Ciberseguridad – Microsoft anuncia la desarticulación de una trama de bots que infectó nueve millones de ordenadores
Microsoft ha anunciado la desarticulación de una red de bots que, según sus propias palabras, constituye «la mayor red delictiva on line del mundo”. Esta trama había afectado a más de nueve millones de ordenadores en diferentes países de todo el mundo. En España, Microsoft ha colaborado activamente con el Instituto Nacional de Ciberseguridad (INCIBE) para identificar y recuperar los dispositivos comprometidos, y la compañía estadounidense y sus socios en 35 países “han adoptado medidas legales y técnicas de forma conjunta”, como informa al empresa en un comunicado. La empresa explicó en su comunicado que, además, ha colaborado con los Gobiernos de México, Colombia, Taiwán, India, Japón, Alemania, Francia, Polonia y Rumania, entre otros. Una botnet o red de bots es un sistema de equipos informáticos infectado a través de un software malicioso (malware). Una vez corrompidos, los ciberdelincuentes pueden controlar esos ordenadores a distancia y utilizarlos para cometer delitos. Esta red en concreto, denominada Necurs, es una vieja conocida: fue detectada por primera vez en 2012 y desde entonces ha distribuido varias formas de malware, incluido el troyano bancario GameOver Zeus. Microsoft explica cree que Necurs es operada por delincuentes localizados en Rusia y entre sus usos maliciosos se encuentran modificar el valor de las acciones cotizadas en la Bolsa; enviar correos electrónicos falsos de spam farmacéutico y estafas de supuestas citas con mujeres rusas. Necurs también se ha utilizado para efectuar ataques a otros ordenadores en Internet, el robo de credenciales para cuentas online, información de identificación personal, datos confidenciales, la venta o el alquiler de acceso a los dispositivos informáticos infectados a otros delincuentes cibernéticos, distribuir malware y ransomware al sector financiero, criptomineros, e incluso tiene una capacidad de ataque de denegación de servicio (DDoS). Un ataque de denegación de servicio tiene como objetivo inhabilitar el uso de un sistema, una aplicación o una máquina. ¿Cómo se hace? Mandando más peticiones de la que puede gestionar esa máquina. Además, la red de bots actúa como transmisora de spam. Durante 58 días, un ordenador infectado por Necurs envió un total de 3,8 millones de correos electrónicos de spam a más de 40,6 millones de víctimas potenciales, según ha observado Microsoft. Bloqueados millones de dominios El pasado jueves 5 de marzo, el Tribunal del Distrito Este de Nueva York (Estados Unidos) emitió una orden que permitió a Microsoft tomar el control de la infraestructura estadounidense que Necurs utiliza para distribuir malware e infectar los ordenadores de las víctimas, según informa la compañía. Esta operación tuvo éxito gracias al análisis de una técnica utilizada por Necurs para generar sistemáticamente nuevos dominios a través de un algoritmo. De esta forma, se pudieron predecir con precisión más de seis millones de dominios únicos que se crearían en los próximos 25 meses. Microsoft informó de estos dominios a los respectivos registros en países de todo el mundo, para que los sitios web pudieran ser bloqueados, evitando así que formaran parte de la infraestructura delictiva. Fuente: https://elpais.com/tecnologia/2020-03-11/microsoft-anuncia-la-desarticulacion-de-una-red-de-bots-que-infecto-nueve-millones-de-ordenadores.html
Protección de Datos – ¡Ojo! No se deje engañar, circulan cadenas falsas sobre coronavirus
Por medio de un comunicado MinSalud informa que los mensajes llegan con un archivo adjunto que al acceder se instala en su dispositivo móvil y roba su información personal. “El Ministerio reitera que no emite este tipo de correos ni cadenas de WhatsApp, por lo que recomienda consultar los canales oficiales de la Entidad”. Maximiliano Cantis, especialistas en seguridad informática de la firma Safetica, afirma que los sitios más usados por los criminales para cometer este tipo de delitos son los correos electronos y las redes sociales como Facebook y WhatsApp. Según Cantis, la modalidad más común consiste en insertar enlaces que direccionan a una página web falsa de alguna institución y le pide a los usuarios dejar sus datos, también se envían archivos disfrazados de PDF, MP4 y dock que se usan para acceder a la información personal