“Ya sea que se trate de phishing, spam o malspam, siempre es necesario que como usuarios seamos cuidadosos con dónde hacemos clic, ya que se nos podría estar dirigiendo a sitios que busquen robar nuestra información personal o incluso descargar algún tipo de contenido malicioso a nuestra máquina”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

El phishing es una técnica que utiliza el cibercrimen para engañar a sus víctimas y que entreguen información confidencial, ya sean contraseñas, datos bancarios y personales. La metodología más común de phishing es hacerse pasar por organismos, bancos o empresas reconocidas y de confianza por correo electrónico o mensaje, para así tentar a la víctima a completar un formulario falso en el mensaje o adjunto a él y visitar una página web solicitando la entrada de los detalles de la cuenta o las credenciales de inicio de sesión.

Ejemplo de phishing que suplanta la identidad de VISA

En cuanto al spam, podemos decir que es el correo no deseado, o basura, en las bandejas de entrada de las casillas de correo. Enviado de forma masiva por un remitente desconocido, busca hacer publicidad de un producto o servicio. En varios países ya regulan el uso de este tipo de comunicaciones e imponen multas a las empresas que incumplan. Si bien es común que el spam se envíe en formato de texto o con contenido HTML, también lo hay vía mensajes instantáneos, SMS, redes sociales, llamadas telefónicas o correo de voz.

Por otro lado, se denomina malspam a las técnicas de envío masivo que utilizan los actores maliciosos para intentar infectar dispositivos a través de archivos o enlaces maliciosos adjuntos. Su nombre, en concreto, se debe a que se unen los conceptos de malware y spam; este tipo de correos suelen combinarse con técnicas de phishing ya que su objetivo es ganar la confianza de la víctima haciéndose pasar por una entidad conocida e inducirlo a entregar sus datos personales.

Diferencias esenciales y acciones para mantener los datos protegidos

Hay diferencias esenciales entre phishing y spam (y malspam) que hay que remarcar para saber en qué caso se trata de cada uno:

• Mientras que el spam busca anunciar un producto o servicio, el phishing sólo busca obtener información personal y financiera de sus víctimas. El malspam, en cambio, intenta infectar un dispositivo, y así tomar el control del equipo.
• El phishing suplanta la identidad de una empresa reconocida tratando de engañar a las personas, mientras que el spam puede venir de una empresa que realmente existe.
• En el caso del spam, por lo general redirige a sitios donde se puede adquirir el producto o servicio anunciado. En cambio, con las campañas de phishing, busca robar información personal. El malspam, a su vez, contiene archivos maliciosos (PDF, Word, Excel, Zip) o incluye links a sitios falsos o maliciosos.
• Los sitios a los cuales redirigen las campañas de spam se encuentran por lo general en servicios gratuitos de alojamiento, mientras que los sitios de phishing se suelen alojar en sitios web legítimos que son vulnerables o en aquellos falsos creados por los propios cibercriminales.
• Las campañas de spam suelen extenderse a foros, buscadores y diversos servicios gratuitos en Internet. En cambio, el phishing suele estar más enfocado en usuarios de un determinado país o región.

Desde ESET se comparten y recomiendan distintas acciones para mantener los datos protegidos. En principio no compartir indiscriminadamente la dirección de correo en sitios webs, y crear una dirección de correo electrónico desechable para recibir newsletters o suscripciones.

Además, en el caso de recibir un mail de un remitente conocido sin previo aviso y con un enlace sospechoso o un archivo descargable, se aconseja consultar a esa persona de manera directa antes de abrirlo. Por otro lado, si el mensaje proviene de una entidad bancaria o una marca reconocida, verificar en los canales oficiales de esa entidad que se trata de algo legítimo. Una regla de oro es que los organismos oficiales nunca piden datos personales, ni envían formularios online, ni archivos para descargar.

Por último desde ESET, advierten desconfiar de toda aquella oferta o promoción que sea demasiado buena para ser verdad e implementar una solución de seguridad, cuyo software antispam evite y/o bloquee la apertura o recepción de correos electrónicos no deseados o no solicitados. Por ejemplo, en el caso de ESET Home Security, la solución bloquea sitios web y correos electrónicos sospechosos y su función antiphishing bloquea las páginas que intentan adquirir datos personales para evitar el robo de identidad y el uso indebido de la información, mientras que brinda protección proactiva contra todo tipo de malware, incluidos virus, troyanos, gusanos y spyware.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros datos preventivos está igualmente disponible: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Los agentes patrocinados por estados-nación y los ciberdelincuentes se encuentran entre las mayores amenazas actuales para escuelas, institutos y universidades. En el período de abril a septiembre de 2024, el sector educativo estuvo entre las tres industrias más atacadas por grupos APT alineados con China, Corea del Norte y por actores alineados con Irán y Rusia, explican desde ESET.

En el Reino Unido, el 71% de los centros de enseñanza secundaria y casi todas las universidades (97%) sufrieron un ataque o fallo de seguridad grave el año pasado, frente a solo la mitad (50%) de las empresas, según datos del gobierno. En Estados Unidos, las cifras más recientes disponibles del K12 Security Information Exchange (SIX) revelan que, entre 2016 y 2022, la nación experimentó más de un ciberincidente por día escolar.

