Documente Academic
Documente Profesional
Documente Cultură
PARTE 3
NDICE
Engaos en las redes sociales
17
19
Perfil de Symantec
23
Engaos en las
redes sociales
RESUMEN
En muchos casos, el phishing explota el temor al hacking y a situaciones de alarma sanitaria, o bien utiliza como seuelo noticias
escandalosas sobre famosos, ya sean verdaderas o falsas.
INTRODUCCIN
En 2014, los delincuentes hicieron suya la ley de la prueba social, segn la cual
valoramos ms aquello que otras personas aprueban o comparten. Por poner un
ejemplo, si le damos a elegir a alguien entre un restaurante vaco y otro con una
gran cola, lo normal es que prefiera esperar porque pensar que el que tiene ms
gente es mejor.
Los hackers que se apropian de cuentas en plataformas
como Snapchat lo hacen apoyndose en esta teora,
ya que la gente se fa ms de los enlaces que publican
las personas que conoce o de los productos que
recomiendan, lo que hace que no adviertan el engao del
que estn siendo objeto.
Porcentaje
80
2012
81
70
2013
60
2014
50
56
40
30
20
23
10
18
10
0
Ofertas falsas
Fuente: Symantec | Safe Web
70
Secuestro
del botn
me gusta
Secuestro de
comentarios
Aplicaciones
falsas
Contenidos
compartidos de
forma manual
http://www.symantec.com/connect/blogs/robin-williams-goodbye-video-used-lure-social-media-scams
En 2014, el 70 % de
las amenazas que
se propagaron en
las redes sociales lo
hicieron sirvindose de
los propios usuarios.
El ao anterior, este
porcentaje haba sido
de un escaso 2 %.
Por lo general, las vctimas dan la informacin sin pensrselo dos veces. El 68 % de los encuestados para un
informe sobre aplicaciones mviles realizado por Norton
se declararon dispuestos a facilitar distintos tipos de
informacin personal a cambio de una aplicacin gratis.4
En el caso que se ilustra en la imagen de abajo, hubo
quien accedi a enviar 0,99 USD a cambio de recibir el
dinero que ofrecan los supuestos ganadores de la lotera
(que, desde luego, no llegaba nunca). Una cantidad tan
pequea no despierta sospechas, pero los estafadores
no solo van juntando calderilla, sino que tambin consiguen datos personales.5
Una vez que una cuenta falsa tiene suficientes seguidores, sus creadores le cambian el nombre, la foto y la
biografa para que, cuando se descubra el engao, la
gente no pueda identificarla y denunciarla. A continuacin, la cuenta modificada con todos sus seguidores se
vende al mejor postor. Lo habitual es que poco despus
aparezca un nuevo perfil similar al primero y el propietario diga que su cuenta original haba sido pirateada
y, de este modo, el proceso vuelve a comenzar.
http://blog.instagram.com/post/104847837897/141210-300million
https://investor.twitterinc.com/releasedetail.cfm?ReleaseID=878170
4
Image from: http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
5
http://www.slideshare.net/symantec/norton-mobile-apps-survey-report
6
http://www.symantec.com/connect/blogs/instagram-scam-lottery-winners-impersonated-offer-money-followers
2
3
Plataformas de mensajera
2014 golpe con dureza a Snapchat, la aplicacin social
en la que las imgenes y los vdeos enviados se autodestruyen a los diez segundos de recibirse.
En octubre, varias cuentas fueron pirateadas y algunos
usuarios recibieron un mensaje de amigos suyos que
contena un enlace relacionado con pastillas adelgazantes. Segn Snapchat, los atacantes haban robado los
datos de acceso a otro sitio web, y solo haban logrado
infiltrarse en Snapchat porque los propietarios de las
cuentas afectadas usaban la misma contrasea para
distintos servicios.7
19 enero, 2015
Clics obtenidos con la direccin URL incluida en el mensaje de spam de Snapchat del ejemplo anterior
7
http://www.symantec.com/connect/blogs/hacked-snapchat-accounts-use-native-chat-feature-spread-diet-pill-spam
Unos programas de afiliacin remuneran cada clic, mientras que otros exigen que la vctima se inscriba en un
sitio web y facilite los datos de su tarjeta de crdito.
Algunos sitios web pagan seis dlares por cada inscripcin y hasta sesenta si alguien se suscribe a un servicio
premium9, lo que permite a los ciberdelincuentes obtener
pinges beneficios (profundizaremos en este tema ms
adelante, en el apartado Los programas de afiliacin, el
verdadero motor del engao en las redes sociales).
Normalmente, se empieza mostrando un perfil de una
joven atractiva que propone a la vctima un encuentro
sexual, la invita a ver grabaciones ntimas en vivo o se
ofrece a enviarle mensajes de texto o imgenes de naturaleza sexual (lo que se conoce como sexting). En Tinder,
algunas fotos de perfil ofrecan servicios de prostitucin
superponiendo texto a la propia imagen, para as evitar
los filtros de correo no deseado.
Los interesados tenan que hacer clic en las imgenes o
visitar un sitio web afiliado, pero ni una ni otra opcin
serva de nada porque, en realidad, las supuestas chicas
eran bots, y las fotos insinuantes un seuelo para promocionar un servicio inexistente.
Mensajes de falsas cam-girls que aparecen como chats
nuevos en Kik Messenger
Perfiles falsos
de Tinder en los
que se ofrecan
falsos servicios de
prostitucin11
http://www.symantec.com/connect/blogs/adult-webcam-spam-all-roads-lead-kik-messenger
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
10
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
11
http://www.symantec.com/connect/blogs/tinder-spam-year-later-spammers-still-flirting-mobile-dating-app
8
9
http://www.symantec.com/connect/blogs/facebook-scam-leads-nuclear-exploit-kit
http://www.wired.com/2014/02/can-anonymous-apps-give-rise-authentic-internet/
14
http://www.technologyreview.com/review/531211/confessional-in-the-palm-of-your-hand/
15
Algunas de estas crticas se analizan en http://es.wikipedia.org/wiki/4chan (y, de forma ms detallada, en la versin en ingls del artculo:
http://en.wikipedia.org/wiki/4chan).
16
https://www.facebook.com/about/government_requests
17
http://thenextweb.com/twitter/2014/04/30/twitter-ceo-dick-costolo-whisper-mode-encourage-friends-privately-discuss-public-conversations/
18
http://techcrunch.com/2014/03/20/gmail-traffic-between-google-servers-now-encrypted-to-thwart-nsa-snooping/
12
13
PHISHING
Mensajes de correo electrnico que son intentos de phishing
(sin incluir los casos de spear phishing)
1 de cada
1000
965
750
500
250
414
392
2012
2013
2014
En 2014, uno de cada 965 mensajes de correo electrnico fueron intentos de phishing (aunque la proporcin
fue menor de junio a septiembre). El ao anterior, lo
haban sido uno de cada 392. Hacia finales de ao, el
nmero de ataques de phishing aument tras conocerse
que se haban robado y publicado varias fotos de
200
400
600
1 de cada
800
1000
1200
1400
1600
1800
2000
2200
E
Fuente: Symantec I .cloud
2012
2013
2014
Symantec Website Security Solutions I 11
60
50
Miles
40
30
20
10
0
2010
2011
2012
2013
2014
19
http://www.symantec.com/connect/blogs/apple-ids-targeted-kelihos-botnet-phishing-campaign
20
http://www.symantec.com/connect/blogs/fresh-phish-served-helping-aes
21
22
LinkedIn: http://www.symantec.com/connect/blogs/linkedin-alert-scammers-use-security-update-phish-credentials
Google Docs: http://www.symantec.com/connect/blogs/google-docs-users-targeted-sophisticated-phishing-scam
Dropbox: http://www.symantec.com/connect/blogs/dropbox-users-targeted-phishing-scam-hosted-dropbox
60 %
2014
66 %
-6 %
2013
69 %
-3 %
2012
2012
28 millones
29 millones
30 millones
-1 %
-1 %
http://www.symantec.com/connect/blogs/scammers-pose-company-execs-wiretransfer-spam-campaign
23
Si ha usado alguna red social en la ltima dcada, seguro que alguna vez se habr
encontrado con contenido de este tipo:
promociones en las que se regalan smartphones,
billetes de avin o vales de compra;
noticias inusuales sobre personajes famosos (p ej.,
vdeos sexuales o falsos fallecimientos);
noticias impactantes, a menudo relacionadas con
catstrofes naturales;
proposiciones de supuestos profesionales del sexo o
invitaciones a desnudarse frente a una webcam.
En cuanto una red gana adeptos, los estafadores empiezan a tenerla en el punto de mira. Y aunque las estafas
se adaptan a las peculiaridades de cada plataforma, las
redes de afiliacin siempre estn detrs.
El marketing de afiliacin permite a las empresas aumentar sus beneficios en Internet, ya que los afiliados
les ayudan a promocionar y vender sus productos.
Se trata de una prctica muy habitual. Por ejemplo,
un afiliado que promocione un libro en su sitio web e
incluya un enlace a la pgina de compra de otra empresa
recibir una pequea comisin por cada venta.
Entre quienes usan las redes de afiliados hay empresas
legtimas e ilegtimas, y a veces son los propios afiliados
los que usan mtodos reprobables para lucrarse.
Las empresas saben de dnde viene cada clic y pueden
ir calculando las comisiones porque, cuando alguien
hace clic en el anuncio de un afiliado, los enlaces
terminan con un cdigo que lo identifica.
Aunque haya empresas y redes de afiliacin que condenen estas prcticas y traten de evitarlas, seguirn
dndose mientras los delincuentes puedan sacarles
provecho. Si su empresa utiliza estos programas, es
importante que conozca a sus afiliados y se asegure de
que actan dentro de la legalidad.
La legitimidad de estos afiliados no est clara, y tampoco es fcil saber cunto cobran porque muchos prefieren
mantenerlo en secreto. Sin embargo, la mayora de las
redes de afiliados utilizan un sistema de pujas en el que
se especifica qu accin constituye una conversin.
En el ejemplo de la imagen (un anuncio de una tarjetaregalo Visa por valor de 1500 USD), se considera que
se ha realizado una conversin si la persona referida
facilita su direccin de correo electrnico. En este caso,
los afiliados reciben 1,40 USD por conversin.
Los usuarios de las redes sociales, por su parte, deberan desconfiar de los regalos que se ofrecen en estas
plataformas (billetes de avin, aparatos electrnicos
o vales) y de las invitaciones a visitar sitios web de
contactos sexuales o webcams. Si alguien nos pide que
rellenemos una cuesta o nos suscribamos a un servicio
con tarjeta de crdito, lo ms probable es que nos est
estafando. Lo que parece demasiado bueno para ser
verdad normalmente no lo es.
Gran parte del trfico de correo electrnico pasa por manos de Symantec.
Recientemente, nos han sorprendido los ataques a instituciones de lugares en
los que el phishing no haba sido un problema hasta ahora.
Angola y Mozambique, dos pases en lados opuestos del
frica Austral, no son lugares en los que uno se imagine
que el robo de informacin confidencial sea un negocio.
Mozambique, cuya renta per cpita es de unos 600USD,
est en vas de desarrollo y, pese a la abundancia de
recursos naturales, depende en gran medida de la ayuda
internacional. Angola, con una renta per cpita prxima
a los 6000 USD, est en una situacin mejor, pero ambos
pases son estadsticamente pobres. A ttulo comparativo, la renta media por cpita en todo el mundo es de
10 400 USD.
Los consumidores cada vez usan ms Internet para interactuar con las empresas y utilizar sus servicios. Por lo
tanto, es de esperar que los casos de phishing sigan aumentando y que, con el tiempo, los delincuentes tengan
an ms facilidades para atacar. Hasta las instituciones
de un pas tan pequeo y aislado como Butn, enclavado
en pleno Himalaya, han sufrido ataques de phishing, lo
que demuestra que nadie est a salvo.
Qu nos depara
el futuro?