de quienes caen en la trampa. La cadena de WhatsApp más reciente se dio este fin de semana con un mensaje en el que aparece la imagen del científico colombiano Rodolfo Llinás acompañado de una nota voz en el que se da recomendaciones y consejos para evitar el coronavirus. A pesar de que el mensaje no tiene archivos sospechosos si contiene imprecisiones medicas e invita a los usuarios a hacerse una prueba casera con el fin de medir su salud respiratoria y descartar que estén infectados con el coronavirus antes de presentar otro síntomas. Por su parte, Rodolfo Llinás se manifestó y confirmó que no era su voz la que se escuchaba en el audio por lo que se está utilizando su nombre para desinformar a los colombianos. Empresas de telecomunicaciones como Claro y Tigo están usando sus sitios web aplicaciones y demás canales para difundir mensajes preventivos y recomendaciones que defina el Ministerio de Salud. Adicionalmente, se habilitará el uso de la aplicación CoronApp – Colombia, creada por el MinTiC que no consume datos. Por otro lado, Sophos, compañía de seguridad informática, alertó la semana pasada sobre una nueva campaña de phishing disfrazada de una alerta de coronavirus que se envía bajo el nombre de Organización Mundial de la Salud. “Acceda al documento adjunto para conocer las medidas de seguridad contra la propagación del coronavirus. Da clic en el botón debajo para descargar. Los síntomas comunes incluyen fiebre, tos, y problemas al respirar”, reza en un correo electrónico enviado por cibercriminales. Según Sophos, el primer indicio para detectar la falsedad de un correo u otro comunicado es observar si hay faltas de ortografía y errores de redacción, después el usuario se debe asegurar de que los enlaces cuenten con el certificado que indica que la comunicación entre usuario y sitio web es segura. Foto: Sophos El sitio web al que direcciona el supuesto mensaje de la OMS es una versión idéntica al sitio oficial de la institución, con la diferencia de que al abrirlo aparece una ventana emergente que solicita al usuario su correo electrónico y la contraseña del mismo, para supuestamente dejarlo descargar el contenido. Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/no-se-deje-enganar-circulan-cadenas-falsas-sobre-coronavirus-471150
Ciberseguridad – Cibercriminales ante la crisis sanitaria: información falsa sobre el coronavirus para infectar ordenadores con malware
¿Qué hay más de villano que aprovechar una situación de crisis mundial para hacer el mal y lucrarse? Si bien la alarma sanitaria global del coronavirus ha hecho emerger las buenas conductas y la solidaridad de la gente, también -tristemente- salen a la luz cosas negativas. Es el caso de algunos ‘piratas informáticos’: se ha detectado que se están enviando correos electrónicos con información falsa sobre la enfermedad COVID-19 que infectan los ordenadores con malware, afirma un estudio de la firma de investigación en ciberseguridad Proofpoint. Según BuzzFeed, algunos están diseñados para parecer que provienen de la Universidad de Vanderbilt e incluyen un adjunto con la etiqueta ‘resultados de la prueba’. Se envían a compañías de seguros, lugares de atención médica y farmacéuticas y, cuando se descarga, se solicita al usuario una instalación que es la que hace que el ordenador se infecte con malware, concretamente con el troyano de acceso remoto conocido como ‘Koadic’. El malware Koadic utilizado para los ataques de phishing da a los cibercriminales acceso al ordenador y les permite considerar sus próximos pasos a medida que aprenden más sobre su víctima. La siguiente fase del ataque puede venir meses después de la infección inicial. Podría ser tipo ransomware, un troyano bancario o ‘simplemente’ robo de información. Kodiac se usa ampliamente en Europa del Este y ha sido desplegado por Rusia, China e Irán, aunque no hay evidencia de que ninguno de esos países esté detrás de este nuevo ataque. Otros mensajes también se han hecho pasar por la OMS y los CDC de EE. UU., o se han disfrazado de comunicaciones de las autoridades sanitarias de algunos países, incluidos Ucrania, Vietnam e Italia, informa NBC News. La propia OMS dejó claro que nunca le pediría a un usuario “que inicie sesión para ver información de seguridad”. También se da el caso de correos electrónicos sobre el coronavirus de Wuhan que promueven curas falsas y soluciones milagro; e