En cuanto a las tácticas, técnicas y procedimientos utilizados para atacar instituciones del sector educativo, voceros de ESET aclaran que depende del objetivo final y del actor o autor de la amenaza.

En este sentido, ESET analiza los puntos que hacen atractivos a los establecimientos educativos para los ciberatacantes  

–          Presupuesto y conocimientos limitados: El sector educativo suele estar bajo una mayor presión presupuestaria que las empresas privadas y suele estar más limitado para la contratación de talentos en ciberseguridad y a la adopción de herramientas de seguridad. Esto puede crear peligrosas lagunas de cobertura y capacidad.

–          Uso de dispositivos personales sin seguridad adecuada: Según Microsoft, BYOD (Bring Your On Device) es muy común entre quienes estudian en instituciones estadounidenses. El uso las redes escolares con los dispositivos personales puede proporcionar una vía de acceso a datos y sistemas sensibles si no se acompaña con una política de seguridad adecuada.

–          Bajo nivel de concientización de usuarios: El factor humano sigue siendo uno de los mayores retos para el personal de seguridad. El personal y quienes estudian en entornos educativos, son un objetivo buscado para el phishing, por lo que implementar programas de concientización es fundamental. Pero, por dar un ejemplo, solo el 5% de las universidades del Reino Unido, realiza este tipo de actividades destinadas a estudiantes.

–          Cultura de intercambio de información y colaboración externa: La cultura de intercambio de información y de apertura a la colaboración externa suele acrecentar los riesgos. Se hace necesario un control estricto, especialmente en las comunicaciones por correo electrónico, y esto puede volverse difícil cuando hay tantas terceras partes conectadas, desde antiguos alumnos y donantes hasta organizaciones benéficas y proveedores.

–          Una amplia superficie de ataque: La superficie de ciberataques se amplió con la llegada del aprendizaje virtual y el trabajo a distancia. Desde los servidores en la nube hasta los dispositivos móviles personales, hasta las redes domésticas y el gran número de empleados y estudiantes, hay muchos objetivos a los que pueden apuntar las amenazas.

–          Grandes cantidades de información personal identificable: Las escuelas y universidades almacenan, gestionan y procesan grandes volúmenes de información personal identificable (IPI) sobre el personal y estudiantes, incluidos datos sanitarios y financieros. Esto las convierte en un objetivo atractivo para los estafadores y los autores de ransomware con motivaciones económicas. Además, muchas instituciones llevan adelante investigaciones sensibles que también las convierte en objetivo de los estados-nación.

En el Reino Unido, las universidades consideran el ransomware como la principal ciberamenaza para el sector, seguido de la ingeniería social/phishing y las vulnerabilidades sin parchear. Y en Estados Unidos, un informe del Departamento de Seguridad Nacional afirma que: «Los distritos escolares K-12 han sido un objetivo casi constante del ransomware debido a las limitaciones presupuestarias de IT de los sistemas escolares y a la falta de recursos dedicados, así como al éxito de los cibercriminales a la hora de extraer el pago de algunas escuelas a las que se exige que funcionen en determinadas fechas y horas».

“El tamaño cada vez mayor de la superficie de ataque, incluidos los dispositivos personales, la tecnología heredada, el gran número de usuarios y las redes abiertas, facilita enormemente el trabajo del actor de la amenaza. Si bien puede haber un conjunto único de razones por las que los actores de amenazas atacan a escuelas, colegios y universidades, en términos generales, las técnicas que utilizan para ello son de probada eficacia. Esto significa que para la protección, se aplican las normas de seguridad habituales”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

En términos de cuidados, protección y seguridad, ESET sugiere a las instituciones educativas centrarse en las personas, los procesos y la tecnología para mitigar el riesgo cibernético

• Aplicar contraseñas seguras y únicas y la autenticación multifactor (AMF) para proteger las cuentas
• Practicar la ciberhigiene con parches inmediatos, copias de seguridad frecuentes y cifrado de datos
• Desarrollar y poner a prueba un sólido plan de respuesta a incidentes para minimizar el impacto de una brecha
• Educar al personal, estudiantes y equipo de administración sobre las mejores prácticas de seguridad, con foco en la detección de los correos electrónicos de phishing
• Elaborar y compartir una política detallada de uso aceptable con los estudiantes, incluida la seguridad que espera que preinstalen en sus dispositivos
• Asociarse con un proveedor de ciberseguridad de confianza que proteja los terminales, los datos y la propiedad intelectual de la organización
• Considerar el uso de detección y respuesta gestionadas (MDR) para supervisar la actividad sospechosa 24 horas al día, 7 días a la semana, y ayudar a detectar y contener las amenazas antes de que puedan afectar a la organización

“Los educadores de todo el mundo ya tienen muchos problemas con los que lidiar, desde la escasez de personal cualificado hasta los problemas de financiación. Pero ignorar la ciberamenaza no hará que desaparezca. Si se dejan escalar, las brechas pueden causar enormes daños financieros y de reputación que, para las universidades en particular, podrían ser desastrosos. En última instancia, las brechas de seguridad merman la capacidad de las instituciones para ofrecer la mejor educación posible. Es algo que debería preocuparnos a todos”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Seguridad informática de ESET Latinoamérica.

ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Para obtener más información preventiva en materia de ciberseguridad, puede visitar el sitio web de ESET: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos