Wiper: la nueva modalidad de Malware que ‘limpia’ o causa una pérdida permanente de datos

El malware Wiper es una clase de software malicioso relativamente nuevo pero altamente destructivo, que se observó por primera vez en Oriente Medio en 2012. Durante el conflicto entre Rusia y Ucrania en 2022, Wiper surgió como un arma cibernética popular elegida por los actores de amenazas.

A primera vista, este malware de limpieza comparte algunas similitudes con los ataques de ransomware, de la misma manera o más graves. Ambos tipos de malware implican hacer que los archivos y los datos sean inaccesibles para la víctima. Algunas variantes de malware de limpieza también pueden disfrazarse deliberadamente como ransomware al exigir tarifas de “rescate” de sus víctimas. Sin embargo, a diferencia del ransomware, que encripta los datos de su víctima, negando temporalmente el acceso hasta que se paga el rescate, el malware de limpieza generalmente tiene como objetivo la destrucción o causar una pérdida permanente

Por lo tanto, el uso de Wiper generalmente no tiene una motivación financiera: los expertos creen que los actores de amenazas utilizan principalmente este malware de limpieza para cubrir sus huellas después de filtrar información de una red, o para causar una interrupción total.

¿COMO FUNCIONA?

El malware Wiper se encuentra entre una de las clases de software malicioso más destructivas que pueden emplear los piratas informáticos. Dichos ataques a los sistemas de tecnología de la información (TI) de una organización podrían interrumpir ampliamente las operaciones comerciales dependientes de TI y provocar pérdidas de datos e información valiosos. Los ataques a los sistemas de tecnología operativa (OT), como los que sustentan los sistemas de transporte o las redes de energía, podrían causar un daño aún mayor al interrumpir los sistemas y equipos industriales, lo que tendría efectos devastadores y pondría vidas en peligro.

Existen dos técnicas empleados por los autores del malware de limpieza:

  1. Sobrescribir componentes del sistema, como el Registro de arranque maestro (MBR) o la Tabla de archivos maestros (MFT). Esto paraliza la operatividad de la computadora de la víctima y evita que se acceda a la información, aunque el contenido del archivo permanece intacto y aún puede recuperarse.
  2. Sobrescribir o cifrar archivos, junto con cualquier copia de seguridad que se encuentre en la computadora, para eliminar de forma permanente los datos y la información de la víctima. 

Los actores de amenazas de hoy en día suelen incorporar una combinación entre los dos enfoques para lograr el mayor daño en el menor tiempo posible.

Algunos tipos de malware de limpieza están diseñados con la capacidad de propagarse de forma autónoma (o ‘gusano’) a través de una red comprometida mediante la propagación de copias de sí mismo de una computadora a otra sin interacción humana. Estas variantes son particularmente peligrosas, ya que son extremadamente difíciles de contener una vez que se sueltan y pueden tener efectos de gran alcance en todo el mundo.

Un ejemplo del potencial destructivo del malware de limpieza que se propaga a sí mismo se puede ver en NotPetya. En 2017, los investigadores comenzaron a notar que este malware de limpieza autopropagante se infiltraba en las redes de las organizaciones cranianas. NotPetya se había disfrazado de ransomware exigiendo tarifas de “rescate” a los usuarios, pero en realidad carecía de un mecanismo de recuperación de rescate. Con su capacidad para infiltrarse en diferentes sistemas a través de una vulnerabilidad en el sistema de Windows, NotPetya se extendió rápidamente más allá de sus objetivos originales y finalmente paralizó a algunas de las corporaciones más grandes del mundo, incluidos los gigantes del transporte internacional Maersk y FedEx, la compañía farmacéutica Merck y la empresa constructora Saint Gobain. Según estimaciones de la Casa Blanca, los daños totales deNotPetya en 2017 alcanzó los 10.000 millones de dólares, lo que lo convierte en el ataque cibernético más dañino desde el punto de vista financiero hasta la fecha .

Figura 2. Una captura de pantalla de la “nota de rescate” de NotPetya, que establece que los usuarios pueden recuperar sus datos después de realizar un pago de rescate. En realidad, esto no era cierto, ya que NotPetya era un malware de limpieza que carecía de un mecanismo de descifrado. (Fuente: CrowdStrike)

La creciente prevalencia de nuevas variantes de malware Wiper durante el conflicto entre Rusia y Ucrania representa una amenaza cibernética potencial para las organizaciones de todo el mundo. El malware Wiper es destructivo: puede causar estragos al paralizar los sistemas y destruir datos valiosos. Crea daños permanentes en los sistemas: los archivos dañados por el malware del limpiador no se pueden recuperar. También puede afectar a los sistemas de forma indiscriminada cuando el malware posee mecanismos de autopropagación. A medida que los piratas informáticos liberan más variantes nuevas de malware de limpieza en el ecosistema, existe el riesgo de que una de las variantes se propague fuera de control, dejando tras de sí un rastro global de destrucción devastadora (como en el caso de NotPetya).

Se alienta a las organizaciones a tomar las medidas de precaución necesarias para defenderse contra los ataques de malware de limpieza en medio de su uso intensivo. Estas medidas son similares a las de defensa contra el ransomware. Por ejemplo, las organizaciones pueden considerar:

  • Hacer cumplir las mejores prácticas, como la creación de copias de seguridad regulares fuera de línea y fuera del sitio; y
  • Imponer el monitoreo de la red y revisar los registros del sistema para garantizar la detección rápida de anomalías y evitar daños generalizados en caso de que ocurra una infracción.

Qrishing: El uso de códigos QR ha ampliado la superficie de ciberataques

En enero de este año, el FBI generó una alerta (I-011822-PSA) relacionada con la utilización de códigos QR por parte de los ciberdelincuentes, dirigiendo los escaneos de estos códigos a sitios maliciosos para robar datos de las víctimas, incorporando malware para obtener acceso al dispositivo de la víctima y redirigiendo el pago para uso de los ciberdelincuentes.

Un código QR se puede incrustar fácilmente en cualquier lugar donde se pueda colocar una imagen: en el cuerpo de un correo electrónico, como archivo adjunto, impreso en una etiqueta o en un sitio web. Y al igual que una URL maliciosa, están diseñados para mezclarse y no hacer que un usuario desprevenido lo piense dos veces antes de escanearlo.

Los ciberdelincuentes manipulan los códigos QR digitales y físicos para reemplazar los códigos legítimos con códigos maliciosos. Una víctima escanea lo que cree que es un código legítimo, pero el código manipulado dirige a las víctimas a un sitio malicioso, lo que les solicita que ingresen información financiera y de inicio de sesión. El acceso a esta información de la víctima le da al ciberdelincuente la posibilidad de robar fondos a través de las cuentas de las víctimas.

Qrishing: phishing de los códigos QR

El término QRishing deriva de Pishing, como se conoce a la técnica de phishing para estafas en la web. En este caso se trata de una suplantación de identidad, pero utilizando como canal los útiles códigos QR. 

Muchas aplicaciones que usan códigos QR no muestran específicamente la URL destino, especialmente cuando se usan pasarelas de pago. Al intentar abrir sitios, generalmente mostraría el hipervínculo, pero en las técnicas de qrishing, ¿los ciberdelincuentes usan acortadores de URL para ocultar el enlace final. Además, es posible que la URL que se muestra al escanear un código QR con un dispositivo móvil no se muestre completamente en el navegador móvil.

Es importante tener en cuenta que los navegadores móviles, ya sean iPhone o teléfonos Android, no emplean las mismas técnicas de navegación segura que los navegadores de escritorio, lo que hace que el riesgo sea mayor.

¿CUÁLES SON LOS RIESGOS?