incluso, sabiendo que muchas compañías han implementado el teletrabajo, otros dicen ser del departamento de recursos humanos de la compañía y piden a la víctima que inicie sesión en DocuSign o Microsoft Word, es ahí donde roban sus credenciales. Por último, se ha dado el caso de cibercriminales que están propagando malwarea través de mapas del coronavirus, ha alertado TechRadar. Muchas organizaciones, incluida la Universidad John Hopkins, han creado paneles para realizar un seguimiento de la propagación de la enfermedad y muchas personas confían en estos paneles para mantenerse al día con los últimos números de infección. Investigadores de seguridad han descubierto que los piratas informáticos ahora están creando versiones falsas de estos paneles para robar información que incluye nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos almacenados en los navegadores de los usuarios. Y es que ‘la sed’ de noticias e información sobre el nuevo coronavirus ha sido como una alfombra roja para los estafadores en Internet, que no han tenido miramientos desde el principio en usar este serio problema para ganar dinero y robar información. ¿Qué hacemos contra esto? Como siempre, para protegerse de los ciberataques, los expertos en seguridad informática recomiendan usar contraseñas únicas en todas las cuentas, autentificación multifactor, ejecutar análisis de virus regulares en tu ordenador y ser escéptico de los correos electrónicos de fuentes desconocidas -sobre todo los que hacen una ‘llamada emocional’ en tiempos de emergencia como estos-. Fuente: https://www.20minutos.es/noticia/4186179/0/hackers-aprovechan-la-crisis-sanitaria-informacion-falsa-sobre-el-coronavirus-para-infectar-ordenadores-con-malware/
Protección de Datos – Facebook, Yahoo y Netflix son las marcas más suplantadas para robar datos
Así lo ha revelado el informe «Brand Phishing Report 2019» de la compañía de ciberseguridad Check Point, en el que se han analizado los intentos de ataques de ‘phishing’ en todo el mundo durante los últimos tres meses del año pasado. Facebook fue la marca más imitada en 2019 en los ataques de ‘phishing’ -en los que los cibercriminales se hacen pasar por una compañía para ganarse los datos de los usuarios y sus cuentas- y ha acumulado el 18 % de los ataques de este tipo a nivel global, que también afectan a empresas como Yahoo y Netflix. Así lo ha revelado el informe Brand Phishing Report 2019 de la compañía de ciberseguridad Check Point, en el que se han analizado los intentos de ataques de ‘phishing’ en todo el mundo durante el cuarto trimestre del pasado año. En el ranking global del ‘phishing’, por detrás de Facebook se encuentran por volumen de ataques Yahoo, segundo con el 10 %; Netflix, tercero con el 5 %; así como otras compañías tecnológicas como Microsoft (3 %), Spotify (3 %), Apple (2 %) y Google (2 %). No obstante, durante el último trimestre del año se produjeron grandes diferencias entre las marcas utilizadas en cada vector de ataque, según explica Check Point en un comunicado. Los ataques a través de la web fueron los más frecuentes y comprendieron el 48 % de todos los ataques de ‘phishing’ del cuarto trimestre de 2019. Los cibercriminales de esta categoría eligieron hacerse pasar por empresas como Spotify, Microsoft, PayPal y Facebook. En segunda posición se encuentran los ataques de ‘phishing por email, que supusieron el 27 % del total y que suplantaron preferentemente a Yahoo, por delante de la marca de gafas de sol Ray-Ban, Microsoft y de DropBox. Muy cerca se encuentran los atacantes que optan por campañas de ‘phishing’ a través del móvil, que en los últimos tres meses de 2019 congregaron el 25 % de todos los ataques. La marca más imitada fue la de servicio bancarios Chase Mobile Banking, seguida de Facebook, Apple y PayPal. «En los dos últimos años, los incidentes de este tipo de ataque se han disparado con el aumento del uso del correo electrónico basado en la nube, lo que facilita a los delincuentes camuflarse como un elemento de confianza», como señala Maya Horowitz, directora del Grupo de Inteligencia de Amenazas de Check Point Research, que considera que «el ‘phishing’ seguirá siendo una amenaza creciente en 2020». Fuente: https://www.elespectador.com/tecnologia/facebook-yahoo-y-netflix-son-las-marcas-mas-suplantadas-para-robar-datos-articulo-903964
Protección de Datos – Todo lo que el coche sabe de nosotros y a quién se lo cuenta
El llamado Internet de la Cosas va más allá de las televisiones, neveras, lavavajillas, alarmas o robots trabajando en factorías interconectados a través de la red. También los coches modernos –y no tanto– están conectados. Y van a estarlo cada vez más, generando e intercambiando tanta información que, en muchas ocasiones, los usuarios no estamos al tanto de hasta qué punto nuestros datos viven en la nube. Todos estos megas de información que generamos al conducir interesan a muchos. En primer lugar, a las empresas automovilísticas, pero también a los servicios postventa, compañías de seguros, operadoras de infraestructuras, financieras o proveedoras de servicios a flotas. Los coches , incluso los más sencillos, están repleto de electrónica. Y a mayor categoría, más aumenta la complejidad técnica. Los sistemas de un vehículo de gama alta pueden tener más líneas de código que un Boeing 787. Pero no hay que volar tan alto. Un vehículo de gama media, como el nuevo Seat León, lleva entre 35 y 40 miniordenadores o, como explica Josep Bons, responsable de desarrollo eléctrico y electrónico de Seat, “unidades electrónicas inteligentes con microprocesadores y microcontroladores”. Además, hay que añadir “entre 40 y 50 unidades de sensores que proporcionan datos (presión, temperatura, imagen, etc.) y actuadores que ejecutan comandos: motores, calefactores, ventiladores, bocinas, luces por LED, etc” cita el técnico. Estos sensores tienen circuitos integrados que transforman la información analógica en digital y la envían a las unidades máster para que hagan las acciones necesarias. Los actuadores, como son los limpiaparabrisas, elevalunas, asientos eléctricos, calefacción… transforman en una acción la información digital que les llega. Y de casi todo eso queda registro. Y se comparte… Pero ¿qué archiva nuestro coche? La mayoría de los turismos hoy a la venta montan de serie dispositivos de captación y transmisión de datos. Saber qué cosas puede chivar nuestro coche y cuánto ocupan esos datos no es tarea fácil, ya que depende de la marca del coche de que se trate, e incluso dentro de esta, hay modelos preparados para registrar todo lo que hacemos y otros que no lo están. Como norma general, los coches desvelan a las marcas sólo datos básicos de carácter técnico: velocidad máxima y media alcanzada por el vehículo, longitud del trayecto, régimen de giro del motor, kilometraje cubierto y total acumulado por el vehículo, consumo de combustible, nivel del lubricante y otros líquidos o cantidad de carga de la batería (si es un eléctrico). También la temperatura exterior, presión de los neumáticos, si las puertas están abiertas o cerradas, freno de estacionamiento conectado y, siempre, la localización del vehículo. Pero dependiendo del modelo y nivel de acabado, como explica Josep Bons, responsable de desarrollo eléctrico y electrónico de Seat, también se puede entrar más en detalle y registrar incluso “la posición de los asientos o de los espejos retrovisores”. Estos datos generan una cantidad de información notable. Bons asegura que, cada vez que circula, un coche de tamaño medio envía al backend de la marca (donde se almacena y procesa la información) un “paquete de datos de entre 3 y 4 megas”. Si el cliente desea mantener un alto nivel de privacidad, “los datos compartidos serían mucho menores” explica el técnico. Lo que sucede es que la mayoría de conductores (como la mayoría de consumidores) aceptan sin más las condiciones de los productos y no se detienen a analizar las diversas posibilidades que se les ofrecen. Desde Toyota España manifiestan que no todos sus modelos recopilan datos, pero aquellos que ya cuentan con esa posibilidad (RAV4, Corolla, Camry o C-HR) almacenan unos 20 parámetros relacionados con el funcionamiento del motor, a lo que hay que añadir, de nuevo, la localización del vehículo. Se envían al centro de proceso de la marca cada vez que el conductor apaga el coche, a través de una centralita que tiene una tarjeta SIM integrada. Esa operación, resume un portavoz de la marca, se realiza siempre que “el usuario haya aceptado los términos y condiciones del servicio. Sin ese OK, no se reciben los datos”. Algunas automovilísticas incluso van un paso más allá y permiten elegir a sus clientes qué quieren compartir y qué no. En Volkswagen puntualizan que “si el automóvil está equipado con el sistema de información y entretenimiento MIB3 (los nuevos Passat y Golf 8 lo montan), el conductor puede decidir su nivel de privacidad, con la opción de elegir incluso qué datos quiere compartir”. ¿Quién gana qué? Toda esta ingente cantidad de información que generamos los conductores cada vez que nos ponemos al volante tiene un valor monetario. Las marcas lo saben y por eso quieren ser los guardianes y gestores de esa valiosa gasolina. Según un estudio, la Comisión Europea estima el valor de los datos en unos ingresos anuales de 225 euros por coche conectado, lo que se traduciría en un negocio de alrededor de 3.800 millones de euros para el año próximo, sólo en la UE. Puede parecer una cantidad pequeña, comparada con los 800 euros por coche que gastamos de media los europeos al año en todos los servicios de mantenimiento. Pero la importancia para la industria automovilística de manejar estos datos es que supone tener en su bolsillo la llave que permite arrancar nuevos servicios asociados a la información: mantenimiento, diagnosis, navegación, entretenimiento… Y todo esto durante todo el ciclo de vida del automóvil, que hoy se sitúa en Europa en una media de 11,1 años. Desde la Comisión alertan, en este mismo estudio, de que si los fabricantes se quedan con la exclusiva de los datos “maximizan sus beneficios, pero la sociedad en su conjunto se enfrenta una pérdida sustancial ya que los servicios de datos estarán infrautilizados”. Compartir con el fabricante los datos que generamos al ponernos al volante tiene, obviamente, una utilidad para el conductor. Con el nuevo León, el último modelo presentado por Seat, el usuario puede obtener “funcionalidades adicionales como conocer la posición de su coche, climatizarlo remotamente, recibir alertas en caso de que se supere cierta velocidad o salga de una zona predeterminada, y todo remotamente a través de su
Protección de Datos – Vuelve y juega: SIC ratifica su postura y le pone freno a Facebook
La Superintendencia de Industria y Comercio resolvió la apelación de la red social y se mantiene en solicitar nuevas medidas para manejar la información. En la resolución 4885, publicada este 17 de febrero, se confirma la orden impartida en enero, en la cual la SIC le da a Facebook un plazo de 4 meses para para que entregue una auditoría relacionada con la manera en que protege la privacidad de los datos en más de 31 millones de cuentas en Colombia. La empresa de Mark Zuckerberg realiza una actividad que involucra el tratamiento de información personal y gracias a esto presta sus servicios de publicidad, advierte la SIC en un comunicado. Por lo tanto, el modelo de negocio se basa en la recolección, uso y circulación de datos adquiridos desde los perfiles, afirmó la entidad. “Una empresa tan determinante en la ciberseguridad del mundo como lo es Facebook, en razón de la cantidad y calidad de información que maneja, tiene el deber de ser más que diligente en el Tratamiento de Datos. Por eso, esa empresa no debería ahorrar esfuerzos para mejorar los niveles de seguridad que exige la regulación para todos los usuarios de esa red social digital” añade el comunicado. La SIC se enfoca en el cumplimiento del artículo 15 de la constitución y enfatiza que Facebook Colombia S.A.S tendrá plazo hasta el 14 de junio del 2020 para implementar medidas útiles y eficaces de seguridad en los datos. Las medidas deben evitar: El acceso no autorizado o fraudulento. El uso no autorizado o fraudulento. La consulta no autorizada o fraudulenta. La adulteración no autorizada o fraudulenta. La pérdida no autorizada o fraudulenta. Además, las acciones que tome la compañía deberán ser certificadas ante esta entidad por medio de una firma auditora externa. Fuente: https://www.pulzo.com/tecnologia/sic-mantiene-pide-facebook-que-refuerce-seguridad-colombia-PP846993
Protección de Datos – Clearview AI, la polémica empresa de reconocimiento facial que trabaja con policías de todo el mundo, admite que han robado su lista completa de clientes
