo donde la velocidad e incertidumbre es parte del mismo, y bajo este entorno ellos deberán tener una brújula moral sin nosotros a su lado que les sirva de salvavidas en todo momento.

Fiscalía de México acusada de espionaje ilegal de la geolocalización y datos masivos de teléfonos celulares

Redacción de </cyberwag>

Espionaje masivo de teléfonos

La Fiscalía General de la República (FGR) ha adquirido programas para el análisis de datos masivo y la geolocalización masiva de teléfonos celulares durante los años 2019 y 2020, en los cuales se firmaron cuatro contratos por más de 5 millones de dólares, según publica el diario El País. La compañía beneficiaria del contrato es Neolinx, una intermediaria de la empresa italiana Hacking Team, la cual fue proveedora de material de ciberespionaje durante la época del Gobierno del ex presidentes Enrique Peña Nieto, entre los años 2012 y 2018.  

Estas adquisiciones de material se hicieron como parte de una partida presupuestaria secreta con fines de seguridad nacional, por lo que no fueron publicados por la Fiscalía.

La Red de Defensa de los Derechos Digitales, organización que ha hecho el seguimiento a estas contrataciones, señala que la compra de estos sistemas podría violar los derechos de intimidad de los usuarios, ya que podría constituir en un ejercicio de vigilancia masiva que vulneraría los derechos de proporcionalidad, necesidad y autorización judicial.

¿Qué es Neolinx?

Neolinx es una empresa mexicana fundada en el año 2009 y relacionada con la venta de material de espionaje. Fue en el año 2015 cuando se dio a conocer que había sido la intermediaria de Hacking Team tras el filtrado de documentación interna y decenas de correos electrónicos donde se detallaban sus operaciones. 

Según la Red para la Defensa de los Derechos Digitales R3D en abril de 2018 se firmó el último contrato con la fiscalía mexicana justo antes del cambio de administración de gobierno y habrían vendido sus productos tanto a la Policía Federal, la Defensa Nacional y el PGR. En esta ocasión, Neolinx ha sido la intermediaria de la empresa israelí Rayzone Group. Esta acusación se baja en el descubrimiento de varios informes que aseguran la existencia de cuatro contratos de la fiscalía para servicios y consultas masivas de geolocalización geográfica. Las autoridades han respondido al respecto que la compra de estos programas no es ilegal y son utilizados para combatir la delincuencia organizada. 

Antecedentes de espionaje masivo en México

Las alertas han saltado tras los antecedentes de la anterior administración del Gobierno de México. Durante el mandato del expresidente Enrique Peña Nieto se adquirieron programas de ciberespionaje a las empresas NSO Group y Hacking Team. Uno de los escándalos que más sorpresa causó fue la utilización del programa Pegasus para espiar a periodistas y activistas opositores del Gobierno. Este malware infectaba los teléfonos de los objetivos perseguidos para poder tener acceso total a sus archivos y mensajes personales.

Fue en el año 2017 cuando se denunció públicamente por un grupo de defensores de derechos humanos y periodistas que sus teléfonos habían sido intervenidos por este programa. A causa de este incidente, la Fiscalía mexicana inició una investigación que todavía hoy sigue en curso. Desde el cambio de la administración con el nuevo Gobierno del presidente López Obrador, se ha confirmado ante los medios que la administración no utiliza ningún tipo de programa para perseguir a periodistas o activistas.

Agradecemos la colaboración y fuente original: https://holahorro.mx/blog/acusan-a-la-fiscalia-de-mexico-de-espionaje-ilegal/

ENTORNOS EDUCATIVOS CIBERSEGUROS: CÓMO TENER UNA ESTRATEGIA DE BLINDAJE Y UNA CULTURA DE HIGIENE DIGITAL EN LAS INSTITUCIONES EDUCATIVAS

Por Genaro Delgado – Cofundador </cyberwag> & BeWag

El siguiente artículo es una recopilación de casos de incidentes referente a la seguridad informática en las instituciones educativas. Siendo este uno de los principales problemas de impacto operativo y reputacional difícil de enfrentar y recuperarse. Los consejos y opiniones, tienen su base en las mejores prácticas de ciber-resiliencia actuales, sin embargo solo se deberán de tomar como una referencia y no como una “receta” ya que en cada caso particular, estos marcos de trabajo y metodologías tendrían que adaptarse para que tengan impacto correcto.

CiberseguridadEscolar

A finales de marzo de 2020, las acciones contra el Covid-19 envió a casa a más de 156 millones de estudiantes en América Latina según datos de la UNESCO y con ello, por un lado, aceleró el liderazgo digital en todos los ámbitos sociales, económicos, políticos y culturales, sin embargo trajo retos muy grandes para los modelos educativos que no contemplaban un quehacer pedagógico a distancia.

Pasando la barrera inicial que sería el acceso a internet, la gran mayoría de las instituciones implementó de manera emergente soluciones en línea, por ejemplo: Zoom, meet de Google, Microsoft Teams, Webex de Cisco, Jitsi, Blue jeans, entre otros. Esto con el objetivo de mitigar el efecto de la interrupción de clases presenciales, y estas herramientas se hicieron esenciales para dar continuidad a la enseñanza.

Adicionalmente, nuestros hogares se convirtieron en extensiones de oficinas y aulas de clase. Y de igual manera, nosotros en casa también tuvimos que adoptar todas estas herramientas de colaboración y comunicación digital para llevar a cabo las actividades en conjunto con nuestros hijos, compartiendo no solo el espacio, sino dispositivos y los servicios de internet.

Y casi de manera instantánea adoptamos todo esto y lo convertimos en nuestra nueva normalidad, sin detenernos mucho en reflexionar sobre las reglas de juego de este nuevo mundo digital. Simplemente abrimos la puerta y entramos al cibermundo.

Sin embargo, este nuevo mundo digital, donde existen muchas soluciones digitales para el ámbito educativo, le sumamos un mayor tiempo en línea, ya que además de las herramientas de colaboración y comunicación, aumentó el ingreso y uso de redes sociales y videojuegos en línea, esto como parte de una necesidad humana de seguir socializando. De tal manera que nuestros alumnos y docentes empezaron a participar de manera más activa a través de estas plataformas digitales, y obviamente incrementó la exposición a las amenazas y riesgos que trae consigo internet.

Inclusive, a finales de marzo del 2020, el Foro Económico Mundial también comunicaba la importancia de la ciberseguridad en tiempos de Pandemia por Covid-19 con su artículo: ¿Por qué la ciberseguridad es más importante que nunca durante la pandemia de coronavirus? En el cual exponen tres verticales a discutir:

  • La pandemia COVID-19 plantea el riesgo de un aumento de los ataques cibernéticos.
  • Los cibercriminales eligen como blanco la dependencia cada vez mayor de las personas con respecto a las herramientas digitales.
  • Entre las estrategias para mantener la ciberseguridad se incluyen garantizar continuamente una buena higiene cibernética, verificar las fuentes y mantenerse actualizado sobre las actualizaciones oficiales.

Ahora bien, la pregunta sería: ¿por qué le afecta al sector educativo?, bueno, porque el negocio del ciberdelito es el negocio de la información, y bajo esta perspectiva los ciberdelincuentes ven al sector educativo como un objetivo bastante lucrativo. Solo es cuestión de reflexionar acerca de todos los datos personales y sensibles que poseen los centros educativos sobre sus alumnos y familias, su personal docente y administrativo, incluso información de sus proveedores.  

Y a medida que las instituciones educativas dependan más de plataformas y aplicaciones web para su gestión interna y facilitar el aprendizaje remoto, serán cada vez más vulnerables a los ataques. Ya que a diferencia de otro tipo de organizaciones, los centros educativos no suelen estar lo suficientemente preparados para lidiar con las amenazas del cibermundo. 

