Qué hacer si recibes un aviso de filtración de datos
Recibir la notificación de que has sufrido una brecha de datos y que tu información personal ha sido expuesta no significa que todo esté perdido: esto es lo que debes considerar hacer en las horas y días posteriores.
Las brechas o violaciones de datos ocurren cuando un tercero no autorizado accede a la información privada de una organización. A menudo, implican el robo de datos personales de clientes y/o empleados. Existen regulaciones estrictas como el GDPR en Europa o la LGPD en Brasil que fueron diseñadas para obligar a las organizaciones a mejorar la seguridad y el manejo de estos datos. Además de imponer posibles multas multimillonarias, estas leyes exigen también reportar cualquier incumplimiento de la normativa luego del descubrimiento de la filtración.
El resultado de estas leyes ha sido mejorar la transparencia con los clientes y el público acerca de los incidentes que involucran brechas de datos. Sin embargo, a pesar de los esfuerzos de los reguladores, los registros revelan que el número de brechas continúa en aumento. En los Estados Unidos, el número de brechas solo en los primeros tres trimestres de 2021 superó la cantidad de todo 2020. En el Reino Unido, casi dos tercios de las medianas y grandes empresas admitieron haber sufrido una filtración durante el año pasado. En toda la Unión Europea se registraron más de 280.000 incidentes de seguridad que involucraron brechas de datos personales entre mayo de 2018 y enero de 2021.
No obstante, recibir una notificación de que tus datos pueden haber sido afectados en una brecha no significa que estés condenado. Lo que hagas en las horas y días posteriores a la notificación puede tener un gran impacto en las posibilidades de que una brecha de datos derive en el robo de identidad o no.
Aquí hay algunos aspectos clave que deberías considerar hacer después de recibir una notificación sobre una violación de datos:
Mantener la calma y leer la notificación atentamente
Una reacción impulsiva podría terminar empeorando las cosas innecesariamente. Por lo tanto, no cierres inmediatamente tus cuentas en línea ni canceles todas sus tarjetas. En su lugar, respira profundamente y concéntrate en entender qué sucedió. Lee los detalles del incidente hasta que tengan sentido y comprendas qué fue robado y qué implica esto. También vale la pena guardar el correo con la notificación en caso de que necesites demostrar en un futuro que la filtración no fue responsabilidad tuya.
Asegúrate de que la notificación sea realmente legítima
Una campaña de phishing perfectamente puede buscar captar la atención de los usuarios alegando que sus datos han sido involucrados en una filtración para convencerlos a que hagan clic en un enlace malicioso o que divulguen más información personal. Estos correos electrónicos y mensajes falsos son cada vez más difíciles de diferenciar de los reales. Por eso, lo primero que se debe hacer ante un mensaje de este tipo es contactarse directamente con la organización o servicio que sufrió la brecha, ya sea utilizando su sitio web oficial o sus cuentas de redes sociales. Los agentes oficiales podrán explicarle si se ha visto afectado y qué debería suceder a continuación. Si se trata de una estafa, repórtelo y/o elimine el mensaje.
Tener la guardia alta ante posibles fraudes
Los mercados clandestinos de cibercrimen en la dark web son una máquina bien aceitada. Es probable que los actores maliciosos responsables de la brecha lo primero que intenten hacer con sus datos personales sea venderlos en foros clandestinos dentro de la dark web. Los estafadores compran este tipo de información para luego dirigirse a quienes sufrieron la filtración de datos con correos y mensajes de phishing bien diseñados que buscan, por ejemplo, obtener credenciales de inicios de sesión, detalles de tarjetas, y otro tipo de información que pueden monetizar.
Por esa razón, debes estar atento a cualquier correo o mensaje de apariencia legítima que llegue luego de una violación de datos. Puede camuflarse incluso para parecer que fue enviado por la propia empresa que sufrió el incidente de seguridad u otra fuente. Los signos reveladores de los correos de phishing son: errores gramaticales y ortográficos, direcciones de correo electrónico de un remitente distinto al de la empresa y la creación de un sentido de urgencia. Todo esto con el objetivo de engañarlo para que actúe sin pensar primero.
Cambiar la(s) contraseña(s)
Incluso si tus inicios de sesión no se han visto comprometidos en la brecha, actualizar tus contraseñas puede ser una buena idea para ganar tranquilidad. Y también cambiar las contraseñas de cualquier otra cuenta en la que utilices la misma clave para el inicio de sesión. Esto se debe a que los criminales tienen acceso a software que les permite de manera automatizada —para más información leer sobre ataques de fuerza bruta y password spraying— probar un gran número de credenciales de inicios de sesión robados en múltiples sitios en la web hasta tener suerte.
Teniendo en cuenta esto recomendamos también activar la autenticación en dos pasos en todas tus cuentas en línea y utilizar un administrador de contraseñas para almacenar y recordar contraseñas únicas y seguras para cada sitio.
Revisar las cuentas bancarias y otras cuentas en línea
Si la notificación advierte que los datos de inicios de sesión han sido robados, y utilizas los mismos para otras cuentas, cámbialos de inmediato. También vale la pena revisar las cuentas bancarias por cualquier actividad sospechosa. A veces, si los estafadores tienen acceso a suficiente información personal y pueden engañar al personal que trabaja en bancos, operadores móviles y otras organizaciones para que restablezca los detalles o proporcione nuevas contraseñas.
Cancelar o congelar las tarjetas
Si has sido notificado de una brecha grave que involucra tu información financiera, es evidente que debes informar a tu banco de inmediato, cancelar o congelar sus tarjetas y cambiar cualquier contraseña. Si ciertos detalles como el seguro social o los números de identidad han sido robados en una brecha, los estafadores pueden usarlos para tratar de sacar líneas de crédito a tu nombre, antes de acumular una gran deuda y luego desaparecer. Esto podría afectar tu calificación crediticia durante meses y tomar muchas horas para resolverse. Una buena manera de evitar este riesgo es pedir a las empresas de calificación crediticia que congelen la seguridad de tus archivos de crédito. Eso significa que ningún prestador puede ver tus informes y, por lo tanto, no puede abrir ninguna cuenta nueva a tu nombre.
Buscar proactivamente los detalles robados
Si la información proporcionada por la organización que sufrió la brecha es demasiado vaga, es posible que desees investigar un poco por tu cuenta, ya sea para ver si tu información personal ha sido expuesta. Sitios como Have I Been Pwned ofrecen este tipo de servicios de forma gratuita. Asegúrate también de leer este artículo para aprender a verificar si tu contraseña ha sido robada en una filtración conocida.
Buscar compensación
Si la violación te ha causado angustia emocional o financiera, tal vez busques algún tipo de compensación. Contáctate con la organización responsable y describe la situación. También puede valer la pena contactarse con el regulador de privacidad nacional para ver qué derechos tienes y/o un experto legal.
Las brechas se están volviendo tan comunes hoy en día que existe el riesgo de que las naturalicemos. Eso solo jugará aún más a favor de los estafadores y ciberdelincuentes. Al mantenerse alerta y comprender la exposición al riesgo, es muy probable que puedas administrar el impacto de un incidente sin que te afecte demasiado.
Detectan malware en falsos instaladores de Windows 11
Investigadores detectaron una campaña que busca propagar RedLine Stealer, un popular malware que roba credenciales almacenadas en el navegador y que se distribuye como un falso instalador de actualización de Windows 11.
El pasado 14 de diciembre Microsoft dejó de dar soporte para Windows 10 versión 2004, conocida como Windows 20H1. Para poder seguir teniendo soporte y recibiendo actualizaciones, los usuarios deberían haber actualizado a la versión 21H1 o a Windows 11. En este contexto, ya en octubre de 2021 Microsoft estaba ampliando la cantidad de equipos que podían soportar Windows 11 para que fomentar su adopción y que los usuarios puedan pasarse a la última versión del sistema operativo. Como era de esperarse, este escenario captó el interés de algunos cibercriminales que comenzaron a lanzar campañas para distribuir malware aprovechando la situación.