La lista completa de clientes de Clearview AI, la polémica compañía de reconocimiento facial, ha sido robada por alguien con «acceso no autorizado» tal y como adelantó en exclusiva el portal estadounidense The Daily Beast. La empresa se ha convertido en un importante foco de polémica tanto para los defensores de la privacidad personal como para los ejecutivos de las principales redes sociales de todo el mundo por su herramienta de reconocimiento facial que permite a la policía utilizar la foto de una persona para buscar dentro de una base de datos de miles de millones de imágenes sacadas de redes sociales como Facebook o Twitter y, así, identificar a personas únicamente teniendo su rostro. La brecha de seguridad es importante porque Clearview comercializa esta herramienta a organismos públicos de seguridad tanto en Estados Unidos como en otros países y, de hecho, se ha negado en otras ocasiones a revelar quiénes son sus clientes. Tor Ekeland, abogado de Clearview AI, ha confirmado la información publicada por The Daily Beast en un comunicado enviado a Business Insider. Ekeland explica que la brecha de seguridad no responde a un hackeo de los servidores de Clearview sino a una «falla» que otorgó acceso a una persona no autorizada a la lista de clientes de la compañía. «La seguridad es la principal prioridad de Clearview. Desafortunadamente las brechas de seguridad son inherentes a la vida en el siglo XXI», ha subrayado Ekeland, añadiendo que la empresa «continuará trabajando para fortalecer la seguridad». El New York Times publicó en enero que entre los clientes de la compañía se encontraban cientos de agencias de seguridad en Estados Unidos y Canadá, incluyendo al FBI y al Departamento de Seguridad Nacional de los Estados Unidos. Según comentó un portavoz a Business Insider a principios de febrero, la compañía está intentando ampliar su base de clientes, subrayando que el servicio de Clearview había «recibido solicitudes de organismos encargados de hacer cumplir la ley de todo el mundo». Facebook, Twitter, YouTube y otras empresas han amenazado con emprender acciones legales contra Clearview AI, pidiendo a la empresa que deje de almacenar las imágenes publicadas en sus redes sociales por los usuarios para construir su base de datos de caras. El fundador y CEO de Clearview, Hoan Ton, ha respondido diciendo a estas empresas que la recolección de fotografías accesibles al público está protegida por la Primera Enmienda de la Constitución de los Estados Unidos. Si la lista de clientes de Clearview se filtra públicamente, advierten los analistas, podría provocar mayores represalias contra la compañía. «Seguramente llevará la conciencia pública y la desconfianza sobre los sistemas de reconocimiento facial a nuevos niveles», ha explicado Kjell Carlsson, analista especializado en inteligencia artificial de la firma de investigación Forrester, a Business Insider. Albert Liu, CEO de la startup Kneron también especializada en inteligencia artificial, ha explicado a Business Insider que el hecho de que Clearview tenga una base de datos de rostros plantea problemas de seguridad intrínsecos, especialmente con esta brecha de seguridad. «Uno de los principales riesgos del software de inteligencia artificial, pese a lo innovador que es, es que depende de estas bases de datos masivas y de una gran cantidad de información sensible almacenada en estas plataformas», reflexiona Liu. «Cuanto más dependamos de soluciones en la nube para la inteligencia artificial menos seguros estarán nuestros datos y menos privacidad tendrán los ciudadanos», sentencia. Fuente: https://www.businessinsider.es/clearview-ai-admite-han-robado-lista-clientes-589583
Ciberseguridad – ‘Era bonita y hablábamos todos los días, pero al final era una estafa’
Thomas, un hombre del oeste de Inglaterra de 34 años, estaba enloquecido con Tonia y planeaba un futuro junto a ella. Pero en realidad, se trataba una estafadora. «Tonia y yo teníamos tanto en común que hablamos todos los días durante siete meses. Era bonita, simpática y amable», contó la víctima. «Ahora miro atrás y no puedo creer lo fácil que le resultó aprovecharse de mí. No tenía ni idea de que me timaba para que le diera mis detalles personales y así tomar mi dinero». La trampa de los préstamos Thomas fue víctima de un elaborado engaño. La mujer le contaba que sus padres habían muerto y que vivía con su abuela enferma de cáncer en Estados Unidos. Decía que tenía que pagar por la comida y por costosas facturas médicas, así que le pidió dinero. A cambio, le mostró a Thomas la evidencia de que recibiría una gran herencia. Todo era una farsa. Para que la historia pareciera más realista, Tonia transfirió dinero a la cuenta de Thomas. Luego le pidió que lo distribuyera a varias cuentas bancarias, ya que