Noticias de seguridad

Retrospectiva 2019 - El avance de la ciberseguridad

Lisandro Carmona de Souza, 17 diciembre 2019

En este cuarto episodio de la serie Retrospectiva de 2019: los profesionales de seguridad cibernética se esfuerzan por estar siempre un paso por delante de los cibercriminales

Nuestra serie Retrospectiva 2019  ahora ingresa a los avances de ciberseguridad de este año. 

El avance de la ciberseguridad

1. Profundos espías dentro de LinkedIn

Spy utiliza nombres y fotos falsificados por falsificaciones profundas para convertirse en un contacto con sus víctimas a  través de LinkedIn.

800

Evidencia de que la foto es un montaje. Fuente: Associated Press 

Katie Jones  nunca existió y LinkedIn ya ha eliminado el perfil. Ten cuidado y no tengas prisa por conseguir un trabajo o hacer conexiones que puedan beneficiarte: no agregues contactos que no conoces.

2. Hackear teléfonos inteligentes

Los lectores digitales brindan seguridad y conveniencia a miles de millones de usuarios. La demanda de pantallas más grandes y la eliminación de botones físicos ha llevado a varios fabricantes a "ocultar" al lector debajo de las pantallas sensibles. La tecnología ha evolucionado para detectar la presencia de un objeto tridimensional y no solo una huella digital.

Sin embargo, los hackers lograron eludir la seguridad del sensor con una huella digital usando una impresora 3D para desbloquear teléfonos inteligentes. La  tecnología óptica del OnePlus 7 Pro también falló la prueba falsa de pegamento digital (video).

El Samsung Galaxy S10 ha sido engañado por fotos y videos de parientes cercanos, ya que solo usa la cámara y no los sensores para identificar al propietario.

3. Golpes de Sextorsión

La publicidad maliciosa con ransomware en sitios pornográficos le valió a Zain Qaiser $ 3.5 millones. Había estado activo desde la adolescencia y pudo ocultar sus crímenes en los anuncios de sitios web para adultos.

Las víctimas que hicieron clic en estos malvertisings descargarían malware, y si no tuvieran un antivirus robusto y actualizado, se harían cargo de la computadora, secuestrarían los datos y el perfil en línea de las víctimas, que tuvieron que pagar para descongelarlos y recuperarlos. .

_106285346_f511ba39-e200-4f35-b982-5a4b148440b4Zain Qaiser extorsionó a los visitantes de los sitios de pornografía. Foto: BBC .

Gastó (casi) todo en hoteles de lujo, casinos, prostitutas, drogas y artículos de lujo. Fue sentenciado a 6.5 años de prisión. La defensa afirma que sufre de problemas mentales y actuó bajo el mando de los cibercriminales rusos.

Otra golpe por correo electrónico, afirmaba que los XVideos, sitio para adultos, habían sido hackeados, que se habían registrado a usuarios por la cámara web y el vídeo había sido enviado a los delincuentes. Para hacerlo más cierto, informaron que una de sus contraseñas se filtró en Internet. Tendría que pagar para que el video no se envíe a sus contactos personales y profesionales.

Se estima que  en el primer semestre de este año se enviaron más de 289 millones de correos electrónicos con estafas de sextorsión . Incluyen el nombre de usuario o contraseña de la víctima en el asunto del mensaje e informan que tienen un video de la cámara web mientras la víctima estaba viendo porno en línea. 

4. Androides y iPhones pueden ser espías de 30 países

Falla crítica en tarjetas SIM de operadores - la Simjacker - le permite extraer los datos del teléfono (código IMEI, datos de la batería, de red, idioma y ubicación geográfica), el clon número, interceptar y finalizar llamadas, robar fichas de depósito bancario enviado por SMS como la autenticación por 2 factores y otras estafas en servicios pagados (premium).

Los usuarios no pueden hacer nada, y los sistemas operativos impiden que las aplicaciones antivirus los protejan.

attack-simjacker-can-affect-1-smartphones-ball-www.maistecnologia.comApple, ZTE, Motorola, Samsung, Google, Huawei e incluso dispositivos IoT (con tarjetas SIM) se encuentran entre las víctimas. Foto: MoreTechnology

5. Falla de seguridad en Android: ¿quién tiene la culpa?

Mucha gente piensa que no es necesario o no vale la pena actualizar el sistema operativo móvil. Otros, que saben que esto es importante, se encuentran con el abandono de los fabricantes que no actualizan sus dispositivos, esperando que los usuarios compren nuevos modelos. Google requiere dos años de actualizaciones de seguridad y cuatro actualizaciones por año.

Una imagen infectada (archivo .png) en las redes sociales, correos electrónicos o mensajes de WhatsApp podría dividirse en miles de millones de teléfonos inteligentes sin actualizaciones de seguridad. Ni siquiera fue necesario hacer clic en la imagen y se robaron los datos personales y de la tarjeta de crédito. Desafortunadamente, no podemos ayudar porque la solución está en manos de el operador y los fabricantes que necesitan actualizar sus sistemas. Sugerimos que no cargues, aceptes y abras imágenes en formato .png.

También se ha descubierto un agujero de seguridad que afecta a mil millones de androides. Al usar el visualizador de video nativo, un ciberdelincuente puede obtener el control total del dispositivo. La falla no afecta a otras aplicaciones (como Messenger, YouTube o WhatsApp). Te sugerimos que instale una aplicación de video y desactives la aplicación nativa en la Configuración de la aplicación de Android.

Las  fallas críticas en los teléfonos Samsung, LG, Huawei y Sony permiten que se infiltre un SMS que hace que aparezca un mensaje de actualización de la red telefónica en la pantalla. En la práctica, la falla puede redirigir el correo electrónico y todo el tráfico de Internet a un servidor malicioso.

6. Ransomware por sus contactos

Android / Filecoder.C ransomware ataca dispositivos Android , bloquea archivos y requiere un pago de $ 400 a $ 800 a través de monedas digitales. Se instala automáticamente a través de publicaciones infectadas con contenido para adultos en Reddit, envía mensajes contaminados a todos sus contactos, cifra y bloquea el acceso a sus archivos. 

7. Nueva vulnerabilidad para el "candado del navegador" 

Los navegadores muestran un "bloqueo" en la barra de herramientas cuando se utiliza el protocolo HTTPS, pero los ciberdelincuentes han encontrado una forma de utilizar certificados falsos que lo inducen a error al decir "la conexión es segura". Al ingresar a un sitio usando las credenciales de Facebook, su nombre de usuario y contraseña son robados:

Otro ejemplo de este tipo de estafa implicaba robar el número, el código de seguridad (CVV) y la contraseña de su tarjeta de crédito, así como su número de seguro social.

8. La contraseña ji32k7au4a83 suena difícil pero no es

Puede pensar que la cadena "ji32k7au4a83" sería una buena contraseña, pero es bastante insegura y se ha filtrado varias veces en Internet . Significa "mi contraseña".

08104752710340Teclado utilizado para la transliteración en mandarín y muy común en Taiwán (Foto: Gizmodo / Apple)

La  contraseña de Internet más filtrada  sigue siendo "123456": evita por completo usar tu propio número de teléfono, fechas de nacimiento, equipo de fútbol, ​​cantantes y superhéroes. Ver consejos de expertos para crear contraseñas seguras.

Avast es un líder mundial en seguridad cibernética, que protege a cientos de millones de usuarios en todo el mundo. Obtenga más información sobre los productos que protegen su vida digital en nuestro sitio y obtenga las últimas noticias sobre cómo vencer las amenazas cibernéticas a través de nuestro Blog , Facebook o Twitter