Generalmente vulnerar un código QR real requiere cambiar los puntos pixelados en la matriz del código o simplemente incrustar software malicioso en códigos QR (que pueden generarse con herramientas gratuitas ampliamente disponibles en Internet). Para un usuario promedio, todos estos códigos tienen el mismo aspecto, pero un código QR malicioso puede dirigir al usuario a un sitio web falso, capturar datos personales o instalar software malicioso en un teléfono inteligente que inicia acciones como esta: 

  • Agregar una nueva lista de contactos en el teléfono del usuario y usarla para lanzar un ataque de phishing u otro ataque personalizado.
  • Iniciar una llamada telefónica para así exponer el número de teléfono a un mal actor.
  • Enviar un mensaje de texto a un destinatario malicioso o recibir un mensaje de texto malicioso de un estafador. 
  • Redactar un correo electrónico y completar el destinatario y las líneas de asunto. Los piratas informáticos podrían apuntar al correo electrónico del trabajo del usuario si el dispositivo carece de protección contra amenazas móviles.
  • Realizar un pago y capturar los datos financieros personales del usuario. 
  • Revelar la ubicación geográfica del usuario y enviar estos datos a una aplicación o sitio web. 
  • Las cuentas de redes sociales del usuario pueden ser dirigidas para seguir una cuenta maliciosa, que luego puede exponer la información personal y los contactos del usuario. 
  • Agregar una red Wi-Fi comprometida a la lista de redes preferidas del dispositivo e incluir una credencial que conecte automáticamente el dispositivo a esa red. 

MÉTODOS COMUNES DE QRISHING

QRishing utiliza cebos de ingeniería social para hacer que las víctimas potenciales escaneen el código. 

Para el mismo se han utilizado los siguientes métodos:

  1. Pegar un código QR malicioso encima de un código QR genuino: esto se observó por primera vez en bancos donde las personas estarían muy seguras de escanear el código QR y también deben estar en uso en otros lugares. La razón para creer en la autenticidad del código es la ubicación en la que se ha colocado. P.ej. Si un usuario se encuentra dentro de un banco de renombre o una oficina gubernamental, hay muchas posibilidades de que confíe en cualquier código QR en las instalaciones debido a la confianza en la marca. En tal situación, los ciberdelincuentes pegan el código QR malicioso sobre el genuino.
  2. Cambiar los detalles de la empresa sobre el código QR : para engañar a los usuarios haciéndoles creer que estarían escaneando un código QR genuino, el pirata informático usaría el código QR en un cartel que menciona una marca genuina. P.ej. Una pancarta, folleto o cartel en la calle que mencione un banco de renombre pediría a los usuarios escanear el código QR en él. El código QR sería, a su vez, un intento de phishing que la víctima podría no reconocer.
  3. Uso de códigos QR como vales de descuento : a la gente le encantan los descuentos y los ciberdelincuentes lo saben muy bien. El uso de códigos QR para generar un cupón de descuento para marcas líderes en línea como Amazon se usa mucho para QRishing. Más bien, un informe sobre problemas de seguridad QR muestra que es mucho más probable que los usuarios abran códigos QR que ofrecen descuentos.

¿CÓMO PROTEGERSE?


Como organización, es importante asegurarse de que los empleados estén capacitados para cuestionar los códigos QR antes de escanearlos es clave para prevenir estos ataques. En general, cualquier código QR en un correo electrónico, por ejemplo, debe considerarse sospechoso.

Un conjunto sólido de soluciones de seguridad de varias capas resistirá muchos tipos de amenazas cibernéticas, pero, como siempre, los usuarios finales son la última línea de defensa contra los ataques. La capacitación de concientización comienza enseñando a los usuarios finales que los códigos QR se pueden usar en estafas de phishing y luego les brinda las habilidades para identificar e informar cualquier cosa sospechosa a sus equipos de seguridad y TI. Esos equipos pueden ser fundamentales en la mitigación y recuperación tempranas, antes de que un problema se generalice.

En este mismo sentido, existen recomendaciones generales tales como:

  1. Cuidado con los códigos QR en superficies físicas: el peor tipo de ataques QRishing se realiza pegando un código QR malicioso en uno genuino. Una mirada cuidadosa podría ayudar a descubrirlo.
  2. No abra URL acortadas: se recomienda verificar una URL acortada expandiéndola usando algunas herramientas. Pero eso no siempre es posible cuando se usa un navegador móvil. Más bien, las URL que muestran los códigos QR en un navegador móvil generalmente no están completas. Es mejor evitar abrirlos.
  3. Tenga cuidado antes de ingresar sus credenciales: siempre debe ingresar las credenciales en un sitio seguro, cuya dirección web comience con ‘https://’. Nunca lo hagas con enlaces aleatorios a los que te dirijan a través de códigos QR.
  4. Instale aplicaciones de seguridad en su dispositivo móvil : los navegadores móviles aún no han aplicado listas negras y otras medidas de seguridad como los navegadores de escritorio. Ciertas aplicaciones de seguridad permiten mejorar la seguridad cuando queremos acceder o descargar la información de un código QR: en estas apps, tras escanear el QR se abre una pestaña que permite observar el link completo antes de acceder en el URL.
  5. Evite los códigos QR : a pesar de que los códigos QR son una de las opciones más cómodas, es mejor evitar su uso hasta que se haya investigado lo suficiente para que sean seguros para el uso público.
HIVE RANSOMWARE

Hive, observado por primera vez en junio de 2021, es una variante de ransomware basada en afiliados que utilizan los ciberdelincuentes para realizar ataques de ransomware contra instalaciones de atención médica, organizaciones sin fines de lucro, minoristas, proveedores de energía y otros sectores en todo el mundo. Hive está diseñado para su distribución en un modelo de ransomware como servicio que permite a los afiliados utilizarlo como lo deseen.

FRAUDE A SOPORTE TÉCNICO

Las estafas de soporte técnico son actividades fraudulentas en las que los estafadores intentan ganarse la confianza de las personas fingiendo ofrecer servicios de soporte técnico. A través de llamadas telefónicas, ventanas emergentes, mensajes de texto o correos electrónicos, un estafador de soporte técnico intenta engañar a las víctimas para que paguen por servicios falsos o proporcionen acceso remoto a su computador.

El fraude de soporte técnico es un tipo de estafa en la que los cibercriminales usan tácticas de miedo para engañar a sus víctimas y obtener servicios de soporte técnico innecesarios para supuestamente solucionar problemas de dispositivos o software que no existen. En el caso más sencillo, el estafador convence a su víctima para que le pague con el fin de “arreglar” un problema inexistente con su dispositivo o software. En el peor de los casos, los estafadores engañan a las víctimas para que instalen programas de acceso remoto que les permiten controlar la computadora de la víctima de forma remota a través de Internet. Después de obtener el control a través del acceso remoto, puede causar problemas informáticos falsos, instalar malware o robar información personal y financiera.

Al igual que los ataques de phishing, las estafas de soporte técnico y las estafas de acceso remoto utilizan la ingeniería social para parecer verídicas

Las personas mayores tienen más probabilidades de ser víctimas de estafas de soporte técnico, estafas de acceso remoto y otros tipos de estafas en línea. La mayoría de víctimas (alrededor del 60%) tienen más de  60 años de edad, según indicó el IC3. Algunos estafadores llaman por teléfono a las víctimas y fingen ser de empresas reconocidas por la víctima.

Los estafadores investigan a las víctimas, a menudo en las redes sociales, antes de lanzar un ataque. Las ventanas emergentes falsas pueden asustarlo haciéndole creer que su computadora tiene un virus, se pueden enviar correos electrónicos falsos a su bandeja de entrada y los números de soporte técnico falsos a menudo parecen legítimos.  Estos suelen inventar números de soporte técnico o un correos electrónicos falsos, la mayoría de las veces utilizando una técnica conocida como suplantación de identidad para hacer que aparezca un número de soporte técnico real en el identificador de llamadas o la bandeja de entrada de la víctima. 

Cualquiera que sea la forma que tome una estafa, el objetivo del estafador es hacer que las víctimas crean que sus dispositivos y/o cuentas necesitan asistencia y luego convencerlas de que instalen software, brinden información o le den acceso. A partir de ahí, el cibercriminal puede crear ¿’mensajes de error, problemas de conexión u otros problemas técnicos y ofrecer resolver los problemas a cambio de una tarifa. O bien, pueden secuestrar toda la información confidencial de su dispositivo.

Los cibercriminales pueden ofrecer soluciones falsas para sus “problemas” y solicitar el pago en forma de una tarifa única o suscripción a un supuesto servicio de soporte. Las llamadas telefónicas, los correos electrónicos o las ventanas emergentes inesperadas de empresas, son grandes señales de alerta que indican una posible estafa de soporte técnico. 

Si una persona que llama dice ser soporte técnico, pero no recuerda haberla contactado, si una ventana emergente o un correo electrónico le pide que llame a un número de soporte técnico, probablemente sea una estafa.

Los estafadores de soporte técnico usan muchas tácticas diferentes para engañar a las personas. Detectar estas tácticas lo ayudará a evitar caer en la estafa:

Los estafadores telefónicos investigan objetivos vulnerables y los llaman utilizando servicios de llamadas automatizadas. Las víctimas típicas incluyen personas mayores menos expertas en tecnología o niños que se involucran en comportamientos riesgosos en línea. 

El cibercriminal se hace pasar por un experto y afirma detectar y luego solucionar los “problemas” de los dispositivos de la víctima. Pueden pretender informar a su jefe o cambiar a un departamento diferente para parecer auténticos. Después de la “reparación”, exigen el pago a través de tarjetas de regalo, transferencias de dinero o criptomonedas, ya que estas formas de pago son difíciles de revertir.

Así es como funciona una estafa de soporte telefónico por vía telefónica: la víctima está en su día a día normal y recibe una llamada telefónica supuestamente del centro de soporte técnico de Apple, por ejemplo. Dicen que su computadora tiene un problema urgente que debe solucionarse de inmediato. Antes de que tenga tiempo para pensar, se dirige a un sitio web que confirma lo que dice el estafador a través de ventanas emergentes o escaneos de computadora falsos. Ahora el estafador necesita acceso remoto a su computadora para arreglarlo, y usted acepta. 

Dado que muchas personas desconfían de las llamadas telefónicas extrañas, los estafadores de soporte técnico a menudo se aprovechan de sus víctimas en línea. Las ventanas emergentes pueden enviarlo a sitios web de soporte técnico falsos, mientras que los correos electrónicos falsos pueden hacer lo mismo con enlaces o archivos adjuntos maliciosos que le envían “alertas”. Las alertas de soporte técnico falsas pueden parecer un mensaje de error de su sistema operativo o software antivirus, y puede usar logotipos de empresas o sitios web de confianza. El mensaje en la ventana advierte sobre un problema de seguridad en su computadora y le indica que llame a un número de teléfono para obtener ayuda.

También existen los anuncios y listados en línea en las páginas de resultados de búsqueda, donde los estafadores de soporte técnico intentan que sus sitios web aparezcan en los resultados de búsqueda en línea de soporte técnico o pueden publicar sus propios anuncios en línea. Los estafadores esperan que las víctimas llamen al número de teléfono para obtener ayuda.

Así es como funciona una estafa de soporte telefónico en línea: La víctima está navegando en su computador sin una herramienta que bloquee el malware o busque sitios web peligrosos. Llega a un sitio web que congela su pantalla o la inunda con ventanas emergentes de alerta (puede estar acompañada de sonidos fuertes). Entre estos hay una ventana emergente de aspecto muy oficial con el logotipo de Apple y un número de soporte técnico, pero llamar al número lo conecta con un estafador.

Mejore sus conocimientos sobre estafas en Internet con un software de seguridad confiable que puede mantenerlo a salvo y oculto de los depredadores. También puede configurar un firewall para construir una valla de seguridad entre su dispositivo y su red.

El uso de uno de los mejores bloqueadores de anuncios en su navegador mantendrá a raya las ventanas emergentes de los estafadores. Las ventanas emergentes pueden instalar malware que escanea su computadora en busca de información valiosa, como credenciales de inicio de sesión o contraseñas. Por eso es importante mantener sus cuentas seguras con contraseñas seguras y únicas , y luego administrarlas con uno de los mejores administradores de contraseñas que existen.

A veces, un estafador ni siquiera se molestará en tratar de extorsionarlo con amenazas falsas. En su lugar, instalarán ransomware que tomará su computadora como rehén hasta que pague. Obtenga una herramienta de protección contra ransomware para mantener las manos de los estafadores codiciosos fuera de sus bolsillos.

Ataque a Cadena de Suministros

Un ataque a la cadena de suministro es un tipo de ataque cibernético que se dirige a un proveedor externo que ofrece servicios o software vitales para la cadena de suministro de una empresa.  Se pueden definir como ataques contra relaciones de confianza, en los que se ataca a un proveedor no seguro dentro de una cadena para obtener acceso a sus socios comerciales más grandes. 

En ciberseguridad, una cadena de suministro incluye hardware y software, almacenamiento local o en la nube y mecanismos de distribución.

Los ataques a la cadena de suministro de software funcionan mediante la inyección de código malicioso en una aplicación para infectar a todos los usuarios de la misma, mientras que los ataques a la cadena de suministro de hardware comprometen los componentes físicos con el mismo propósito. El malware es la técnica de ataque a la que recurren los ciberatacantes en el 62% de los eventos.

En la actualidad, uno de los mayores riesgos es un ataque a la cadena de suministro de software. Las cadenas de suministro de software son particularmente vulnerables porque el software moderno no se escribe desde cero: más bien, involucra muchos componentes listos para usar, como API de terceros, código fuente abierto y código propietario de proveedores de software. Si una aplicación popular incluye una dependencia comprometida, todas las organizaciones que se descargan del proveedor también se verán comprometidas, por lo que la cantidad de víctimas puede crecer exponencialmente.

Además, el software se reutiliza, por lo que una vulnerabilidad en una aplicación puede vivir más allá del ciclo de vida del software original. El software que carece de una gran comunidad de usuarios es particularmente vulnerable, porque es más probable que una gran comunidad exponga una vulnerabilidad más rápido que un proyecto con pocos seguidores.

Los ataques a la cadena de suministro aprovechan las relaciones de confianza entre diferentes organizaciones. Todas las organizaciones tienen un nivel de confianza implícita en otras empresas, ya que instalan y utilizan el software de la empresa dentro de sus redes o trabajan con ellas como proveedor.

El objetivo del ataque es el eslabón más débil de una cadena de confianza. Si una organización tiene una seguridad cibernética sólida pero tiene un proveedor de confianza inseguro, los atacantes apuntarán a ese proveedor. Con un punto de apoyo en la red del proveedor, los atacantes podrían pasar a la red más segura utilizando esa relación de confianza.

Fuente: Enisa

Los ataques a la cadena de suministro están aumentando en un 430 %  debido a que, a medida que las empresas han mejorado en la protección de sus entornos, los atacantes maliciosos han recurrido a objetivos más fáciles y también han encontrado formas más creativas de hacer que sus esfuerzos sean difíciles de detectar y que tengan más probabilidades de alcanzar los objetivos deseables.

Estos son algunos tipos de ataques a la cadena de suministros:

  • Ataques a servidores aguas arriba: el atacante infecta un sistema que está “aguas arriba” de los usuarios, como a través de una actualización maliciosa, que luego infecta a todos los usuarios “aguas abajo” que la descargan. Esto es lo que sucedió con el ataque a la cadena de suministro de SolarWinds.
  • Ataques midstream: su objetivo son elementos intermediarios, como herramientas de desarrollo de software.
  • Ataques de confusión de dependencia: explotan las dependencias de software privadas creadas internamente al registrar una dependencia con el mismo nombre pero con un número de versión más alto en un repositorio público. Es probable que la dependencia falsa se incluya en la compilación del software en lugar de la dependencia correcta.
  • Ataques de certificado de firma de código y SSL robados: comprometen las claves privadas utilizadas para autenticar a los usuarios de sitios web seguros y servicios en la nube. Stuxnet entra en esta categoría.
  • Ataques a la infraestructura de CI/CD: introducen malware en la infraestructura de automatización del desarrollo, por ejemplo, mediante la clonación de repositorios legítimos de GitHub.
  • Ataques de software de código abierto: introducen código en las compilaciones que se propagan hacia abajo a quienes usan la compilación.

El impacto de los ataques a los proveedores puede tener consecuencias de largo alcance debido a las crecientes interdependencias y complejidades de las técnicas utilizadas. Más allá de los daños a las organizaciones afectadas y a terceros, existe un motivo de preocupación más profundo cuando se exfiltra información clasificada y la seguridad nacional está en juego o cuando pueden surgir consecuencias de naturaleza geopolítica.

Se pueden utilizar para realizar cualquier tipo de ciberataque , como por ejemplo:

  • Violación de datos: los ataques a la cadena de suministro se utilizan comúnmente para realizar violaciones de datos. Por ejemplo, el hackeo de SolarWinds expuso los datos confidenciales de múltiples organizaciones del sector público y privado.
  • Infecciones de malware: los ciberdelincuentes a menudo aprovechan las vulnerabilidades de la cadena de suministro para entregar malware a una organización objetivo. SolarWinds incluyó la entrega de una puerta trasera maliciosa, y el ataque de Kaseya resultó en un ransomware diseñado para explotarlos.

Los ataques a la cadena de suministro se están convirtiendo cada vez más en un problema crítico para el negocio que afecta las relaciones cruciales con socios y proveedores. Los ataques a la cadena de suministro son difíciles de detectar. Y el hecho de que un producto de software haya sido validado en el pasado no significa que el software sea seguro hoy.

Además de evaluar rigurosamente a los proveedores que utilizan, las organizaciones deben mitigar los riesgos de la cadena de suministro que las hacen vulnerables a los ataques. Esto requiere emplear tecnologías efectivas de prevención, detección y respuesta.

El informe revela que una organización podría ser vulnerable a un ataque a la cadena de suministro incluso cuando sus propias defensas son bastante buenas. Los atacantes exploran nuevas vías potenciales para infiltrarse en las organizaciones dirigiéndose a sus proveedores. Además, con el potencial casi ilimitado del impacto de los ataques a la cadena de suministro en numerosos clientes, este tipo de ataques se están volviendo cada vez más comunes.

Las siguientes son algunas recomendaciones sobre cómo las organizaciones pueden aumentar la seguridad de su cadena de suministro y evitar convertirse en una víctima:

  • Emplee soluciones que incluyan detección de ataques basada en el comportamiento: la naturaleza sofisticada de los ataques a la cadena de suministro requiere que las organizaciones empleen el poder del análisis basado en el comportamiento, como indicadores de ataque (IOA) . Mitigar los riesgos en los que se incurre “cuando los buenos programas fallan” requiere tecnologías como el aprendizaje automático (ML) que pueden detectar patrones en cientos, miles o incluso millones de ataques por día , una hazaña que no se puede lograr solo con el conocimiento humano.
  • Adelántese a futuros ataques a la cadena de suministro con inteligencia de amenazas: la inteligencia de amenazas le indicará cuándo surgen nuevos ataques a la cadena de suministro y le brindará toda la información que necesita para comprender el ataque y defenderse de manera proactiva.
  • Mejore su preparación con servicios proactivos: Análisis de la cadena de suministro como parte de su evaluación de madurez de ciberseguridad y también realiza ejercicios de simulación con los clientes, donde simulan un ataque a la cadena de suministro. Esto brinda a los clientes una comprensión de su exposición actual y una hoja de ruta para mejorar la protección y la preparación para un ataque a la cadena de suministro.

Las recomendaciones para los clientes incluyen:

  • identificar y documentar proveedores y prestadores de servicios;
  • definir criterios de riesgo para diferentes tipos de proveedores y servicios, como dependencias de proveedores y clientes, dependencias críticas de software, puntos únicos de falla;
  • seguimiento de los riesgos y amenazas de la cadena de suministro;
  • administrar proveedores durante todo el ciclo de vida de un producto o servicio, incluidos los procedimientos para manejar productos o componentes al final de su vida útil;
  • la clasificación de los activos y la información compartida o accesible a los proveedores, y la definición de los procedimientos pertinentes para acceder a ellos y manejarlos.

El informe también sugiere posibles acciones para garantizar que el desarrollo de productos y servicios cumpla con las prácticas de seguridad. Se aconseja a los proveedores que implementen buenas prácticas para la gestión de vulnerabilidades y parches, por ejemplo.

Las recomendaciones para los proveedores incluyen:

  • garantizar que la infraestructura utilizada para diseñar, desarrollar, fabricar y entregar productos, componentes y servicios siga prácticas de ciberseguridad;
  • implementar un proceso de desarrollo, mantenimiento y soporte de productos que sea consistente con los procesos de desarrollo de productos comúnmente aceptados;
  • monitoreo de vulnerabilidades de seguridad reportadas por fuentes internas y externas que incluye componentes de terceros usados;
  • mantener un inventario de activos que incluya información relevante para parches.
ATAQUES BEC: BUSINESS EMAIL COMPROMISE

Business Email Compromise (BEC), también conocido como compromiso de cuenta de correo electrónico (EAC),

es un tipo de ataque de phishing diseñado por los cibercriminales para hacerse pasar por altos ejecutivos y engañar a los empleados, clientes o proveedores para que transfieran el pago de bienes o servicios a cuentas bancarias alternativas. 

Las cuentas de correo electrónico corporativas o disponibles públicamente de ejecutivos o empleados de alto nivel relacionados con finanzas o involucrados con pagos de transferencias bancarias son falsificadas o comprometidas a través de métodos como phishing para realizar transferencias fraudulentas, lo que resulta en pérdidas de cientos de miles de dólares anuales para las empresas en el mundo.

Esta estafa se lleva a cabo con frecuencia cuando un atacante compromete cuentas de correo electrónico legítimas de un negocio a través de ingeniería social o técnicas de intrusión informática para realizar transferencias no autorizadas de fondos o de información sensible. Generalmente, estos delincuentes envían un mensaje de correo electrónico que parece provenir de una fuente conocida y realiza una solicitud legítima, como en estos ejemplos:

  • Un proveedor con el que su empresa trata regularmente envía una factura con una dirección postal actualizada.
  • El director ejecutivo de una empresa le pide a su asistente que compre docenas de tarjetas de regalo para enviarlas como recompensas para los empleados. Ella pide los números de serie para poder enviarlos por correo electrónico de inmediato.
  • Un comprador de vivienda recibe un mensaje de su compañía de títulos con instrucciones sobre cómo transferir su pago inicial.

Los atacantes de BEC se basan en gran medida en tácticas de ingeniería social para engañar a empleados y ejecutivos desprevenidos. A menudo, se hacen pasar por el director ejecutivo o cualquier ejecutivo autorizado para realizar transferencias electrónicas. Además, los estafadores también investigan cuidadosamente y monitorean de cerca a sus posibles víctimas objetivo y sus organizaciones.

Algunos de los mensajes de correo electrónico de muestra tienen asuntos que contienen palabras como solicitud, pago, transferencia y urgente, entre otras.

En 2021, el IC3 (Internet Crime Complaint Center) recibió 19.954 reportes de compromisos de correo electrónico comercial (BEC)/(EAC) con pérdidas ajustadas de casi $ 2.4 mil millones.

El sistema de ataque y la sofisticación de BEC/EAC ha evolucionado continuamente en el último año. Desde una simple piratería o suplantación de identidad de cuentas de correo electrónico comerciales y personales y una solicitud para enviar pagos electrónicos a cuentas bancarias fraudulentas, hasta el uso de plataformas de reuniones virtuales para piratear correos electrónicos y falsificar las credenciales de los líderes empresariales para iniciar fraude transferencias bancarias. Estas transferencias bancarias a menudo se transfieren inmediatamente a billeteras de criptomonedas, lo que dificulta los esfuerzos de recuperación.

En el mismo sentido, el trabajo híbrido que tanto creció tras la pandemia de COVID-19 ha provocado un cambio significativo en las prácticas de comunicación dentro de las organizaciones. El IC3 observó un surgimiento de nuevos formatos de los ataques BEC/EAC que explotan esta dependencia de reuniones virtuales para instruir víctimas a enviar transferencias electrónicas fraudulentas. Lo hacen comprometiendo los intereses de un empleador o director financiero, que luego usan para solicitar a los empleados que participen en eventos virtuales por medio de plataformas de encuentro. En esas reuniones, el estafador insertaría una imagen fija del director ejecutivo sin audio, o un audio “deep fake” a través del cual los estafadores, actuando como ejecutivos de negocios, luego reclamarían sus el audio/video no funcionaba correctamente. Los estafadores luego usan las plataformas de reuniones virtuales para instruir directamente a los empleados para que inicien transferencias bancarias o utilicen el correo electrónico comprometido de los ejecutivos para proporcionar Instrucciones de cableado.

Según el FBI, existen cinco tipos principales de ataques BEC, que incluyen:

FRAUDE DE CEO:

El atacante se hace pasar por el CEO o cualquier ejecutivo aprovechando las dinámicas de poder de la empresa. Envía un correo electrónico, supuestamente del CEO, instruyendo al destinatario para que tome alguna medida. Esto puede ser para enviar información confidencial a un socio o hacer una transferencia bancaria para “cerrar un trato comercial” solicitando que transfiera dinero a la cuenta que el cibercriminal controla.  

COMPROMISO DE CUENTA:

Una cuenta de correo electrónico comprometida de un ejecutivo o empleado es utilizada para solicitar pagos de facturas a los proveedores que figuran en sus contactos de correo electrónico. Luego, los pagos se envían a cuentas bancarias fraudulentas.

SUPLANTACIÓN DE IDENTIDAD DE ABOGADO:

El atacante se hacen pasar por un abogado o representante legal supuestamente a cargo de asuntos cruciales. Solicita datos o dinero aprovechándose del desconocimiento de los empleados de la organización sobre las solicitudes legales, haciendo que parezcan sensibles al tiempo y confidenciales para evitar la verificación independiente.

ROBO DE DATOS:

Los empleados de recursos humanos y contabilidad están destinados a obtener información de identificación personal (PII). Estos datos se pueden utilizar para futuros ataques. Este tipo de ataque se dirige al personal de recursos humanos y finanzas e intenta robar información confidencial sobre los empleados de una organización. Esta información puede venderse en la Dark Web o usarse para planificar y ejecutar futuros ataques.

ESQUEMA DE FACTURAS FALSAS:

Empresas con proveedores extranjeros a menudo son objeto de esta táctica, en la que los atacantes fingen ser los proveedores que solicitan transferencias de fondos para pagos de servicios realizados para la empresa a una cuenta propiedad de los estafadores. A menudo, en este tipo de ataque se hace pasar por uno de los proveedores reales de una organización y usa una plantilla realista, pero cambia la información de la cuenta bancaria a una cuenta controlada por los atacantes.

Para poder llevar a cabo este tipo de ataque, generalmente el estafador apunta a:

  • Suplantar una cuenta de correo electrónico o un sitio web. Elabora variaciones en las direcciones legítimas para engañar a las víctimas y que piensen que las cuentas falsas son auténticas. (informacion@c2usercisoslab.com vs. info@c2usercisoslab.com.co)
  • Enviar correos electrónicos de phishing. Envía mensajes que aparentan ser de un remitente confiable para engañar a las víctimas para que revelen información confidencial. Esa información les permite a los delincuentes acceder a las cuentas de la empresa y datos que les brindan los detalles que necesitan para llevar a cabo el ataque BEC.
  • Usar software malicioso. El software malicioso puede infiltrarse en las redes de la empresa y obtener acceso a hilos de correo electrónico legítimos sobre facturación y facturas. Esa información se utiliza para cronometrar las solicitudes o enviar mensajes para que los contadores o los funcionarios financieros no cuestionen las solicitudes de pago. El malware también permite que los delincuentes obtengan acceso no detectado a los datos de la víctima, incluidas las contraseñas y la información de la cuenta financiera.

  • Mecanismos antiphishing: dado que los correos electrónicos BEC son un tipo de phishing, la implementación de soluciones antiphishing es esencial para protegerse contra ellos. Una solución antiphishing debe ser capaz de identificar las banderas rojas de los correos electrónicos BEC (como las direcciones de respuesta que no coinciden con las direcciones del remitente) y usar el aprendizaje automático para analizar el lenguaje del correo electrónico en busca de indicaciones de un ataque.
  • Educación de los empleados: los ataques BEC se dirigen a los empleados de una organización, lo que hace que la capacitación en concientización sobre la seguridad del correo electrónico sea vital para la ciberseguridad. Capacitar a los empleados sobre cómo identificar y responder a un ataque BEC es esencial para minimizar la amenaza de esta forma de phishing.
  • Separación de funciones: los ataques BEC intentan engañar a los empleados para que realicen una acción de alto riesgo (como enviar dinero o información confidencial) sin verificar la solicitud. La implementación de políticas para estas acciones que requieren la verificación independiente de un segundo empleado puede ayudar a disminuir la probabilidad de un ataque exitoso.
  • Etiquetado de correos electrónicos externos: los ataques BEC comúnmente intentan hacerse pasar por direcciones de correo electrónico internas mediante la suplantación de dominio o dominios similares. La configuración de programas de correo electrónico para etiquetar los correos electrónicos que provienen de fuera de la empresa como externos puede ayudar a derrotar esta táctica.

Descargue la guía rápida sobre Ataques BEC para acompañar sus campañas de concientización:

BROWSER IN THE BROWSER (BITB): Nueva técnica de phishing que puede hacerlo indetectable

Una técnica de phishing que simula una ventana de navegador dentro de otro navegador para falsificar un dominio legítimo.

El pasado 15 de marzo de 2022 Mr.d0x compartió una nueva técnica que pretende hacer el phishing más difícil de detectar.

El Phishing, en la mayoría de los casos, utiliza como cebo ataques de ingeniería social mediante refinadas técnicas más eficaces y difíciles de detectar. Este es el caso de Browser in the Browser (Ataque de navegador en el navegador), una técnica novedosa de phishing, donde el atacante busca explotar el ataque aprovechando las opciones de inicio de sesión único (SSO) integradas en diferentes sitios web.

Las opciones de inicio de sesión único las podemos ver como “Iniciar sesión con…” “Sign in with…”, …etc. Estas opción de SSO generan pop-ups para que los usuarios de manera rápida puedan iniciar sesión a través de su cuenta en plataformas terciarias.

Una vez se hace clic en el botón “iniciar sesión”, se abre una nueva ventana del navegador donde los usuarios pueden loguearse. Esta nueva ventana del navegador aísla el proceso de inicio de sesión para que el sitio web que usa OAuth nunca vea las credenciales de inicio de sesión de los usuarios. Aislar el proceso de inicio de sesión es una medida deseable de seguridad y privacidad, se demostró que los malos cibercriminales pueden imitar esta técnica de aislamiento particular para ocultar los ataques de phishing. 

¿Cómo funciona?

A menudo, cuando un usuario inicia sesión en un sitio web aparece una ventana emergente que pide que que se autentique. La siguiente imagen muestra la ventana que aparece cuando alguien intenta iniciar sesión en Canva con su cuenta de Google. Como se puede observar, en la pantalla de Canva, se ofrece la opción de continuar con diferentes servicios, y al elegir uno se desplegará una ventana emergente, en la que se procede a autenticarse.

