“I’m bored in a house… and I’m in a house bored” por el COVID-19

La pandemia del COVID-19 llegó a cambiarnos la vida radicalmente. La economía ha sufrido un golpe debido a las órdenes de ‘quedarse en casa’ de los diferentes gobiernos. Muchísimas personas han perdido su empleo o han visto sus ingresos disminuir considerablemente. De igual forma, otras tareas que antes no se visualizaba que podían ser realizadas remotamente, se ha podido comprobar que las mismas pueden ser acomodadas a una faena de trabajo remota. Los jóvenes y niños están en sus hogares sin poder salir ni a la esquina. Esto limita las actividades que pueden realizarse para entretenerse y hace que muchos nos sintamos como dice la canción “I’m bored in a house… and I’m in a house bored”.

Muchos han recurrido a las diferentes redes sociales, la cocina, las manualidades, los proyectos de remodelación en el hogar y maneras de entretenimiento caseras que no siempre tienen el final esperado. No solo el ciudadano común y honrado es el único que se encuentra en esta situación. Como leí el otro día en un post: “No todos estamos en el mismo barco. Todos estamos en el mismo mar, pero unos tienen botes, otros yates, otros yolas, otros balsas y otros nadan desesperadamente”. Y si consideramos las intenciones de las personas para entretenerse bajo ese mismo pensamiento… algunos tendrán buenas intenciones y otros no.

Durante los pasados años se han pronunciado muchos anuncios de diferentes organizaciones dando a conocer que sus sistemas de información sufrieron una falla de seguridad y que información personal de sus usuarios ha sido expuesta. Uno de los casos más conocidos fue el de Equifax y uno de los más recientes fue el de Zoom. Cada vez que se anuncia una falla de seguridad, se especifica el tipo de información del usuario fue expuesta para que los usuarios puedan tomar las acciones necesarias para asegurarse de que su identidad y el acceso a otras cuentas (ya sea de redes sociales, instituciones bancarias, correos electrónicos, o cualquier otro servicio) pueda ser protegido antes de que alguien mal intencionado pueda utilizar esta información personal para intentar hacerse pasar por ellos.

En el 2019, el FBI reportó haber recibido aproximadamente 1,300 querellas, por día, relacionadas a diferentes esquemas de crímenes cibernéticos. Entre los más frecuentes esquemas están el suplantar la identidad o phishing scam, estafas de no-paga/no-entrega y la extorsión. Sin miedo a equivocarme, me atrevo a decir que este año 2020, sobrepasará las cifras y será con un crecimiento muchísimo mayor al que se vió entre los años 2018 y el 2019.

Una de las razones para esta predicción, es precisamente la pandemia del COVID-19 y el cambio en la manera de realizar nuestras funciones en las empresas y en el diario vivir. Si lo vemos desde la perspectiva de nuestro diario vivir, muchos estamos creando cuentas en sitios de internet de reciente creación para envío de comidas al hogar y nuestra presencia digital ha aumentado considerablemente si la comparamos con el año pasado. Lo cual automáticamente incrementa el riesgo al que estará expuesta nuestra información personal publicada y guardada en los sistemas de información de estos servicios que accedemos.

En el pasado mes, casi todo el planeta ha estado en cuarentena y en sus hogares y esto ha puesto las mentes de los criminales a trabajar. Ahora tienen más tiempo y se ha notado un incremento en los intentos de los criminales por hacer dinero engañando a los demás. Hemos visto muchas publicaciones en las redes sociales, de personas que han sido víctimas a través de correos electrónicos intentando extorsionarlos utilizando la información personal expuesta por las fallas de seguridad realizadas a diferentes organizaciones. Con esta información, el criminal hace creer a la víctima que tiene acceso a alguna de sus cuentas, que logró instalar malware en sus sistemas de acceso a internet, que pudo monitorear la actividad del usuario por varios días, que pudo identificar que el usuario tuvo acceso a videos para adultos, que tuvo acceso a la cámara del sistema mientras esto sucedía y que tiene un video de la persona mientras veía videos para adultos. Acto seguido, el criminal le solicita a la víctima una cantidad de dinero para que esta información no sea publicada. Indica al usuario que tiene acceso a todos sus contactos y que será humillado públicamente sino cumple con el pago.

¿CÓMO PODEMOS IDENTIFICAR ESTOS INTENTOS DE FRAUDE?

Existen algunas señales que pueden ayudarnos a identificar que estamos viendo un correo electrónico cuyo fin es fraudulento.

1. Autoridad: La persona que envía el correo pretende ser una figura autoritaria o un oficial de una organización. De esta manera engañan a los usuarios para que brinden información que regularmente no compartirán.
2. Urgencia: Se requiere realizar una acción en un periodo de tiempo específico. Esto usualmente hace que la víctima sienta presión para ejecutar la solicitud y olvide protocolos existentes antes de hacer algunas tareas. En ocasiones se citan penalidades o consecuencias negativas al no cumplir con la solicitud.
3. Emociones: El criminal intenta apelar diferentes emociones en la víctima. Estas emociones pueden ser miedo, intriga o vulnerabilidad.
4. Escasez: En el correo electrónico se hace referencia a la limitación de cantidad del ofrecimiento. Pueden ser entradas para un evento, cura para una enfermedad o una oferta especial limitada. Con esto intentan que la víctima sienta que si no reacciona a la oferta, estará perdiéndose de algo muy valioso.
5. Eventos Actuales: El criminal utiliza eventos actuales para que no se le haga extraño a la víctima recibir el correo. Nos extrañaría mucho recibir un correo en agosto hablando de las planillas; pero si lo recibimos en febrero, no nos parecería extraño.