ella no tenía. De hecho, el dinero provenía de préstamos solicitados por Tonia a nombre de Thomas sin que éste lo supiera. Cuando Thomas comenzó a recibir cartas de los prestamistas, se percató de que había sido estafado. Luego acudió a su banco local, explicó la situación y le reembolsaron el dinero. Ahora trabaja para reparar su historial de crédito. «He cerrado mi cuenta en redes sociales porque no quiero involucrarme en otra relación así. Me tomará un largo tiempo recuperarme y volver a confiar en alguien», aseguró Thomas. Este caso es más inusual que las estafas de romance habituales porque la víctima es un hombre joven. Sin embargo, contiene todas las características típicas de un fraude. Estos engaños se dan en su mayoría en las aplicaciones de citas o redes sociales, donde el estafador adopta una identidad falsa. A este tipo de estafas se les conoce como «catfishing». Aumento En Reino Unido, una encuesta reveló que el 27 % de los entrevistados que usaron páginas de citas habían sido objeto de un intento de fraude. A las víctimas o potenciales víctimas se les pidió poco más de US$400 de media, pero muchos fueron engañados para que enviaran más dinero. UK Finance, la organización británica de asesoramiento financiero que llevó a cabo la encuesta, mostró que en la primera mitad de 2019 se perdieron US$10 millones en este tipo de fraudes. La cifra supone un aumento de más del 50 % con respecto al mismo período de 2018. «Los romances fraudulentos pueden ser emocional y financieramente dañinos para los que lo sufren. La popularidad de las apps de citas ha facilitado que los criminales se aprovechen de las víctimas», dijo Katy Worobec, directora gerente de crímenes económicos en UK Finance. La Oficina Nacional de Inteligencia contra el Fraude en Reino Unido advierte que los estafadores analizan los perfiles de sus objetivos para recopilar información sobre su estilo de vida y posición económica. Además, aconseja nunca enviar dinero a desconocidos y que se piense más de una vez a la hora de publicar información personal. Esta podría usarse para manipular al usuario. Fuente: https://www.eltiempo.com/tecnosfera/novedades-tecnologia/era-bonita-simpatica-y-hablabamos-todos-los-dias-pero-al-final-resulto-una-estafa-461542
Ciberseguridad – Hackeo de Dispositivos Móviles: Marco Normativo y Consecuencias Jurídicas
Cada día es más habitual tener conocimiento de casos en los que se ven afectadas empresas y particulares como consecuencia de ataques informáticos (o ciberataques) cometidos por organizaciones o personas anónimas y que, en muchos casos, terminan afectando a la información que contienen los sistemas y dispositivos utilizados por dichas entidades y/o particulares. Entre los ataques conocidos últimamente a través de los medios de comunicación, se encuentra el realizado al propietario de Amazon, Jeff Bezos, quien se vio afectado por un tipo de malware (spyware) que, a través de un mensaje de una aplicación en su dispositivo móvil recibió un vídeo en el que se incluía el malware obteniendo diversa información comprometida del titular del dispositivo. Este tipo de acciones y prácticas de ciber espionaje realizadas por los hackers, suelen tener como objetivo acceder a tu información personal, profesional, sensible y/o critica, ya sea con la finalidad de difundirla o utilizarla para otro tipo de estrategias de lucro, protesta o desafío. En el caso de Jeff Bezos, según las últimas investigaciones (según el análisis forense realizado en este informe emitido por la ONU) apuntan como responsable a una empresa israelí que opera de forma opaca para sus clientes (entre los que se encuentran Gobiernos de todo el mundo) y está dedicada a la creación de software de intrusión y vigilancia (ciber espionaje o spyware). De igual manera, no hace mucho fuimos testigos de cómo WhatsApp sufrió un ataque de spyware (software espía) afectando a miles de usuarios en donde los hackers hacían una llamada al dispositivo de cuyos datos querían acceder y, en el caso de que la persona no respondiese a la llamada, se instalaba automáticamente un programa de “spyware” en los dispositivos. Existen otras muchas prácticas similares que son comunes hoy en día y están reconocidas por la normativa aplicable, como son el sexting (envío de contenido inadecuado al dispositivo móvil), stalking (acoso o acecho), phishing (suplantación de identidad) o ransomware (secuestro de datos) pudiendo provocar, en la mayoría de los casos, un perjuicio a los derechos del usuario no solo a nivel personal sino económico o reputacional. Estas son algunas de las prácticas fraudulentas que ponen de manifiesto, por un lado, la necesidad de proteger el uso de los dispositivos móviles por parte de empresas y particulares y, por otro, la importancia de conocer la normativa que resulta aplicable y las consecuencias jurídicas que se prevén ante este tipo de amenazas. Marco Normativo Aplicable y Consecuencias Jurídicas a) Regulación Penal Con el aumento del uso de las TICs (Tecnologías de la Información y las Comunicaciones) y su constante evolución, ha sido necesaria una revisión de los preceptos que regulan los delitos cometidos a través de medios informáticos. De esta manera, la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal (en adelante, CP), fue reformada en 2015 para su adaptación a esta nueva situación. Al hilo de los casos mencionados anteriormente, las prácticas relativas al hackeo de dispositivos móviles podrían estar contempladas dentro de los siguientes supuestos: Delito de descubrimiento y revelación de Secretos (o fuga de información): Este supuesto castiga al sujeto que se apodera de secretos o recursos que vulneran la intimidad de otro, sin el consentimiento del afectado, incluyendo, entre otros, correos electrónicos, mensajes o archivos o en soportes informáticos, electrónicos o telemáticos. Daría lugar a penas de prisión de hasta 4 años pudiéndose agravar si, por ejemplo, se difunden estas imágenes o informaciones a terceros. Delito de acceso ilegítimo: en este caso, se castiga la vulneración de las medidas de seguridad establecidas para impedir el acceso o facilitación a un tercero al conjunto o parte de un sistema de información sin poseer la debida autorización. Este supuesto conllevaría una pena de hasta dos años de prisión. Igualmente, en el caso de que derivado de dicho acceso se produzcan daños como; borrado, deterioro, alteración, o se hiciese inaccesibles los datos, programas o documentos electrónicos, si el resultado es grave será castigado con una pena de hasta tres años de prisión. Delitos de interceptación de las transmisiones de datos automatizados: para que concurra es necesario que el atacante tenga la intención de realizar alguno de los dos delitos anteriores y para ello facilite a terceros un programa informático o contraseña dirigidos a cometer estos delitos, como puede ser una aplicación o un código de acceso que permita acceder a la totalidad o parte de un sistema de información. El CP castiga con una pena de hasta dos años de prisión a quienes creen una aplicación que facilite el acceso a sistemas de información (ya sea ordenador, teléfono móvil, tablets…) y que, además, dicha aplicación permita sustraer (con el consentimiento o sin el consentimiento del afectado) datos personales del afectado. b) Otros marcos normativos de aplicación El objetivo del hacker, en la mayoría de los casos, es obtener información personal o comprometida del sujeto. De acuerdo con esto, se estarían vulnerando los derechos de protección de datos del afectado, cuya defensa y protección la encontramos en la normativa en materia de protección de datos personales siendo a nivel europeo, el Reglamento (UE) 2016/679 de Protección de datos y, a nivel nacional, la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales, las normas de referencia en esta materia. Así las cosas, un tratamiento ilícito de datos personales podría conllevar sanciones de hasta veinte millones de euros o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tratándose de empresas. Por otro lado, los resultados de estas prácticas provocan una intromisión ilegítima respecto del honor, la intimidad personal, familiar y a la propia imagen de la persona afectada, cuya regulación y protección podemos encontrarla en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Para la defensa de este tipo de derechos habrá que acreditar la existencia de perjuicio o daño moral para considerar que ha habido una intromisión ilegítima, que se valorará atendiendo a las circunstancias del caso y a la gravedad del daño producido, teniendo en cuenta la difusión o audiencia del medio a través del que se haya realizado. Asimismo, puede producirse una estafa informática como la usurpación o suplantación de identidad (a través de técnicas