Esta semana, investigadores de HP publicaron detalles de una campaña de ingeniería social que busca engañar a los usuarios con un falso instalador de Windows 11. Utilizando un dominio falso registrado como windows-upgraded[.]com (que ya fue dado de baja) que tenía un diseño similar al sitio oficial de Microsoft para Windows 11, los actores maliciosos ofrecían a las potenciales víctimas la descarga de un falso instalador bajo el nombre de archivo “Windows11InstallationAssistant.zip” que a su vez estaba alojado en Discord.
Una vez descargado y descomprimido el archivo ZIP, la víctima desprevenida se encontrará con un ejecutable bajo el nombre Windows11InstallationAssistant.exe. Al ejecutar el archivo se desencadena un proceso PowerShell que deriva en la ejecución de cmd.exe y luego el proceso descarga un archivo llamado win11.jpg desde un servidor remoto, que a su vez contiene una DLL con el payload de RedLine Stealer.
Este malware es uno de los más utilizados para el robo de credenciales que luego se comercializan en la dark web. Además de poder robar credenciales almacenadas en el navegador web, RedLine Stealer tiene la capacidad de obtener información almacenada por la función autocompletar, como datos de la tarjeta de crédito, así como información sobre apps de correo, VPN, billeteras de criptomonedas, etc. Una vez que el malware recolecta esta información, el programa malicioso se conecta a través de TCP a un servidor de comando y control (C&C) para enviar la información o recibir nuevas instrucciones de los operadores.
Vale la pena recordar que este mismo malware fue utilizado en una campaña que se distribuía a través de enlaces en la descripción de videos en YouTube y que fue reportada en octubre del año pasado.
Por último, recordamos a los lectores siempre descargar software de sitios oficiales y verificar dos veces que la descarga se está realizando desde el sitio legítimo y no de uno con una apariencia similar.
Las detecciones de malware bancario para Android aumentaron 428% el último año
Si bien 2020 fue el año de los ataques a la cadena de suministro (y también el comienzo de la crisis mundial por la COVID-19), el 2021 estuvo definido por vulnerabilidades sorprendentemente graves.
El año comenzó con fuerza, cuando los servidores de Microsoft Exchange de todo el mundo se vieron atacados por al menos diez grupos APT. ProxyLogon, la cadena de vulnerabilidades que dio lugar a estos ataques terminó siendo el segundo vector de ataque externo más frecuente en 2021 según la telemetría de ESET, justo después de los ataques que buscan descifrar contraseñas. Como leerá en el informe de amenazas correspondiente al tercer cuatrimestre de 2021 (ESET T3 2021), los servidores de Microsoft Exchange terminaron bajo asedio nuevamente en agosto de 2021, con el “hermano menor” de ProxyLogon, llamado ProxyShell, que fue explotado en todo el mundo por varios grupos de amenazas.
Cuando apareció una falla crítica en la popular utilidad Log4j a mediados de diciembre, los equipos de TI de todas partes se apresuraron para localizar en sus sistemas la falla y corregirla. Esta vulnerabilidad, que obtuvo un puntaje de 10 en la escala CVSS, puso a innumerables servidores en riesgo de un posible control total, por lo que no sorprendió que los ciberdelincuentes comenzaran a explotarla instantáneamente. A pesar de que la explotación de la vulnerabilidad comenzó durante las últimas tres semanas del año, los ataques de Log4j se convirtieron rápidamente en el quinto vector de intrusión externa más común en nuestras estadísticas de 2021, lo que refleja cuán rápido los actores de amenazas se están aprovechando de las vulnerabilidades críticas emergentes.
El final del año también fue turbulento en lo que refiere a los ataques al RDP, que aumentaron a lo largo de todo 2020 y 2021. Las cifras durante las últimas semanas del tercer cuatrimestre de 2021 rompieron todos los récords anteriores, alcanzando un asombroso crecimiento anual del 897% en el total de intentos de ataques bloqueados. Y esto a pesar de que 2021 ya no estuvo marcado por el caos provocado por las cuarentenas y las transiciones apresuradas al trabajo remoto. Probablemente, la única buena noticia en lo que respecta a los ataques al RDP, es que, tal como se indica en la sección Exploits de este reporte, la cantidad de objetivos se ha ido reduciendo gradualmente, aunque no parece que el alboroto vaya a terminar pronto.