Consejos y prcticas
recomendadas
Pese a las vulnerabilidades detectadas este ao, los protocolos SSL y TLS siguen siendo la
mejor forma de proteger a quienes visitan su sitio web y de garantizar la seguridad de los
datos que facilitan. De hecho, tras la alarma desatada por Heartbleed, muchas empresas
han empezado a contratar a desarrolladores especializados en SSL para mejorar el cdigo
y solucionar posibles errores. As que ahora las bibliotecas SSL estn ms controladas que
nunca y, adems, se han establecido prcticas recomendadas comunes para utilizarlas.
En 2014, los algoritmos de los certificados SSL se volvieron ms seguros porque Symantec y
otras autoridades de certificacin abandonaron las claves de 1024 bits y empezaron a utilizar
certificados SHA-2 de forma predeterminada.i
La impor
tancia de
utilizar
tecnologas
SSL ms
seguras
Microsoft y Google anunciaron que pronto dejaran de aceptar certificados SHA-1 que caducaran
despus del 31 de diciembre de 2015.ii Si an no ha migrado a SHA-2, Chrome mostrar una
advertencia de seguridad a quienes visiten su sitio web, y los certificados dejarn de funcionar
en Internet Explorer a partir del 1 de enero de 2017.
Symantec tambin est potenciando el uso del algoritmo ECC, mucho ms seguro que el
cifrado RSA. En este momento, los navegadores ms importantes para equipos de escritorio y
dispositivos mviles ya admiten los certificados ECC, que ofrecen tres ventajas principales:
1. Mayor seguridad. Las claves ECC de 256 bits son 10 000 veces ms difciles de descifrar que
las claves RSA de 2048 bits de uso estndar en el sector.iii Para descifrar el algoritmo mediante
un ataque de fuerza bruta, se necesitara mucho ms tiempo y una potencia de procesamiento
mucho mayor.
2. Mejor rendimiento. Anteriormente, muchas empresas tenan miedo a que los certificados
SSL ralentizaran el funcionamiento del sitio web y optaban por una adopcin parcial que ofreca
una proteccin muy deficiente. Un sitio web protegido con un certificado ECC requiere menos
potencia de procesamiento que otro que utilice un certificado RSA, lo que permite atender ms
conexiones y usuarios al mismo tiempo. En este momento, adoptar la tecnologa Always-On SSL
no solo es recomendable, sino que est al alcance de cualquier empresa
3. Perfect Forward Secrecy (PFS). Aunque la tecnologa PFS es compatible con certificados
basados en RSA y con los basados en el algoritmo ECC, su rendimiento es mejor con estos
ltimos. Pero qu importancia tiene esto? Si un sitio web carece de proteccin PFS, un hacker
que se apropie de sus claves privadas podra descifrar todos los datos intercambiados en el
pasado. Esto es lo que permita la vulnerabilidad Heartbleed en los sitios web afectados, lo que
dej clara la gravedad de este problema. Con la tecnologa PFS, alguien que robe o descifre las
claves privadas de los certificados SSL solo podr descifrar la informacin protegida con ellas
desde el momento del ataque, pero no la intercambiada con anterioridad.
En 2014 qued claro que la tecnologa SSL solo es segura si se adopta y mantiene como es debido.
Por tanto, es necesario:
Utilizar la tecnologa Always-On SSL. Proteja con certificados SSL todas las pginas de su sitio
web para que todas las interacciones entre el sitio web y el visitante se cifren y autentiquen.
Uso
adecuado
de la
tecnologa
SSL
Mantener actualizados los servidores. No basta con mantener al da las bibliotecas SSL del
servidor; toda actualizacin o revisin debe instalarse cuanto antes para reducir o eliminar las
vulnerabilidades que pretende corregir.
Mostrar distintivos de confianza conocidos (como el sello Norton Secured) en zonas bien
visibles de su sitio web para demostrar a los clientes que se toma en serio su seguridad.
Hacer anlisis peridicos. Vigile sus servidores web para detectar posibles vulnerabilidades o
infecciones con malware.