Un ataque Browser in the Browser se realiza mediante una réplica de una ventana emergente similar a la que sale al iniciar sesión con SSO y de esta forma a partir del pop-up de login ilegítimo, se roban las credenciales. La apariencia de estos pop-ups falsos puede ser exactamente idéntica a uno original e incluyendo la URL, lo que hace que este ataque sea más complicado de detectar. Generalmente, las réplicas de ventanas se crean de una manera muy sencilla para los atacantes usando HTML/CSS básico; estos simulan el diseño de la ventana con un iframe que apunte al servidor malicioso que aloja la página de phishing. 

La imagen de abajo muestra la ventana falsa comparada con la ventana real, bastante creíble para quien no se fije en los mínimos detalles.

sitio real y de phishing

Desde el HTML, se puede cambiar la URL de forma muy sencilla, y como se puede ver es posible poner lo que se quiera. Para buscar realismo, simplemente bastará con visitar alguna página en la que se genere el pop-up legítimo y copiar la URL para adaptarla.

Fuente: Keyur Talati Security Analyst – WeSecureApp

Esta técnica hace más complicado de detectar un caso de phishing, y por tanto hace que aumente su efectividad. Por ello, prácticas como el MFA o el 2FA ganan valor para evitar cualquier tipo de ataque para sus datos o los de su organización.

La única defensa contra este tipo de ataque de phishing moderno es la conciencia.

La evidencia durante los últimos años ha demostrado que la verdadera clave para la mitigación de incidentes de ciberseguridad, en este caso de Phishing, es la sensibilización y concientización. Tenga en cuenta algunas mitigaciones como:

  • Utilizar siempre uno de gestores de contraseñas y autenticación multifactor.
  • Instalar un antivirus robusto.
  • Supervisar frecuentemente los registros del sistema y de la red.
  • Revisar con detalle las ventanas emergentes para verificar su autenticidad.
  • Implementar las mejores prácticas de seguridad.
DOXXING

El Doxxing consiste en divulgar la información personal o privada de una persona u organización que puede resultar en un acto dañino o vergonzoso. El término ‘Doxing’ es la abreviatura de “dropping dox”, siendo ‘dox’ la jerga para documentos. Por lo general, el doxing es un acto malicioso que se usa contra personas con las que el cibercriminal no está de acuerdo o no le agradan.

Los ataques de doxxing suelen estar motivados por el acoso o venganza. Una vez que se publica la información privada de la víctima, se puede identificar a esa persona por medio de su dirección postal, su lugar de trabajo, el número de teléfono, el correo electrónico u otra información. Los ataques de doxxing pueden ir desde algo inocente hasta el swatting, robo de identidad o ciberacoso. Recientemente, el doxing se ha convertido en una herramienta en las guerras socio-políticas culturales, engañando a aquellos que tienen puntos de vista opuestos del lado opuesto. 

Los Doxers tienen como objetivo escalar su conflicto con objetivos desde en línea al mundo real, al revelar información que incluye:

Si bien la ética del doxxing puede ser dudosa, ya que la mayor parte de la información está disponible públicamente en línea, es una práctica que puede resultar muy dañina.

En la actualidad, milllones de datos de información personal se encuentran en Internet, y las personas a menudo tienen menos control sobre ella de lo que creen. Esto significa que cualquier persona con el tiempo, la motivación y el interés para hacerlo puede convertir esos datos en un arma.

Para realizar doxxing a una víctima, es necesario rastrear su información privada.

Los doxxers utilizan diversos métodos para recopilar información de la víctima. Recopilando pequeñas piezas de información en línea, el doxxer puede armar pieza por pieza un rompecabezas que le lleve hasta la persona real que hay detrás de un alias, obteniendo datos como su nombre completo, correo electrónico, número de teléfono, etc. También pueden comprar y vender información personal en la web oscura.

Algunos de los métodos utilizados para engañar a las personas incluyen:

Las situaciones de doxxing más comunes se pueden clasificar en las siguientes tres categorías:

  • Divulgar en línea la información privada de identificación personal de un individuo.
  • Revelar información previamente desconocida de una persona privada en línea.
  • Divulgar información de una persona privada en línea podría dañar su reputación y la de sus asociados personales y/o profesionales.

Los ejemplos de información que los doxers suelen buscar incluyen:

  1. Números de teléfono : se pueden usar para contactar a la víctima directamente mientras se hace pasar por otra persona y luego se hacen preguntas para obtener más información. También se pueden utilizar para obtener acceso a cuentas de usuario seguras.
  2. Números de seguridad social : se requiere un número de seguridad social para validar la identidad de una persona en una variedad de sitios web y con una amplia gama de empresas que tienen datos privados.
  3. Dirección de casa : no solo se puede usar una dirección de casa para verificar la identidad de alguien al intentar obtener acceso a una cuenta privada, sino que también puede ser utilizada por un atacante para solicitar nuevas cuentas mientras finge ser la víctima.
  4. Detalles de la tarjeta de crédito: la información de la tarjeta de crédito puede utilizarse como arma para obtener ganancias o para dañar la calificación crediticia de la víctima, así como para obtener acceso a otra información confidencial.
  5. Detalles de la cuenta bancaria : debido a que los detalles de la cuenta bancaria generalmente solo están disponibles después de que alguien ha cumplido con las medidas de seguridad, se pueden usar para “verificar” su identidad para alguien que se hace pasar por usted. También pueden aplicarse para transferir dinero de su cuenta a la de otra persona o publicarse en un ataque de doxxing para hacer que el objetivo sea más vulnerable.

En muchos casos, el doxxing no es ilegal, particularmente porque la información que se expone ya está disponible públicamente en línea. Esto significa que, en algún momento, el objetivo otorgó a una entidad el derecho legal de publicarlo. Sin embargo, la forma en que se usa la información puede hacer que el acto en general sea ilegal, especialmente si implica acechar, amenazar o acosar al objetivo.

El doxxing puede ser ilegal si se revela cierta información. Es ilegal doxxear a un empleado del gobierno en los Estados Unidos, por ejemplo. Este es un delito federal. Y si bien no es “ilegal”, el doxxing se considera poco ético porque la información se revela sin el permiso de la víctima.

Evitar ser una víctima del doxxing puede ser una práctica casi imposible porque la mayoría de las personas tienen una gran cantidad de información personal publicada en línea. Sin embargo, hay pasos que puede tomar para asegurarse de que la información más confidencial, la que podría causar el mayor daño, no sea utilizada por un doxxer.

Usar una VPN

Una red privada virtual (VPN) toma sus transmisiones de Internet, las cifra y las envía de forma segura a través de Internet. En el otro extremo, los datos se descifran para que la otra parte o entidad pueda leerlos o utilizarlos. Sin embargo, mientras los datos están en tránsito, un doxxer no puede usarlos a menos que tenga el algoritmo de descifrado.

Utilizar contraseñas seguras

Una contraseña débil, como una que es una derivación de su nombre, una serie predecible de números o una palabra, es fácil de adivinar para un doxer. Se recomienda utilizar diferentes contraseñas para cada una de las cuentas, el uso de combinaciones oscuras de letras, números y símbolos, o el uso de un administrador de contraseñas que genera y almacena contraseñas que son muy difíciles de adivinar.

Cambiar la configuración de privacidad de vez regularmente

Cambiar la configuración de privacidad de vez en cuando puede ayudar a evitar que cualquier persona que pueda ver la información de su perfil, fotos y publicaciones, limitando el acceso a la información que no desea que se vulnere.

Mantenerse alerta con los mails de phishing

Tenga cuidado al recibir peticiones o hacer clic en enlaces enviados a través de un correo electrónico. Si, después de ingresar al sitio web, se le solicita que ingrese información, es posible que se exponga al riesgo de doxxing si cumple.

Crear cuentas de correo electrónico separadas para propósitos separados

El uso de diferentes nombres de usuario y contraseñas para cada uno hace que sea más difícil para un doxxer descifrar su dirección de correo electrónico y, si lo hacen, es posible que no puedan acceder a todo lo que necesitan.

Ocultar información de registro de dominio de la búsqueda de WHOIS

Debido a que WHOIS contiene información de contacto, incluida información sobre su dirección física, es mejor ocultar su información cuando se registre en un Localizador Uniforme de Recursos (URL) o nombre de dominio. Hacer que su información sea privada es sencillo, y si no está seguro de cómo hacerlo, pregunte a su registrador de dominio.

Gestionar los permisos de aplicaciones

Cuando realiza un cuestionario en línea, puede administrarse mediante una aplicación. Para registrarse en la aplicación, es posible que se le ofrezca la opción de darle permiso para acceder a la información de sus redes sociales. Si proporciona permisos de aplicación a un doxxer, puede usar lo que encuentre para atacarlo. Además, si la aplicación no tiene la seguridad adecuada, un hacker doxxing puede penetrar en su sistema y obtener toda su información. A menudo es mejor registrarse proporcionando un nombre de usuario y contraseña únicos en lugar de dar acceso a la aplicación a una de sus cuentas de redes sociales.

Configurar alertas de Google

Puede hacer arreglos para que Google le avise en caso de que su nombre, número, dirección, dirección del trabajo o información personal adicional aparezca en línea. De esta manera, puede detener un ataque de doxxing de inmediato.

Si descubre que ha sido doxxeado, debe seguir los siguientes pasos:

  1. Reportar: Informar a las partes pertinentes, como instituciones financieras, sobre lo que ha sucedido de inmediato.
  2. Involucrar a las fuerzas del orden: si el ataque involucra amenazas o si la información se obtuvo de una manera potencialmente ilegal, debe comunicarse con la policía e informarles.
  3. Documente lo que sucedió: use capturas de pantalla, descargue páginas web y tómese el tiempo para escribir lo que sucedió. Esta información puede ayudarlo a realizar un seguimiento de la información que se compartió, así como ayudar a las autoridades y otros a abordar el ataque.
  4. Proteja las cuentas financieras: comuníquese de inmediato con su compañía de tarjeta de crédito o banco para evitar que la información financiera se use para robarle.
  5. Asegure sus cuentas: Refuerce su configuración de privacidad y cambie las contraseñas de todas sus cuentas, especialmente aquellas que contienen información que podría ser utilizada por un doxxer.
  6. Obtenga apoyo de familiares o amigos: puede comunicarse con alguien en quien confíe para obtener ayuda y apoyo emocional para que no tenga que lidiar con eso por su cuenta.
FAKE NEWS

Las fake newshoaxes o bulos son noticias falsas creadas sobre temas de interés dentro del radar actual para generar alarmas o atraer la atención del mayor número de usuarios posibles, con el fin de generar desinformación o bien reconducir hacia algún otro tipo de fraude.

Lo preocupante de esta situación es el aumento de estas noticias en la red que hay en la actualidad y que se prevé continuará creciendo, lo cual implica un gran riesgo para los usuarios y la ciberseguridad al exponerse a infecciones por malware, robo de credenciales, daños reputacionales hasta riesgos físicos y emocionales.

En la actualidad, donde las fake news se propagan con rapidez y facilidad, hay que considerar no creer instantáneamente en lo que hay en Internet ni los mensajes en redes sociales y apps de mensajería. Por esto, cada vez que navegue en la red es necesario que tenga en cuenta alarmas como:

  • La noticia parece sospechosa y es demasiado oportuna para ser cierta.
  • No se conoce la fuente de la noticia ni se puede confirmar.
  • La publicación no cuenta con un autor o remitente del cual se pueda confiar o hasta saber de él.
  • La página web o cuenta de donde proviene la información no es reconocida.
  • Tiene errores ortográficos y de redacción sin estilo periodístico.

En estos últimos días se puede considerar un aumento de las noticias falsas que circulen en la red, pues sus autores se aprovechan de temas y acontecimientos importantes para llamar la atención de los usuarios, como las fake news más comunes con información política falsa. Estas noticias falsas, son el epicentro de los procesos electorales en el mundo. Colombia no ha sido la excepción, y en los procesos que se han hecho han salido varias a flote.

El Cuerpo Internacional de Observación Electoral CIOE, registrado ante el Consejo Nacional Electoral CNE por la ONG Innopolítica, advierte que noticias falsas en plataformas de información y comunicación sobre los sistemas democráticos de la nación producen incertidumbre e inseguridad en los ciudadanos de cara a los resultados de los procesos electorales.

¿Ha visto alguna de estas noticias?:

Durante las pasadas elecciones de segunda vuelta presidencial, circuló información en redes sociales sobre dos jornadas de votación para la segunda vuelta presidencial, completamente falsa.

Este es el caso de un video publicado por Gustavo Petro en el que se ve la interfaz del ente regulador y se muestran cifras en las que Rodolfo Hernández ya aparece como ganador de la contienda política.

“Ante la publicación de videos e imágenes donde aparecen cifras previas a la votación de la segunda vuelta de la elección presidencial, la Registraduría Nacional del Estado Civil informa que la entidad no hace simulacros ni proyecciones estadísticas sobre resultados”, afirmó el órgano en su Twitter.

Dentro de las fake news, podemos encontrar diez categorías denominadas colectivamente noticias falsas. Algunas de las cuales son en realidad falsas (desinformación), otras se deben a errores humanos o sesgos (desinformación). Vale recordar que todas tienen una conexión mínima con la verdad y básicamente terminarán por engañar a los usuarios.

OLEADAS DE DESINFORMACIÓN

La falta de información real provoca desinformación.

MALWARE Y ROBO DE CREDENCIALES

Ciberdelincuentes pueden solicitar datos, instalaciones o complementos maliciosos que infecten sus dispositivos y roben sus credenciales.

RIESGOS FÍSICOS Y EMOCIONALES

La propagación de noticias falsas sobre enfermedades y sus tratamientos sin algún sustento médico puede acabar afectando la salud de los usuarios.

DAÑOS REPUTACIONALES

La viralización de información falsa puede afectar la reputación de una persona, empresa o lugar.

Al respecto, CIOE hizo un llamado a que se tenga una especie de CAI virtual de la Policía y de los entes de control, supervisión y vigilancia –incluida la Fiscalía General Nacional– para que en el menor tiempo posible se realice una campaña que permita actuar en tiempo modo y lugar en contra de este fenómeno

De otro lado, la ONG insistió en la necesidad de sensibilizar y educar al ciudadano sobre los riesgos de compartir o generar noticias falsas que afecten el sistema democrático de la nación. 

Más allá de las normativas e iniciativas de los gobiernos y/o empresas, prevenirse de noticias falsas empieza con un trabajo individual para no acabar siendo víctima de algunos de estos fraudes o engaños.

Las noticias tienen una serie de características que permiten identificar su falsedad o por el contrario, si son reales, estas características se pueden identificar para no caer en la trampa ni difundir fake news:

Además, existen varias webs que se dedican a desmentir las noticias falsas y que puede utilizar para contrastar la información: Maldito Bulo, Snopes y Newtral.

En el caso de Colombia no existe una ley específica en relación a las noticias falsas, tampoco a nivel mundial. Se conocen autorregulaciones realizadas por empresas como Google y Facebook, pero hasta ahí va el tema en normatividad.

En Colombia, bajo el Artículo 20 de la Constitución Política de 1991, se señala que se debe garantizar a todas las personas la libertad de expresar y difundir sus pensamientos, opiniones, informar y recibir información veraz e imparcial, y que es el derecho a fundar medios de comunicación, dado que supone un ejercicio libre, responsable y ético. En el país, ha habido casos relacionados sentencias de las Cortes en temas de difamación, pero no frente a temas de noticias falsas o de desinformación.  