CiberseguridadEscolar

Respecto al desafío de proteger la información en un entorno educativo, como lo ha publicado la  Agencia de Ciberseguridad e Infraestructura (CISA) de los Estados Unidos, el FBI y el centro MS-ISAC a diferencia de otro tipo de organizaciones, los centros educativos no suelen estar lo suficientemente preparados para lidiar con las amenazas del cibermundo. Por otra parte, si bien esta advertencia está enfocada en el comportamiento detectado en los Estados Unidos, los grupos criminales responsables de muchos de estos ataques, operan a nivel global, por lo que no sería extraño ver que este escenario se repita en otros países como México.

Una de las ciberamenazas, con un profundo impacto en las instituciones, la ha protagonizado el ataque de RANSOMWARE. Dichos ataques apuntan a sus sistemas informáticos y provocan la interrupción de su dinámica de clases a distancia. Además, también se ha visto el uso de tácticas como el secuestro de información y la posterior extorsión a menos que paguen el rescate demandado.

ciberseguridadescolar

Las cifras pedidas pueden variar desde los $50 mil a $1.5 millones de dólares. Esto es de especial relevancia ya que si tomamos en cuenta que las instituciones educativas recopilan y almacenan cantidades masivas de datos de los estudiantes y padres de familia, podría causar un gran daño y no solo para el centro educativo, sino que también para los hogares. En este sentido, las repercusiones causadas por el secuestro y exfiltración de información, comúnmente son:

1 El uso de la información del personal de centro educativo para realizar la suplantación de identidad con fines maliciosos, que pueden ir desde un fraude, pasando por el “grooming”, hasta perpetuar intimidación o secuestros físicos. 

2 Comercialización de la información para fines diversos que pueden ser desde telemarketing (molesto para muchos pero sin repercusiones o daños), hasta los fraudes electrónicos, secuestros virtuales e intimidación, donde la integridad física y psicoemocional están en juego.

Con respecto a la protección de las comunicaciones y las clases en línea, las instituciones educativas han tenido que lidiar con desafíos nada simples ya que han tenido no solo que adaptarse sino comprender con mayor profundidad lo que es y cómo se deben de manejar en el cibermundo, y no solo para seguir operando, sino para proteger a su propia comunidad educativa (alumnos, docentes, operativos, padres de familia y proveedores) Entre estos nuevos desafíos, los más manifestados son:

1 El envío/recepción de mensajes inapropiados entre alumnos. Entre los mensajes inapropiados, usando los medios de comunicación institucional y la información de contacto de alumnos, que han aumentando desde el encierro global causado por el Covid-19 son mensajes de odio (mensajes humillantes, misóginos, misándricos, xenofóbicos, incitadores a autolesiones incluso a suicidio), pornografía infantil (mensajes entre los mismos alumnos menores de edad), contenido “gore” y violencia desmedida (en la mayoría de las veces creada por efectos especiales, pero muchas ocasiones vienen de videos reales creados por redes terroristas y narcotráfico o redes de noticias amalliristas de accidentes reales), noticias falsas (fakenews), mensajes justificando e impulsando conductas autodestructivas entre los jóvenes como bulimia, anorexia y “cutting”, entre otros.  

2 El mismo contexto del caso anterior pero los mensajes inapropiados hacia padres de familia o docentes.

3 Estos dos puntos anteriores se pueden perpetuar desde las infraestructuras de la institución educativa, siendo los atacantes parte de la comunidad, o siendo atacantes ajenos a la institución que han logrado obtener credenciales de acceso a la infraestructura con un simple correo electrónico. En el mejor de los casos se podrá cerrar la fuente de este ataque con el cierre de las credenciales de acceso maliciosas, pero en el peor de los casos, toda la información sustraída podrá materializarse en una acción que puede dañar algún miembro de la comunidad educativa.

4 Otra de las amenazas en contra a las comunicaciones e infraestructura de las instituciones educativas son los llamados “Script Kiddies”, éstos, son alumnos que están probando sus habilidades técnicas en el mundo de la informática, sobre todo en la parte de penetración de sistemas, y de manera inconsciente y un poco ingenua logran interrumpir los servicios escolares, tanto administrativos como los de sus sesiones, también pueden cometer un ciberdelito al momento de ejecutar una exfiltración de datos, dejando expuestos a los integrantes de la comunidad de la institución educativa.

5 Sumado a lo anterior, técnicas como “PHISHING” han comprometido la integridad de las infraestructuras informáticas de las instituciones, se han encontrado que estas infraestructuras forman parte de una “botnet” de minería de criptomonedas y con ello merman los recursos tecnológicos de la institución, haciendo que ésta haga inversiones mayores en infraestructura que no necesitan.

Cuando alguna de estas amenazas se hace realidad la institución educativa puede enfrentar consecuencias legales y hasta multas por incumplimiento de regulaciones, por ejemplo la Ley de protección de datos personales en posesión de particulares, sin contar que el “golpe” más duro vendrá por el desprestigio de la institución ante la comunidad no solo escolar sino en general

Los costos de multas y resiliencia ocasionados por las brechas de seguridad de la información en las instituciones educativas

Ransomware

De acuerdo con información del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), desde el 2012, cuando se aprobó la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), a la fecha, los sectores más sancionados han sido el sector financiero y de seguros, el sector de medios y comunicaciones, y el sector educativo.

Las sanciones por parte del INAI sobre el cumplimiento de la LFPDPPP pueden ir desde los 100 UMA hasta los 320,000 UMA (UMA 2021= $89.62), es decir, desde MXN$8,962 hasta MXN$28,678,400

En el sector educativo, las sanciones reportadas han sido desde las 100 UMAs y hasta 22,400 UMAs, es decir, desde los $8,962 pesos hasta $2,007,488 aproximadamente (tiene variación de acuerdo al año de aplicación) Los casos más comunes sancionados han sido la violación del principio de finalidad, previsto por la LFPDPPP, en la cual trata los datos de una persona con un fin distinto al autorizado y sin su consentimiento. Otros de los motivos merecedores de las sanciones son: 

  • Actuar con negligencia o dolo en la tramitación de solicitudes de acceso, rectificación, cancelación u oposición de datos personales (Derechos ARCO)
  • Incumplir el deber de confidencialidad
  • Vulnerar la seguridad de bases de datos, programas o equipos
  • Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que este sea exigible

El desconocimiento de la institución (sus operadores y comunidad escolar en general), la falta de concientización y cultura de seguridad de la información, y los ciberataques, han sido la mezcla perfecta de “dinamita”, que al momento de explotar se convierte en multas y todo tipo de sanciones por parte de las autoridades competentes, sumando los costos de demandas civiles y comerciales para resarcir daños por parte algunos de los afectados, éstos pueden ser miembros de la comunidad escolar o un proveedor. Por ello, muchas de estas instituciones no vuelven a levantarse. Las que logran salir adelante, las inversiones para corregir las vulnerabilidades detectadas en los tres ejes de la institución educativa: sus infraestructuras, su personal y su estatus jurídico, suelen ser muy altas y “dolorosas”.

Mtro. Genaro Delgado – Entornos Educativos Ciberseguros: Cómo tener una estrategia de Blindaje
A continuación se comentan algunos casos de incidentes de ciberseguridad en contra de instituciones educativas en México. Su relato ha sido editado para su ejemplificación de los daños que pueden sufrir los centros educativos y su comunidad que los conforman por este tipo de incidentes. Por tal motivo se omiten nombres, lugares y demás información que pueda ligarlos, respetando su derecho a su anonimato. Algunos casos, cuando existen sanciones por organismos federales y por la ley de transparencia, pueden ser consultados en los sitios oficiales. 