ESQUEMAS DETECTADOS DURANTE LA PANDEMIA DE COVID-19

Durante la pandemia ya se han reportado diferentes esquemas de fraude relacionados a este tema. Algunos de ellos son:

1. Correos de Phishing utilizando el asunto del COVID-19 como justificación.
2. Distribución de malware dentro de archivos o websites que indican tener información relacionada al COVID-19.
3. Ataques a infraestructura de sistemas de información que se ha visto vulnerable debido a la demanda de tele trabajo y apoyo remoto.
4. Mensajes de texto que presumen tener información sobre diferentes estímulos económicos del gobierno con un enlace para colectar datos personales de las víctimas.
5. Aplicaciones para dispositivos móviles que solicitan acceso a información, archivos locales del dispositivo, cámara y micrófono; aunque no esté en la función principal de la aplicación.

¿QUÉ PODEMOS HACER PARA MINIMIZAR EL RIESGO DE SER VÍCTIMAS?

Para minimizar el riesgo de ser víctimas de los criminales, debemos estar alertas a la información que compartimos con diferentes servicios y aplicaciones. Hay muchas herramientas que pueden ayudarnos a ser mejores custodios de nuestros secretos y contraseñas en línea. Podemos aprovechar el tiempo que nos sobre durante el día en la cuarentena para poner en práctica diferentes consejos, como si fueran challenges (retos) y configurar herramientas que nos ayuden a mantener nuestra información segura.

#Security #CovidChallenge

Hablemos de Seguridad

Eduquémonos sobre el tema de seguridad en línea para poder educar a nuestros familiares y amigos. Existen recursos y herramientas que nos enseñan sobre el tema de acuerdo a nuestra edad y nuestro nivel de exposición a la tecnología.

• Niños: https://sos.fbi.gov/es/
• Adultos: https://www.cisa.gov/stopthinkconnect-toolkit
• Adultos de edad avanzada: https://www.cisa.gov/publication/stopthinkconnect-older-american-resources

Crear Contraseñas Seguras

Uno de los dolores de cabeza más grande para los usuarios en las empresas, suele ser el tener que cambiar las contraseñas cada 3 meses y asegurarse de que cumplan con las reglas establecidas por el empleador. A pesar de ser un poco tedioso, es algo que debemos implantar en nuestro diario vivir, el mantener contraseñas seguras y que sean diferentes para las diferentes cuentas. Que tenga al menos 8 caracteres, que incluya símbolos, letras mayúsculas y que sea una frase, en vez de una palabra sola; todo esto y en adición que sea fácil de recordar.

• Guía para Crear Contraseñas Seguras: https://www.cisa.gov/sites/default/files/publications/Best%20Practices%20for%20Creating%20a%20Password.pdf

Administrador de Contraseñas

Si seguimos las recomendaciones más comunes, no debemos repetir contraseñas en varias cuentas. Así que se nos hace complicado recordar las diferentes contraseñas. Para esto existen diferentes aplicaciones que guardan nuestras contraseñas de manera segura y que tienen facilidad de incluirse en nuestro navegador de internet para ayudarnos a que sea más fácil la interacción con los servicios que utilizamos.

• Algunos: LastPass, Keeper y 1Password

2 Factor Authentication

La mayoría de los servicios que accedemos en línea ofrecen la oportunidad de añadir métodos de autenticación a nuestras cuentas. Cuando hacemos esto, indicamos al servicio que no solo estará utilizando la contraseña para acceder; sino que también debe solicitar un paso adicional. Usualmente estos servicios ofrecen las alternativas de enviar una secuencia de números al correo electrónico o por mensaje de texto.

HaveIBeenPwned

Existe una herramienta en línea que te permite identificar si tu correo electrónico ha estado expuesto en alguna falla de seguridad. Con esta información puedes identificar si tus accesos están expuestos y así puedes tomar acción para protegerte.

• http://www.haveibeenpwned.com

Permisos de Aplicaciones

En el tiempo libre de la cuarentena revisa la configuración de los permisos asignados a cada aplicación en tu dispositivo móvil. Puedes revisar cuales tienen acceso a la cámara, cuando en realidad no es necesario, accesos al micrófono y a la localización.

• Android: Settings > Apps & Notifications > Escoja el App > Permissions
• iPhone: Settings > Privacy > Escoja el App

Configuración de Privacidad en las Publicaciones

Asegúrese de entender qué contienen y a quién van dirigidas sus publicaciones en las redes sociales. En la mayoría de las redes sociales puedes escoger a quién diriges las comunicaciones (filtro de audiencia) y qué información adicional se comparte con la publicación (algunas comparten el lugar en el que te encuentras cuando la publicas). Esta información puede ser configurada y así no estás compartiendo con toda la humanidad la dirección exacta de tu casa o de tu trabajo. Muy importante en estos tiempos ya que alguien mal intencionado conoce que estamos forzados a estar en nuestras casas y si desea saberlo, solo tiene que buscar nuestras publicaciones compartidas con información de geolocalización.

¿Dónde podemos reportar actividades delictivas?

Existe una página web del Internet Crime Complaint Center (IC3) donde se recopila información sobre las actividades delictivas facilitadas por internet. Al compartir esta información podemos ayudar a minimizar la actividad delictiva identificando patrones y técnicas utilizadas.

• https://www.ic3.gov/complaint/default.aspx/

Recursos

2019 Internet Crime Report Released
https://www.fbi.gov/news/stories/2019-internet-crime-report-released-021120

CISA: Alert (AA20-099A): COVID-19 Exploited by Malicious Cyber Actors
https://www.us-cert.gov/ncas/alerts/aa20-099a

NCSC’s suspicious email guidance
https://www.ncsc.gov.uk/guidance/suspicious-email-actions