Sin embargo cabe recalcar que, actualmente en la Cámara de Representantes cursa un proyecto de trámite de comisión sobre alfabetización mediática y digital que busca promover, desde la educación básica y media, acciones que mitiguen los impactos de la desinformación bajo cinco grandes criterios: la información de contexto, la credibilidad de la fuente, la construcción del contenido, la corroboración y la comparación de la información.

Noticias falsas en tiempos de crisis: Desinformación

En el 2022 el público occidental consumirá más noticias falsas que verdaderas y no habrá suficiente capacidad ni material ni tecnología para eliminarlas.

Gartner Inc.

Mucho se habla de la actual crisis en Europa del Este y de las ofensivas militares que se ven en las noticias durante los últimos días, sin embargo, estas podrían no ser la única amenaza, en realidad los ataques cibernéticos y la desinformación en línea están pasando a primer plano, pues se estima que desde la pandemia hasta el día de hoy donde el tema principal es la crisis Rusia-Ucrania, las fake news han aumentado en más de un 50%.

CONOZCA MÁS EN:

Pero, ¿Por qué se distribuyen las noticias falsas y cuál es su impacto a nivel mundial?

En la actualidad, miles de publicaciones relacionadas al conflicto Rusia-Ucrania han acumulado millones de visitas en las redes sociales, muchas de estas reales y verificadas, pero otras calificadas como fake news o noticias falsas. Estas noticias falsas se pueden clasificar como noticias erróneas y desinformación: las noticias erróneas son información falsa compartida por alguien que erróneamente cree que es un hecho; la desinformación, sin embargo, se difunde deliberadamente y siempre con un objetivo.

Por ejemplo, en días anteriores se publicó y viralizó un video que sugería que el presidente ucraniano Volodymyr Zelensky se había unido a las tropas para tomar un café, sin embargo, a pesar de que es un video real, es una grabación antigua, antes del conflicto actual.

La guerra contra la desinformación está en pleno apogeo. Varias empresas a nivel mundial se han puesto en la tarea de identificar y bloquear aquellos usuarios que tengan como propósito desinformar a otras personas que naveguen en internet. Tal como Google y Facebook, estas organizaciones han restringido sitios web que se hacían pasar por medios de noticias independientes y creaban personas falsas en las plataformas de redes sociales, incluidas Facebook, Instagram, Twitter, YouTube, Telegram, Russian Odnoklassniki y VK.

Muchas de estas noticias erróneas y falsas tienen como gancho videos o fotos antiguas que se muestran como actuales y atrapan a los usuarios por su parecido superficial con cualquier situación relevante. Un ejemplo claro es la siguiente imagen de una explosión de gas en Magnitogorsk (2018) que se relacionaron en la red con la destrucción de un edificio residencial en Járkiv (Ucrania) el pasado jueves.

A wounded woman stands outside a hospital after the bombing of the eastern Ukraine town of Chuguiv on February 24, 2022
Los encabezados tenían como descripción a una mujer que supuestamente resultó herida por bombardeos en Ucrania, generando afirmaciones falsas en internet.
Las afirmaciones de que las imágenes de esta mujer herida en Chugúyivson pertenecen a una explosión de gas en Rusia en 2018 son incorrectas.
En realidad, los fotógrafos de la imagen confirmaron que fue tomada el 24 de febrero de 2022 y no durante los últimos días en Ucrania, un hecho confirmado por los metadatos de las imágenes que muestran la misma fecha de creación (BBC, Reality Check).

¿A qué se debe el incremento de noticias falsas?

El crecimiento exponencial de la difusión de FAKE NEWS se debe, entre otros motivos, a su incorporación dentro de los discursos políticos en los últimos años, convirtiéndose en un fenómeno global que ya tiene una gran repercusión sobre procesos democráticos y sobre acontecimientos relevantes. Una noticia falsa está determinada por su objetivo: a través de ellas se puede ganar dinero o influir en el pensamiento de los demás usuarios en la red.

Los medios de comunicación han incrementado enormemente el potencial para que la información llegue a todos los usuarios, lo que ha permitido una proliferación de ‘fake news’, sin embargo, hay que tener en cuenta que no están limitadas a los medios informativos porque están presentes prioritariamente en los redes sociales, como Facebook o WhatsApp, el segundo siendo el canal de viralización más alto.

Según un estudio del Instituto Tecnológico de Massachusetts (MIT) las noticias falsas tienen hasta un 70% más de posibilidades de ser compartidas que las verdaderas, ya que este tipo de información utiliza las interacciones en las redes sociales y los algoritmos para alcanzar sectores ideológicos concretos.

Se presume que hay grupos y organizaciones detrás de esta red de fake news, que realizan pagos para que terceros creen y difundan información falsa utilizando las interacciones y algoritmos en redes sociales para diseminar contenidos a sectores concretos. Esta técnica, se complementa con el uso de ‘bots’, un ‘software’ automatizado que replica los mensajes haciéndose pasar por personas.

Oficina de Transferencia de Resultados de Investigación

¿Qué se está haciendo al respecto?

Un caso específico directamente relacionado con Colombia, tiene que ver con la compañía Meta, que reúne a las redes sociales Facebook, Instagram y WhatsApp. Meta anunció que durante el periodo electoral en Colombia de 2022, activará un equipo de respuesta rápida dedicado a identificar posibles violaciones a sus políticas, entre ellas, difusión de información falsa.

Así como Meta, empresas a nivel global se han encargado de desarrollar estrategias y campañas que les permitan mitigar los impactos de la difusión masiva de noticias falsas.

La estrategia de Meta abarca el reducir las noticias falsas eliminando las cuentas que las divulgan e interrumpiendo cualquier incentivo económico que estas puedan recibir. Si una página o un dominio crea o comparte reiteradamente información errónea, reducen de manera significativa su distribución.

  1. Desconfíe de los títulos. Las noticias falsas suelen tener títulos llamativos con todas las palabras en mayúsculas y signos de admiración. Si un título contiene afirmaciones sorprendentes y poco creíbles, es probable que se trate de información falsa.
  2. Observe con atención el enlace. Un enlace falso o que imita uno original puede ser una señal de advertencia que indica que se trata de una noticia falsa. Muchos sitios de noticias falsas realizan pequeños cambios en el enlace de fuentes de noticias auténticas para imitarlas. Puede visitar el sitio web para comparar el enlace con fuentes establecidas.
  3. Investigue las fuentes. La noticia debe estar escrita por una fuente en la que confíe y que tenga una reputación de ofrecer información verdadera. Si la noticia proviene de una organización desconocida, verifica la sección “Información” para obtener más detalles.
  4. Verifique si hay problemas con el formato. Muchos sitios de noticias falsas contienen errores ortográficos o diseños extraños.
  5. Preste atención a las fotos. Las noticias falsas suelen contener imágenes o videos manipulados. También puede ocurrir que la foto sea auténtica, pero esté fuera de contexto. Puede buscar la imagen para verificar de dónde proviene.
  6. Verifique las fechas. El orden cronológico de las noticias falsas puede resultar ilógico, o incluso pueden estar alteradas las fechas de los eventos.
  7. Compruebe la evidencia. Comprueba las fuentes del autor para confirmar que sean precisas. Si no se aportan pruebas o se confía en expertos cuya identidad no se menciona, es posible que la noticia sea falsa.
  8. Consulte otros informes periodísticos. Si ningún otro medio está reportando la noticia, es posible que sea falsa. Si aparece en varias fuentes de confianza, es más probable que sea verdadera.
  9. ¿La noticia es un engaño o una broma? En ocasiones, suele ser difícil distinguir una noticia falsa de una publicación humorística o satírica. Compruebe si la fuente de donde proviene suele realizar parodias y si los detalles y el tono de la noticia sugieren que puede tratarse de una broma.
  10. Algunas noticias son falsas de forma intencional. Reflexiona acerca de las noticias que lees y comparte solo las que sabes que son creíbles.