Relatando un caso de Ransomware y extorsión en una institución educativa

En 2020, por contexto del encierro por la pandemia del COVID-19, todos los centros educativos tuvieron que ser lo más flexible posibles para adoptar tecnologías que no tenían contempladas dentro de sus modelos de enseñanza-aprendizaje. El objetivo es que ningún alumno se quedara sin terminar su ciclo escolar. Como se ha mencionado, esto trajo innumerables retos, entre ellos la ciberseguridad y la cultura de higiene digital tanto en el hogar como en la escuela.

Al estar “todos” conectados, y saber que las escuelas empezaron a formar bases de datos cada vez más robustas, los cibercriminales vieron una gran oportunidad para actividades de extorsión principalmente y usaron como arma el malware tipo RANSOMWARE

ransomware

En este tipo de ataques los costos y pérdidas asociados son:

  1. Interrupción de operaciones
  2. Robo de datos
  3. Gastos por extorsión
  4. Daños o pérdida de datos en los sistemas informáticos
  5. Coste por responsabilidades legales por sanciones según la afectación
  6. Gastos en notificación de afectados
  7. Gestión de crisis, y recuperación de información
  8. Pérdida de confianza ante los clientes / usuarios

Bajo el contexto anterior, una institución educativa, que maneja cuatro niveles: preescolar, primaria, secundaria y prepa, que tiene presencia en 5 ciudades del país, tuvo un incidente de ransomware en el último trimestre del 2020, con un costo de recuperación cercano a los 3.5 millones de pesos.

El ataque a esta institución fue a través de la técnica de PHISHING, que a través de la recepción y apertura de un archivo malicioso enviado al departamento administrativo/contable de una las de las sedes, se encriptaron archivos de todo tipo, haciendo inoperable los sistemas de gestión de esa sede, sin embargo el archivo malicioso se había diseminado como SPAM entre toda la red y servidores, de tal manera que otras sedes empezaron a reportar el mismo problema.

Una vez que el equipo de soporte de Tecnologías de la Información revisó los hechos reportados, obtuvieron notas de rescate de los archivos (un archivo de texto .txt en el escritorio, visible), en términos generales, estas notas mencionaban el tipo de RANSOMWARE, las condiciones para la desencripción, el costo, la forma de contacto y las consecuencias si no se seguía las instrucciones. El precio que les pedían era de 100 mil dólares americanos en bitcoins para liberar el software de desencripción, y si no se tenía respuesta en 72 horas, las bases de datos las pondrían en venta en foros.

En ese momento, prácticamente todas las operaciones administrativas se habían detenido, además de que se había mandado una alerta para tratar de mitigar el daño y no pasarlo hacia los hogares de sus alumnos.

Tenían poco tiempo para tomar la decisión de pagar la extorsión y evitar la exfiltración de datos o mantenerse sin pagar y medir el riesgo de dicha exfiltración, ya que no sabían si esta acción realmente la podrían ejecutar los cibercriminales detrás del ataque. 

La junta directiva y accionistas tomó la decisión de no pagar la extorsión. Por tanto, se hizo el aviso a las autoridades para sentar un precedente y denuncia, se preparó el comunicado para los posibles afectados por la posible exfiltración de datos, se empezó a preparar la estrategia legal para las posibles demandas y multas por parte de organismos como el INAI, y la estrategia de continuidad y recuperación de operaciones.

En términos generales, 3.5 millones de pesos mexicanos fue suma de liquidar servicios de los especialistas de gestión de riesgos y ciberseguridad, abogados, licencias de software, levantamiento de infraestructura, análisis de vulnerabilidades, servicios de capacitaciones a personal, entre otras más.  Las erogaciones a la fecha (marzo 2021) asociados por este ataque no han acabado, y hay un rubro que ha tenido mucho impacto en su red de escuelas, y es la confianza por parte de los padres de familia. Y aunque el número de bajas escolares por este incidente ha permanecido solo para control interno, reconocen que el impacto ha sido fuerte en este rubro, y que el comentario común de los padres de familias que han tomado la decisión de baja de sus hijos es que sienten temor que a través de ellos (la institución) puedan sufrir algún tipo de fraude, incluso acoso por toda la información que manejan sobre la familia y que no está resguardada correctamente. 

Los ataques tipo ransomware, en 2020 se ejecutaron uno cada 11 segundos, y cada vez son más rentables para los cibercriminales, pero no solo son los únicos ataques o amenazas del cibermundo, como lo hemos mencionado, amenazas de contenido, comunicaciones, acoso, etc. que se perpetúan a través de internet cada vez son mayores y con mayor penetración en los hogares, en centros de trabajo, y por supuesto en los centros escolares.

Relatando un caso de suplantación de identidad de un alumno sumando acciones de ciberacoso

En el 2019, una institución educativa privada terminó haciendo una erogación cercana a los 850 mil pesos mexicanos por una suplantación de identidad entre alumnos de secundaria a través de correo electrónico y mensajería instantánea. 

Los hechos de este incidente inician con la suplantación de identidad a través de la dirección de correo electrónico de un joven de segundo se secundaria para enviar mensajes de correo y mensajería instantánea obscenos a una de sus compañeras.

Esto fue provocado por una mala higiene de gestión de contraseñas por parte de los administradores de sistemas del centro educativo, ya que las contraseñas se creaban con las iniciales del nombre completo de la persona seguido por el día, mes y año de su nacimiento, parecido a la estructura del RFC o CURP, seguido por las siglas del nombre de la institución educativa. Por lo tanto era muy sencillo “adivinar” prácticamente cualquier contraseña, ya fuera de alumno, profesor o administrativo de la institución, ya que no era obligatorio cambiar la contraseña creada y no se concientizaba de esta vulnerabilidad.

suplantacion

El incidente toma lugar cuando un alumno, apoderándose del usuario y contraseña del correo electrónico institucional de otro de sus compañeros, y con el afán de realizar una “venganza” contra éste, toma la acción de mandar mensajes en su nombre a diferentes compañeros y compañeras, entre las víctimas receptoras de los mensajes obscenos, se encontraba una compañera de 13 años de edad, y en ese momento dio aviso a sus padres de todo el contenido que estaba recibiendo sin su consentimiento ni su petición. Sus padres, documentaron todos los mensajes.

Esa misma noche, el joven que había sido víctima de la suplantación, empezó a recibir mensajes y llamadas de compañeros y padres de familia con reclamos y amenazas, éste avisó a sus padres y se conectaron a la cuenta del joven, y efectivamente había todavía algunos mensajes e imágenes que él supuestamente había enviado, muchos otros habían sido ya borrados. Al día siguiente, se convocó a una reunión de padres de familia y directivos de manera urgente, los padres de familia de la compañera que había recibido el contenido obsceno, habrían ya preparado una acción legal hacia el joven que supuestamente había mandado los mensajes. Y los padres de familia del joven víctima de la suplantación habían ya emprendido su acción legal en contra la institución por no tener los mecanismos para proteger las identidades e información de sus alumnos. 

Una vez que el centro educativo pidió hacer las investigaciones correspondientes, y se esclareció el problema, las sanciones que se impusieron fueron respecto a la participación del daño causado a las dos víctimas en este caso, la compañera que recibió los mensajes y el joven que fue suplantada su identidad.

En el caso del centro educativo, la suma de erogaciones para resarcir parte del daño hacia sus alumnos, sumando los servicios especializados de forense informático, abogados y ciclos de formación en ciberseguridad, ascendió alrededor de $850 mil de pesos mexicanos. Sin embargo, como en el caso de ransomware, el costo pagado por la baja de varios estudiantes por la falta de confianza y desprestigio de la institución, fue muy alto. 

INAI sanciona institución superior por infracción a la LFPDPPP

En 2018, el INAI impuso una multa de $580 mil pesos a una institución educativa por no respetar el principio de finalidad respecto al uso de datos personales por parte de un empleado.