El ransomware, que fue descrito en el reporte del último trimestre de 2020 como “más agresivo que nunca”, superó las peores expectativas en 2021, con ataques dirigidos a infraestructuras críticas, demandas por el pago de los rescates por sumas escandalosas y transacciones en bitcoins vinculadas a posibles pagos de ransomware durante la primera mitad de 2021 por una cifra que superó los 5.000 millones de USD.
Sin embargo, la presión también ha ido en aumento desde el otro lado, representada por una intensa actividad de las fuerzas de seguridad contra el ransomware y contra otros esfuerzos realizados por los cibercriminales. Si bien la intensa represión obligó a varias bandas a huir de la escena, incluso liberando las claves de descifrado, parece que algunos atacantes solo se están volviendo más audaces: durante el último cuatrimestre del 2021 observamos lo que hasta el momento es el monto más elevado solicitado por el pago de un rescate: US$240 millones, cifra que equivale a más del triple del récord que habíamos mencionado en la edición anterior de este informe.
Y para agregar otro máximo histórico: cuando la cotización del bitcoin alcanzó su punto más alto hasta ahora en noviembre de 2021, los expertos de ESET observaron una afluencia de amenazas dirigidas a criptomonedas, impulsadas aún más por la reciente popularidad de los NFT (tokens no fungibles).
En el mundo de los dispositivos móviles, notamos un aumento alarmante en las detecciones de malware bancario para Android, que aumentaron un 428 % en 2021 en comparación con 2020, alcanzando los niveles de detección de adware, una molestia común en la plataforma. No hace falta decir que es imposible comparar el potencial de daño de estas dos amenazas, y solo podemos esperar que, en el caso del malware bancario, la tendencia a la baja que observamos durante el último cuatrimestre de 2021 se extienda a 2022.
Las detecciones de amenazas a través del correo electrónico, la puerta a una miríada de otros ataques, alcanzaron cifras anuales de más del doble. Esta tendencia se explica principalmente por un importante aumento en los correos electrónicos de phishing, que incluso compensaron la rápida disminución en las detecciones de macros maliciosas para archivos adjuntos de correo electrónico correspondientes a Emotet. De hecho, Emotet, que estuvo inactivo durante la mayor parte del año, resurgió en el último cuatrimestre de 2021, con sus operadores tratando de reconstruir su infraestructura con el apoyo de Trickbot. En 2022, los analistas de malware de ESET esperan que la red de bots se expanda rápidamente, empujando al malware nuevamente a los primeros lugares, un proceso que estaremos monitoreando de cerca.
Los últimos meses de 2021 también estuvieron plagados de hallazgos producto de las investigaciones. Por ejemplo, el descubrimiento por parte del equipo de ESET Research de FontOnLake, una nueva familia de malware dirigida a Linux; un bootkit UEFI previamente no documentado llamado ESPecter; FamousSparrow, un grupo de ciberespionaje que apunta al sector hotelero, gobiernos y empresas privadas de todo el mundo; y muchos otros. El tercer cuatrimestre también vio a nuestros investigadores publicar un análisis completo de los 17 frameworks maliciosos que se sabe fueron utilizados para atacar redes aisladas, y concluyeron su extensa serie sobre troyanos bancarios de América Latina.
El informe de amenazas de ESET para el tercer cuatrimestre de 2021 también incluye información inédita sobre las operaciones de grupos de APT. Esta vez, los investigadores ofrecen actualizaciones sobre la actividad del grupo de ciberespionaje OilRig; la información más reciente sobre la explotación activa de ProxyShell; y nuevas campañas de spearphishing del infame grupo de ciberespionaje The Dukes.
Y, como siempre, los investigadores de ESET aprovecharon múltiples oportunidades para compartir su experiencia en varias conferencias virtuales durante este período, diciendo presente en Virus Bulletin 2021, CyberWarCon 2021, SecTor 2021, AVAR 2021 Virtual y otros. Para los próximos meses, nos complace invitarlo a la charla de ESET en SeQCure en abril de 2022 y a la Conferencia RSA en junio de 2022, donde presentaremos el reciente descubrimiento de ESPecter.
Fuente