La falta de formación y una política sólida sobre una cultura de seguridad de la información, hizo que un representante de una institución de educación superior usase la información otorgada por un prospecto de estudiante para enviarle de manera privada y acosante, mensajes ajenos a los fines que se había otorgado esa información, es decir, información sobre la institución, sus planes, costos, fechas importantes, etc. 

Al tornarse una situación acosadora, el particular hizo la denuncia ante el INAI, y este organismo determinó que la institución había violado de manera grave el principio de finalidad de la información recabada, por ello la suma financiera tan grande impuesta. 

Es importante aclarar que las acciones o inacciones y sus consecuencias, dentro del contexto de la LFPDPPP, de todo el personal dentro de una organización es responsabilidad de su figura jurídica ante los organismos reguladores. 

Por eventos como los anteriores, todas las organizaciones, y en este caso, los centros y comunidades escolares deberán contemplar dentro de su estrategia de operación, crecimiento y valor, el ser un centro escolar ciberseguro, donde contemplen el cómo proteger sus sistemas, la información que guardan, generan y transfieren de todo el ecosistema que conforma el centro educativo, y además deberán contemplar como una vertical la formación sobre higiene digital y ciudadanía digital tanto para sus docentes como para sus alumnos. Esto porque el mundo no está dispuesto a desconectarse, entonces tendremos que formarnos para saber cómo gestionar los desafíos en el cibermundo.

BeWag es la integración de tecnología, herramientas, procedimientos, y prácticas formativas para generar un Blindaje Digital, Un Refuerzo Legal y un Civismo Digital dentro de un entorno educativo. Eliminando la complejidad de conocer, validar, generar una estrategia y tener un plan director de gestión de riesgos digitales, seguridad de la información y ciberseguridad, todo esto especializado para entornos educativos.

A través del Framework de BeWag, ayudamos a los entornos escolares en implementar un modelo de prevención, y además prepararlos en un modelo de reacción y remediación para saber qué hacer y cómo actuar en caso de extorsiones, ataques con malware, robo o exposición de información sensible, suplantación de identidad, robo de datos personales de alumnos o profesores, prevención de uso incorrecto de herramientas digitales para bullying o fraude, entre otros riesgos digitales del cibermundo.

Si su institución educativa está pasando por evento similar a los aquí expuestos, o cree que puede estar bajo alguna amenaza de ciberseguridad, no dude en contactarnos para ayudarle a través de los servicios y productos especializados en ello que hemos diseñado.

En México los ciberataques aumentaron con el COVID-19: 5 consejos para evitarlos

Con la llegada del COVID-19 y el confinamiento, los hábitos de consumo informático han evolucionado en la mayor parte de los hogares. El puesto de trabajo ha pasado de la oficina al domicilio de un día para otro, con sus consecuentes riesgos. Además, muchos procesos burocráticos también se han digitalizado y los ciberdelincuentes han aprovechado esta situación para realizar ciberataques pues algunos usuarios están poco familiarizados con el entorno digital o no trabajan desde entornos de red fiables ni equipos de forma segura según este artículo de Forbes.

Los tipos de ciberataques que más han aumentado durante el confinamiento y el periodo de restricciones de movilidad durante la pandemia son los siguientes:

  1. Robo de datos confidenciales de empresas y trabajadores que se encuentran realizando home office desde equipos no protegidos y señal WiFi no segura.
  2. Phishing y spam en el correo electrónico: se reciben muchos emails de procedencia sospechosa que se hacen pasar por empresas de mensajería, organismos gubernamentales y otras instituciones pidiendo datos personales e incluso cuentas bancarias a través de enlaces que conducen a los usuarios a páginas web muy similares a las de la empresa que intentan suplantar.
  3. Información falsa o fake news sobre el COVID-19: noticias, supuestos laboratorios donde se pide un registro para hacerse test o vacunación.

Existen una serie de medidas de protección que todo usuario debe tener en cuenta a la hora de conectarse a Internet y sobre todo desde que el riesgo de sufrir un ciberataque ha aumentado tanto en México, de acuerdo a la empresa PORTAVOX, estos son sus 5 consejos:

1 Proteger la señal de Internet aplicando un password seguro para la red local desde casa o la oficina, evitando la conexión desde redes públicas abiertas y/o desconocidas.

2 Mirar con detenimiento la dirección de correo electrónico desde la que se recibe un mensaje supuestamente oficial y verificar si coincide con la dirección real de dicha empresa, banco u organismo. Ante la duda, es preferible llamar por teléfono o iniciar sesión abriendo directamente la página oficial desde el buscador que directamente desde un link recibido por email.

3 Comprobar la URL en la barra de navegación: verificando que está activo el protocolo https (reservado para sitios seguros) y también comprobando el nombre completo de la página

4 Mantener los equipos actualizados con versiones oficiales del sistema operativo, drivers y software, evitando la descarga de archivos a través de programas de intercambio y páginas webs que no cumplan el protocolo de seguridad.

5 Invertir en ciberseguridad por parte de las compañías que necesitan hacer teletrabajo y dotar a sus empleados de equipos protegidos y formación necesaria para no poner en riesgo su actividad.

Agradecemos a PORTAVOX por este artículo, nuestros lectores pueden revisar el artículo original y más consejos de PORTAVOX en esta liga de enlace.

La libertad se fundamenta en la privacidad

Por Ignacio González – Fundador de Evolutivos y Colaborador de </cyberwag>

Un principio rector de las relaciones humanas se basa en la confianza otorgada entre todos los que tienen un interés. Esto significa que resguardar la información disponible convierte a las personas en socios, compañeros o vigilantes de un cumplimiento: la discreción.

En las organizaciones empresariales la información que fluye puede considerarse de diversas maneras como lo son los procedimientos regulares, análisis-síntesis de datos y la información confidencial como lo son las estrategias comerciales, diseños, modelos de productos y servicios entre otros propios de cada giro empresarial.

Hoy por hoy existen pocos modelos de protección y regulación interna, se apela al buen uso y discreción del personal en todos los niveles. Usar contraseñas no es suficiente, parte de la actividad se filtra en conversaciones presenciales o en línea. Más allá de esto, los ataques externos muestran la vulnerabilidad que tienen los sistemas en la organización. Millones de empleos alrededor del mundo se han ido a sus domicilios particulares, es decir, las barreras de contención, manipulación, desvío y malversación de la información está a la orden del día ¿Qué hacer frente la nueva realidad virtual?, aquí muestro los primeros pasos para poder dilucidar este reto:

Crear un protocolo. Establecer un método con reglas claras y específicas para el uso y transmisión de la información de la empresa.

Diseño de estrategia. La ciberseguridad es ahora parte crucial del negocio. El consejo o dirección general deberá verla como parte de un indicador para dotar de recursos humanos y financieros para su incorporación a distancia.

Política de Control de daños. La creación de un mecanismo de respuesta inmediata ante una posible contingencia puede aminorar las pérdidas en la información dentro de la organización.

Consultoría Externa. Contar con un grupo de outsiders permitirá ver los puntos ciegos de la compañía frente a las amenazas externas.

Reserva física y digital. En el desarrollo de la estrategia habrá que revisar los contenedores físicos y digitales para tener un doble respaldo de la información sensible de la empresa.

Algunas personas clave en las empresas han entendido lo valioso que es saber anticiparse, otras han vivido episodios de pérdidas de miles o millones de dólares por la ausencia de un inversión y pensamiento progresista que avizore los riesgos y los sepa atajar en su primera oportunidad de ataque o sospecha interna o externa en la organización.  La libertad empieza con la planeación y contención de los riesgos más allá de la confianza o discreción de la persona en casa.

Nulas y malas prácticas de privacidad, generan brechas de seguridad en todas las organizaciones.

Por Genaro Delgado – Cofundador de </cyberwag>

Un estudio realizado por la empresa Osano a más de 11 mil sitios web, ha demostrado que las organizaciones con malas o nulas prácticas de privacidad tienen un 80% más de probabilidades de sufrir una filtración de datos.

El estudio integral destaca los siguientes hechos: 

  • Aproximadamente el 2.77% de las compañías reportaron una violación de datos en los últimos quince años. 
  • Las empresas con las prácticas de privacidad menos rigurosas tienen casi el doble de probabilidades de sufrir una violación de datos que las empresas con una excelente administración de datos.
  • La compañía promedio comparte sus datos con 730 proveedores diferentes y terceros. Los terceros fueron responsables de dos de cada tres violaciones de datos. 
  • Las empresas con las prácticas de privacidad menos rigurosas pierden siete veces la cantidad de registros de datos cuando se violan. 
  • Los ataques de cibercriminales fueron responsables del mayor número de filtraciones de datos y causando las pérdidas más graves en las organizaciones. 
  • Las empresas de las industrias financieras tenían muchas más probabilidades de experimentar filtraciones de datos causadas por trabajos internos. 
  • Casi el 30% de las organizaciones gubernamentales y educativas con dominios de nivel superior “.gov” y “.edu” experimentaron una filtración de datos.

Las correlaciones entre las filtraciones de datos y los puntajes de privacidad que realizó Osano se deben a muchas causas, entre las que destacaron:

  • La ignorancia voluntaria 
  • La supervisión de las mejores prácticas de privacidad que aumentan la exposición al riesgo 
  • La cultura de la empresa en torno a la administración responsable de datos

Después de un examen exhaustivo de las prácticas de privacidad de los más de 11 mil sitios, Osano identificó tres tendencias clave de este 2020: 

  • Complejidad creciente de los cambios y notificaciones de políticas de proveedores
  • Creciente preocupación pública por la privacidad de los datos.
  • Aumento de la actividad legislativa que aborda la seguridad de los datos.

Conclusión:

Muchas compañías están rezagadas con respecto a los requisitos actuales de privacidad de datos. Al priorizar las mejores prácticas de privacidad de su clase, las compañías pueden reducir el riesgo de incidentes de seguridad y demostrar su confiabilidad a los clientes.

Si su organización se encuentra actualmente atravesando un problema de filtración de datos, o desconoce qué controles debe de implementar para estar en normatividad y cumplimiento de acuerdo a la Ley Federal de Protección de Datos en Posesión de los Particulares, con gusto podemos asesorar.

El ransomware se ha convertido en la mayor amenaza cibernética del mundo!

Por Genaro Delgado – Cofundador de </cyberwag>

Este post pretende ser una pequeña guía para las organizaciones y personas no familiarizadas con este tipo de amenazas a la hora de conectarse a sus mundos digitales ya sea por trabajo, educación o entretenimiento. Debemos conocerle y saber cómo prevenirlo y prepararnos para saber cómo enfrentarlo en caso de ser víctimas.

El “ransomware” es un malware (programa de software malicioso) que impide que el usuario acceda a los archivos o programas, y para su eliminación se exige pagar un “rescate” a través de ciertos métodos de pago en línea, comúnmente piden transferencias a cuentas no rastreables de criptomonedas como BITCOINS. Una vez pagada la cantidad, el usuario puede reanudar el uso de su sistema. Generalmente se propaga a través de correos electrónicos tipo phishing, publicidad maliciosa, visitando sitios web infectados o explotando vulnerabilidades de los sistemas operativos o programas con los que trabajan o se divierten los usuarios. 

De acuerdo con un informe publicado por Coverware, en los últimos meses del 2019 comenzó a observarse una nueva tendencia en los ataques de ransomware sumando al secuestro de los archivos, la práctica extorsiva de amenazar con la filtración de la información comprometida. Esta técnica conocida como doxing, consiste en obtener datos confidenciales de las víctimas y amenazar con hacerlos públicos, a menos que se pague la extorsión. 

Existen muchas razones que explican el interés por parte de las víctimas para intentar evitar la filtración de la información pagando los rescates, ya que además del daño a la reputación, las afectaciones a la productividad, los accesos no autorizados, la interrupción de las operaciones o las pérdidas financieras, a la lista de las consecuencias se suman las multas o penalizaciones debido a legislaciones, como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares

Los ataques típicos suelen pedir montos de USD$1,000 a USD$5,000. Sin embargo, otros ataques son mucho más ambiciosos, especialmente si el atacante es consciente de que los datos que capturó pueden causar pérdidas financieras directas y considerables a una empresa, y en este caso puede pedir cantidades que van desde los USD$50 Mil y hasta cifras que superan los USD$100 Millones. 

De acuerdo a datos del laboratorio de amenazas de SYMANTEC, en este segundo semestre del 2020 se ha detectado una oleada de ataques ransomware contra unas 30 compañías, algunas de ellas pertenecientes a la lista de Fortune 500. Y prevén que el costo ocasionado por estos incidentes cobrará USD$6 Billones en el 2021 a nivel mundial.

Otro dato preocupante es que el 75% de las empresas víctimas del ransomware estaban ejecutando software de protección tipo anti-malware, o anti-spyware de licencia y actualizado. 

 Según datos de empresas como ESET y Checkpoint, cada 12 segundos en este 2020 hay una víctima por ransomware, y para el 2021 serán cada 10 segundos o menos.

¿Cómo puedes caer y ser víctima de un ransomware?

Normalmente los cibercriminales usarán varios métodos, y combinaciones de los mismos, para “explotar” las vulnerabilidades de los sistemas y de las personas.

Entre los métodos y técnicas más comunes están:

Conseguir cuentas con privilegios de administrador para tener acceso a la red. Con estas cuentas administradoras podrán instalar software, en este caso malware en los equipos.

Comúnmente obtienen estos datos mediante:

1.- Correos y mensajes tipo phishing y sus variantes, que contiene enlaces web maliciosos o adjuntos como un documento de Microsoft Office (normalmente un archivo Excel pretendiendo ser un pedimento o una factura) o un archivo comprimido (.rar, .zip) que contienen macros o ficheros de JavaScript que descargan el malware.

2.- Debilidades de procedimiento, por ejemplo no cambiar el usuario y contraseña por defecto, o vulnerabilidades del software. 

Engañar a los usuarios, mediante técnicas de ingeniería social, para que instalen el malware. 

Esta es la más frecuente y la más fácil para el cibercriminal. Por ejemplo mediante un mensaje suplantando a un amigo o conocido con un enlace a un sitio que aloja el malware. También se utilizan estas técnicas a través de redes sociales o servicios de mensajería instantánea.

ingenieria-social

A través del método conocido como drive-by download. 

Este método consiste en dirigir a las víctimas a sitios web infectados, descargando el malware sin que lo perciban, aprovechando las vulnerabilidades de su navegador. También utilizan técnicas como malvertising la cual consiste en incrustar anuncios maliciosos en sitios web legítimos. El anuncio contiene código que infecta al usuario con y sin que este haga clic en él. 

Aprovechando los agujeros de seguridad o vulnerabilidades del software de los equipos, sus sistemas operativos y sus aplicaciones. 

Los desarrolladores de malware disponen de herramientas que les permiten reconocer dónde están las vulnerabilidades e introducir así el malware en los equipos. Por ejemplo, algunas variedades de ransomware utilizan servidores web desactualizados como vía de acceso para instalar el malware. Otro caso que está tomando mucha relevancia en estos últimos años es que los cibercriminales se están aprovechando de sistemas industriales SCADA (Supervisión, Control y Adquisición de Datos) conectados a Internet (sistema de Internet de las Cosas) sin las medidas básicas de seguridad. Por ejemplo, en las industrias están conectando a Internet equipos de aire  acondicionado, impresoras en red, máquinas de control numérico, sensores en las líneas de producción, etc., sin las mínimas medidas de seguridad que esto representa para la organización.

¿Quién suele ser víctima de un ransomware?

A finales del 2019, El Economista realizó un análisis sobre los sectores más atacados por cibercriminales. Con base en los estudios de organizaciones internacionales e instituciones del sector privado, el diario mexicano determinó que las instituciones financieras, los sistemas de infraestructura crítica, la industria 4.0, la cadena de suministro y los usuarios finales, registraron el mayor número de ataques cibernéticos.

1. Instituciones financieras

De acuerdo con el reporte “Estado de la Ciberseguridad en el Sistema Financiero Mexicano”, realizado por la Organización de Estados Americanos (OEA) en colaboración con la Comisión Nacional Bancaria y de Valores (CNBV), ninguna de las instituciones financieras en nuestro país se salvó de recibir intentos de ciberataques durante el 2019.

Más del 40% de estos intentos tuvieron éxito. Tanto bancos como Fintechs, Sociedades Cooperativas de Ahorro y Préstamo (Socaps) y Sociedades Financieras Populares (Sofipos) fueron víctimas de ataques cibernéticos que les costaron durante el 2019 alrededor de 107 millones de dólares en respuestas y recuperación.

2. Sistemas de infraestructura crítica

Los sistemas de infraestructura crítica (físicos y virtuales) son aquellos que proporcionan funciones y servicios esenciales para dar respaldo a los sistemas sociales, económicos y ambientales; por ejemplo, las infraestructuras de corriente eléctrica, suministro de agua, sistemas de transporte, fuerzas de seguridad, servicios médicos de hospitalización y servicios de emergencia. En las empresas, estos sistemas hacen posible la operación y expansión del negocio.

De acuerdo con la firma de ciberseguridad Kaspersky, en nuestro país más del 50% de los sistemas críticos en México sufrieron intentos de infección con algún tipo de malware durante el 2019.

La mayoría de estos ataques se realiza a través de internet, de dispositivos removibles, como memorias USB o de mensajes de correo electrónico.

3. Industria 4.0

Actualmente las empresas empiezan a integrar la producción y las operaciones físicas con tecnología digital, creando espacios ciberfísicos hiperconectados a través de internet.

Estás características han colocado a la industria 4.0 como blanco de ciberdelincuentes, una tendencia que va en aumentos sobre todo en el sector automotriz.

4. Cadena de suministro

Una cadena de suministro o abastecimiento es un conjunto de elementos que permiten que las empresas cuenten con la organización necesaria para llevar a cabo el desarrollo de un producto o servicio y que éste cumpla el objetivo principal de satisfacer las necesidades del cliente final. Por ello, cuando son atacadas por ciberdelincuentes, la operación y reputación de las empresas se ven afectadas.

Los ciberataques tienen como objetivo vulnerar los sistemas de los equipos y maquinaria provistos por terceros proveedores de una empresa para luego introducir malware que afecta a otros sistemas de la organización.

5. Usuarios finales

Todos somos tan vulnerables a un ciberataque tanto como un Pemex, Coca Cola, SAT, Condusef o hasta Banorte o  HSBC o Facebook, incluso hasta más. La población en general hace uso de internet a través de dispositivos en los que almacenan información sensible como datos personales, bancarios o laborales. Por ello, México se encuentra entre los primeros 10 países con mayor número de infecciones con malware en dispositivos móviles.

A partir de 2018 los ataques masivos de ransomware empezaron a disminuir para enfocarse en ataques más dirigidos,  es decir, dejaron de concentrarse en afectar a la mayor cantidad posible de usuarios para centrarse en un menor grupo de víctimas a las cuales demandar mayores sumas de dinero por el rescate de su información. Los atacantes tienen varias formas de elegir a qué organizaciones apuntar. Podría ser una cuestión de oportunidad o la probabilidad de pago. Y bajo este concepto…

las empresas catalogadas como PyME se convierten en “blancos” casi seguros de pago, ya que el 26%  de este tipo de empresas opta por el pago de rescate. 

Tipos comunes de ransomware

Cifrado ransomware

El malware cifra los archivos y se exige el pago para descifrarlos. La única forma de recuperar la información es pagar el rescate (lo cual no se recomienda en lo absoluto) o usar una herramienta de descifrado. Incluso si paga el rescate, no hay garantía de que el atacante mande la llave o programa de desencriptación de archivos.

TeslaCrypt

Scareware

Es un software de seguridad falso que afirma que hay malware en la computadora. El usuario final recibe una ventana emergente que exige el pago de la eliminación. Si no se realiza un pago, las ventanas emergentes continuarán, pero los archivos generalmente son seguros.

Bloqueadores de pantalla

El ransomware reemplaza la pantalla de inicio de sesión con una pantalla que exige el pago. A menudo, la pantalla tiene el logotipo de organismos o agencias de aplicación de la ley, por ejemplo del FBI o de la CIA.

Mobile ransomware

En este caso, se aplica alguno de los tipos anteriores, pero en sistema operativo móvil, comúnmente en Android, ya que éste sistema operativo, a diferencia de iOS de Apple, te permite la instalación de apps de terceros o de sitios no seguros. 

¿Pagar o no pagar el rescate?

Esta pregunta es más compleja de lo que parece ya que por un lado, tanto los organismo de seguridad, por ejemplo aquí en México la policía cibernética, como muchas de las empresas que nos enfocamos a la Gestión de riesgos digitales y ciberseguridad, no recomendamos que se haga el pago del rescate con el objetivo de reducir el incentivo para crear más ransomware, además como lo habíamos mencionado, no tenemos la certidumbre de que con el pago realmente nos manden la llave o programa de descifrado de los archivos. 

Por otro lado, es importante reconocer que para las empresas que pueden perder datos vitales de su negocio que los puede llevar a un cierre de operaciones, puede tener mucho sentido pagar el rescate. Recordemos que muchos ataques de ransomware han mantenido los precios bajos, entre USD$500 a USD$1,500 con el objetivo de que las empresas puedan pagar. Actualmente los cibercriminales ya pueden detectar el país en el que se encuentra el equipo secuestrado y así ajustan la cantidad del rescate de acuerdo a las zonas económicas. Y como todos buenos negociantes, hasta descuentos ofrecen por pagar rápido. 

Con esta situación, algunas empresas PyME han incluído dentro de sus presupuestos anuales, pagos de rescates para ataques ransomware. Sin embargo para nada esto es una solución, solo es una forma de salir del problema sin arrancarlo de raíz.

¿Por qué no recomendamos pagar el rescate?

  • Pagar no te garantiza que volverás a tener acceso a los datos, recuerda que se trata de criminales.
  • Si pagas es posible que seas objeto de ataques posteriores pues, ya saben que estás dispuesto a pagar.
  • Puede que te soliciten una cifra mayor una vez hayas pagado.
  • Pagar fomenta el negocio de los cibercriminales.

¿Qué hacer en caso de ser víctima de ransomware?

Si cuentas con un plan de respuesta a incidentes y continuidad de negocios y operaciones (DR/BC), ejecútalo lo antes posible para minimizar los daños causados y poder recuperar la actividad lo antes posible. Este plan de respuesta, nos marcará las pautas a seguir para la obtención de evidencias para una posible denuncia de la acción delictiva y como caso de nuestra organización para mejorar los controles.

Sin embargo, solo el 20% de las organizaciones en todo el mundo tienen este tipo de planes, y probablemente estás dentro del 80% que no lo tiene, lamentablemente esto es muy normal y ojalá que empieces a corregirlo. Pero por lo pronto,  es importante que conozcas los pasos mínimos para enfrentar lo mejor posible este ataque:

Aísla los equipos detectados con ransomware inmediatamente, desconectarlos de la red para evitar que este se expanda y ataque otros equipos o servicios compartidos. Aísla o apaga los equipos que no estén aún del todo afectados para contener los daños. Sospecha de todos los equipos y dispositivos conectados en la red, y aplica medidas para garantizar que todos los sistemas no estén infectados. En caso de no contar con personal calificado del área de soporte de TI, simplemente desconecta el o los equipos con ransomware a Internet, apagando el módem o poniéndolos en modo avión por ejemplo.

Si fuera posible cambia todas las contraseñas de red y de cuentas online. Después de eliminado el ransomware volver a cambiarlas.

Identifica el malware o tipo de ransomware que te está atacando. Si fuera posible recoge y aísla muestras de ficheros cifrados o del propio ransomware como el archivo adjunto en el mensaje desde el que nos infectamos.  

Clona los discos duros de los equipos infectados, pues pueden servir de evidencia si vamos a denunciar. Este es un procedimiento que debe realizar técnicos experimentados. Esta copia también puede servirnos para recuperar nuestros datos en caso de que no exista aún forma de descifrarlos (eventualmente la habrá)

Analiza tus opciones. Tendrás que elegir alguna de las siguientes opciones (incluso escalar en ellas):

  • Intentar eliminar el malware.  Si tienes servicios de empresas como ESET, Kaspersky, Symantec, BitDefender, entre muchos más, es importante contactarlos para que ellos te puedan ayudar a definir los pasos a seguir para probar los descifradores que han desarrollado y tener oportunidad de recuperar la información.
  • Limpiar los sistemas y volver a instalarlos desde cero. La forma más segura de eliminar el malware que ha causado el ransomware, es borrando / formateando completamente todos los dispositivos de almacenamiento y volver a instalar todo desde cero. Si has seguido una estrategia de copia de seguridad, deberías de tener copias de todos tus documentos, medios y archivos importantes muy cercanos a la fecha del cifrado de la información, permitiendo mitigar en gran medida el impacto. Pero si no contabas con copias de seguridad, estas en graves problemas.
  • Pagar el rescate 

En cualquiera de los casos, se recomienda analizar de manera inmediata el impacto y consecuencias que tienen para la organización, su costo de implementación de medidas de remediación, y el tiempo de recuperación de operaciones. Esto nos ayudará a tomar la mejor de las decisiones. 

En la medida posible informar a las autoridades pertinentes, por ejemplo en México, a la policía cibernética. Tal vez ellos no podrán ayudarte técnicamente, sin embargo tú ayudarás a proporcionar una mayor comprensión de la amenaza, justifica las investigaciones de ransomware y aporta información relevante a los casos de ransomware en curso. Esto permite la creación y fortalecimiento de leyes o iniciativas a niveles de gobierno que enfoquen a ayudar a las víctimas de estos ataques cibernéticos de una mejor manera.

En el caso de nuestro país México, el Código Penal Federal no proporciona ninguna definición para delitos (ransomware, troyanos, spyware, virus, etc.). Sin embargo, este tipo de comportamiento es similar a la piratería y las sanciones son aplicables en este caso:

“… establece que quien, sin autorización, modifique, destruya o cause la pérdida de información contenida en sistemas o equipos informáticos protegidos por un mecanismo de seguridad, recibirá una pena de prisión de seis meses a dos años, por la autoridad competente, así como una multa. La multa podría duplicarse en caso de que la información se utilice para beneficio propio o para un tercero…”

¿Es conveniente hacer un análisis forense del ataque de ransomware?

Es muy parecido a la pregunta del por qué si pagar un rescate o no hacerlo. Es decir, dependerá de los objetivos e intereses de la organización, y sus recursos disponibles. 

De manera sencilla, lo que se obtiene de un análisis forense es un informe de los resultados de las pruebas que se hicieron para hacer una “ingeniería inversa” del ataque y tratar de hacer visible su ruta de ataque, incluso descubrir el posible atacante. El objetivo es reunir las pruebas para hacer un procedimiento jurídico encontrar del o los criminales. Sin embargo este procedimiento técnico suele ser muy costoso, iniciando con cifras de miles de dólares, y que necesita mucho tiempo para su análisis, y no tiene como objetivo solucionar la restauración de la información.

Por tal motivo, aconsejamos este procedimiento cuando necesitamos reunir evidencias para empezar un procedimiento legal sobre el posible atacante ya detectado con anterioridad. En muchas ocasiones, el atacante suele ser un ex-colaborador enojando o incluso la competencia de la organización.

Si este no es su caso, no mal-gaste sus recursos, mejor inviértelos en mecanismos de prevención y remediación.

¿Cómo protegerse contra el ransomware?

Para protegerse ante el ransomware es necesario adoptar una serie de buenas prácticas con dos propósitos: por una parte, evitar caer víctimas de engaños conociendo los métodos y técnicas que usan comúnmente los cibercriminales, y por otra parte, configurar y mantener los sistemas evitando que sean técnicamente vulnerables.

Para lograr el primer objetivo se necesita una cultura de seguridad de la información tanto en la organización como en el hogar mismo. Y para ello es importante tener una estrategia de Concientización y Formación.  

Es esencial que formemos y concienticemos a todos los integrantes de una organización y/o familia, enseñándoles a reconocer situaciones de riesgo de brechas de seguridad y cómo actuar en consecuencia.

Todos deberán de conocer las políticas de la organización en materia de ciberseguridad, por ejemplo las relativas al uso permitido de aplicaciones y dispositivos, el uso de redes públicas, la seguridad en el puesto de trabajo y en movilidad, y la política de contraseñas.

Más de la mitad de las infecciones con ransomware tienen lugar por medio de ataques de phishing. Es decir, engañan a los usuarios dando acceso a las redes y equipos, instalando el malware, o bien los engañan para conseguir las contraseñas que les permitan los accesos e instalar el malware.

Ahora bien, para lograr el segundo objetivo, y evitar ser infectado, además de ser imprescindible las medidas de concientización, se deben tomar una serie de medidas técnicas y de procedimiento, encaminadas a una estrategia de Prevención.

De manera general y sin profundizar en ellas, las acciones preventivas más significativas serían:

  • Todo el software y sistemas operativos siempre actualizado
  • Política de copias de seguridad periódicas
  • Controlar los accesos
  • Restringir el uso de aplicaciones o equipos no permitidos (Políticas de Bring Your Own Device),
  • Desarrollar y mantener “vivo” el Plan de Desastres y Continuidad de Negocios DR/BC.
  • Software antimalware de licencia, de acuerdo a nuestras necesidades
  • Plan de vigilancia y auditorías 

Lo anterior no garantizará que no seas víctima de un ataque tipo ransomware, pero si te ayudará a mitigar su impacto y consecuencias en las operaciones de tu organización o en un entorno familiar. 

Si su organización está pasando por algún problema como este, o requiere ayuda para desarrollar un plan preventivo, no dude en contactarnos, tenemos planes de gestión de riesgos y ciberseguridad flexibles y adaptables para todo tipo de organizaciones desde micro-empresa hasta grandes corporativos. 

Sextorsión + Deepfake – Una mezcla peligrosa que generó una amenza de “destrucción masiva” de vidas de jóvenes y adultos en el cibermundo.

Por Genaro Delgado – Cofundador de </cyberwag>

¿Qué es la sextorsión?

Es una forma de explotación sexual en la cual se chantajea a una persona por medio de una imagen de sí misma desnuda que ha compartido a través de Internet mediante prácticas como el sexting que consiste en el envío de contenidos de tipo sexual, principalmente fotografías y/o videos, producidos generalmente por el propio remitente, a otras personas por medio de dispositivos electrónicos (smartphones, computadora, tableta, etc.)

Es decir, la sextorsión no necesariamente tiene que ver con un chantaje puramente económico, sino que es una práctica o amenaza que puede tomar cualquier rumbo u objetivo malicioso, y eso es lo peligroso, ya que sus víctimas pueden ser hombres y mujeres, menores de edad y personas adultas.

Tipos de sextorsión

La sextorsión puede ser:

  • Hacia menores de edad o hacia adultos.
  • Por medio de imágenes obtenidas mediante webcams, email, mensajería instantánea, teléfonos u otros dispositivos móviles: es decir, por todos los medios que sirven para realizar sexting.
  • Por medio de imágenes obtenidas en el contexto de una relación sentimental.
  • Con objeto de un abuso sexual, una explotación pornográfica, para uso privado, para redes pedófilas o comercial, una extorsión económica, por una  venganza o desacreditación moral o cualquier otro tipo de coacción.
  • Realizada por conocidos, desconocidos, típicamente por ex-parejas

¿Cómo se genera las condiciones para una sextorsión?

De acuerdo a Jorge Flores, fundador de Pantallas Amigas, y experto en este tema, se necesita dos condiciones:

Condición 1: La creación de imágenes comprometedoras.

Donde el protagonista consciente, participa y genera estas secuencias. En este caso hay tres prácticas habituales:

  • Sexting: son comunes las imágenes generadas por el propio protagonista para un flirteo o en el seno de una relación para ser enviadas al pretendiente o la pareja usando el teléfono móvil.
  • Exhibiciones voluntarias subidas de tono usando a través de la webcam que son grabadas por el receptor.
  • Grabación de prácticas sexuales, en el contexto de una relación de pareja o en un marco grupal privado.

Cuando terceras personas de manera furtiva capturan esas imágenes, sin conocimiento o consentimiento de quien las protagoniza. Se pueden citar algunos ejemplos como:

  • Grabación en lugares de acceso público por ejemplo un encuentro sexual en la playa, en una fiesta o en un bar donde se celebran concursos atrevidos al límite.
  • Toma de imágenes en un marco privado por parte de la pareja.

Condición 2: La posesión de las imágenes por el delincuente. El extorsionador puede tener acceso a las imágenes por vías muy diversas:

  • Directamente de la víctima, quien las produce y entrega de manera consciente.
  • Indirectamente por otras personas o en sitios de Internet, sin que la víctima reconozca esta actividad.
  • Realizando una grabación directa, no siendo la víctima consciente.
  • Mediante el robo de las mismas a la propia víctima o a otra persona (por ejemplo los casos de filtración de videos e imágenes sexuales de famosos)

Algunos casos de sextorsión

Estas síntesis de casos han sido expuestos en diferentes blogs y espacio de noticias. 

Se detuvo a un joven de 22 años de edad que presuntamente contactaba con niñas menores de edad (13 a 15 años) a través de una red social y luego las amenazaba en conversaciones privadas para que se desnudaran ante la webcam. El joven utilizaba varias identidades. El detenido “agregaba” a las menores como amigas en la red social para comunicarles que otra persona disponía de fotos y videos comprometidos de ellas. Tras ello, las víctimas contactaban con dicho sujeto. Incluso las amenazaba con denunciarlas ante las autoridades diciéndoles que las supuestas fotografías y videos que tenía en su poder eran constitutivos de infracción penal como posible prostitución y también las amenazaba con agredirlas físicamente en caso de que se negaran a acceder a sus pretensiones, ya que a través de técnicas de ingeniería social, el sujeto podía conocer mucha información de los movimientos y vida habitual de sus víctimas.

La policía de Singapur alertó de que un grupo de estafadores están usando a chicas atractivas para hacerse amigos de potenciales víctimas en redes sociales. Las mujeres seducen a estos hombres para que se desnuden y tener cibersexo, los graban y luego los amenazan con publicar sus imágenes si no les pagan. También advertían de que podría usarse el engaño para instalar malware que posteriormente les permitiera seguir la estafa obteniendo datos, por ejemplo bancarios.

Puedes revisar más casos en: https://denuncia-online.org/ 

https://www.pensarantesdesextear.mx/prevencion-10-razones-no-sexting/

¿Qué es Deepfake y por qué es una amenaza?

El término deepfake nació de la unión de dos conceptos: el deep learning, como se conoce al aprendizaje profundo de sistemas de Inteligencia Artificial y la palabra fake, de falso. 

Esta palabra se acuñó en 2018 en un foro de la red social Reddit, cuando se hicieron virales videos de algunas celebridades como Natalie Portman, Daisy Ridle, Jessica Alba, Emma Watson, entre otras, supuestamente tenían relaciones sexuales. Sin embargo todo esto era falso, lo que pasó básicamente, es que algunos programadores usaron un software para poner el rostro de estas actrices de Hollywood en videos de actrices porno. Desde que ocurrió esto, se han perfeccionado las herramientas para que la generación de estos videos falsos, donde se suplanta la identidad, parezcan más reales.

Los siguientes videos son algunos ejemplos de cómo se hizo viral el uso de la tecnología de IA para hacer falsificaciones de identidad, por entretenimiento y que ahora son un verdadero peligro:

Los avances en las prácticas de deepfake son aterradores, y están al alcance de todos con aplicaciones como FaceApp – te invitamos a leer nuestro post sobre esta app-, SNAPCHAT, y la aplicación FakeApp especialmente hecha para hacer secuencias extremadamente reales suplantando la identidad de otra imagen. Aunque FakeApp requiere un considerable número de imágenes (más de 500) para lograr un grado aceptable de realismo, fotos y videos pueden conseguirse en abundancia a través de redes sociales. 

De tal manera que todos podemos estar expuestos a ser blanco de una manipulación de nuestra identidad montada en un video de pornografía no solo de adultos, sino de pornografía infantil, siendo esto, para la mayoría de las personas, una “destrucción” psicológica, moral y social. Llevando la sextorsión a un nivel tan peligroso y destructivo, donde lamentablemente ya encontramos muchos casos documentados de suicidios (tanto de menores como de jóvenes y adultos) por no saber cómo lidiar con esta amenaza.

Y no solo en este contexto, la práctica deepfake nos puede dañar, sino con el simple hecho de que pueden suplantar nuestra identidad para “hacernos” hacer o decir algo que nosotros no consentimos, es aterrador. Por ejemplo: la supuesta llamada a la guerra de un líder de algún ejército o país, podría ser devastadora.

Además de la propagación de noticias falsas, los mensajes de odio y la transmisión en vivo de escenas violentas, las redes sociales se enfrentan a un nuevo reto: evitar que este tipo de contenidos en el que se superpone el rostro de una persona en videos sexuales se comparta en sus plataformas. 

La idea de un futuro donde “tú” podrías existir en la computadora portátil de alguien, o donde se podrían crear imágenes “tuyas” para ser distribuidas maliciosamente es profundamente inquietante. Pero puede que ese futuro ya esté aquí

Gemma Askham- Reportera de la BBC

Si usted, algún familiar o amistad está pasando por una situación de sextorsión, es importante que se acerque cuanto antes con un especialista legal que le indique los lineamientos a seguir para juntar las evidencias claras y correctas que ayuden a detener la práctica con la denuncia oportuna a las autoridades competentes.

También le invitamos a revisar nuestro artículo y podcast: Un Internet “Saludable y feliz” para la familia en tiempos de COVID-19 donde platicamos sobre cuidar a nuestros hijos de las amenazas más comunes en el cibermundo. Así mismo nuestro artículo y podcast Ciberacoso y sus consecuencias legales. ¿Cómo enfrentarlo y denunciarlo? en el cual platicamos desde el punto de vista legal el tema del ciberacoso.