Asegurarse de que la configuracin del servidor est actualizada. Las versiones antiguas del
protocolo SSL (SSL2 y SSL3) no son seguras. Cercirese de que el sitio web no las admita y d
prioridad a las versiones ms recientes del protocolo TLS (TLS1.1 y TLS1.2). Compruebe si el
servidor est bien configurado con herramientas como SSL Toolbox de Symantec.iv
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/es/es/page.jsp?id=sha2-transition
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
iii
Para que sus sitios web y servidores estn ms protegidos este ao, guese por el sentido comn
y adopte los hbitos de seguridad que le recomendamos a continuacin.
Asegrese de que los empleados no abran archivos adjuntos de gente que no conozcan.
Conciencie
a sus
empleados
Aydeles a reconocer los peligros que acechan en las redes sociales. Explqueles que, si una
oferta parece falsa, seguramente lo sea; que la mayora de las estafas estn relacionadas
con noticias de actualidad; y que las pginas de inicio de sesin a las que conducen algunos
enlaces pueden ser una trampa.
Si un sitio web o aplicacin ofrecen autenticacin de dos factores, dgales que elijan siempre
esta opcin.
Pdales que usen contraseas distintas para cada cuenta de correo electrnico, aplicacin,
sitio web o servicio (sobre todo si estn relacionados con el trabajo).
Recurdeles que usen el sentido comn. No por tener un antivirus es menos grave visitar sitios
web dainos o de naturaleza dudosa.
Los atacantes utilizan tcnicas cada vez ms agresivas, avanzadas e implacables para lucrarse
en Internet, pero las empresas y los particulares tienen muchsimas maneras de protegerse.
Tiene dos
opciones:
laseguri
dad o la
vergenza
Hoy en da, una empresa que no utilice la tecnologa SSL o descuide la seguridad de su sitio web
se expone al escarnio pblico. Incluso puede acabar saliendo en HTTP Shaming, una pgina
creada por el ingeniero de software Tony Webster en la que se seala a los culpables.v
Proteger su sitio web con procedimientos y sistemas de seguridad eficaces es la clave para evitar
el descrdito y la ruina financiera. Tome nota y, en 2015, protjase con Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
PRXIMAMENTE
EL WSTR 2015 DE SYMANTEC COMPLETO
Y UNA INFOGRAFA CON LOS DATOS MS
IMPORTANTES
PERFIL DE SYMANTEC
Symantec Corporation (NASDAQ: SYMC) es una empresa especializada en proteccin
de la informacin cuyo objetivo es ayudar a particulares, empresas e instituciones
gubernamentales a aprovechar libremente las oportunidades que les brinda la
tecnologa, en cualquier momento y lugar. Symantec, fundada en abril de 1982, figura
en la lista Fortune 500, controla una de las mayores redes de inteligencia de datos del
mundo y comercializa soluciones lderes en materia de seguridad, copia de seguridad y
disponibilidad que facilitan el almacenamiento de informacin, su consulta y su uso
compartido. Cuenta con ms de 20 000 empleados en ms de 50 pases, y el 99 % de las
empresas de la lista Fortune 500 son clientes suyos. En el ejercicio fiscal de 2013, registr
una facturacin de 6 900 millones de dlares estadounidenses.
Visite www.symantec.es para obtener ms informacin o go.symantec.com/socialmedia
para conectarse con nosotros en las redes sociales.
Ms informacin
Sitio web global de Symantec: http://www.symantec.com/
Informe sobre las amenazas para la seguridad en Internet (ISTR) y otros recursos tiles de Symantec:
http://www.symantec.com/de/de/threatreport/
Symantec Security Response: http://www.symantec.com/de/de/security_response/
Buscador de amenazas de Norton: http://de.norton.com/security_response/threatexplorer/
ndice de cibercrimen de Norton: http://de.norton.com/cybercrimeindex/
Symantec Espaa
Symantec Spain S.L.
Parque Empresarial La Finca Somosaguas
Paseo del Club Deportivo, Edificio 13, oficina D1, 28223
Pozuelo de Alarcn, Madrid, Espaa
www.symantec.es/ssl
2015 Symantec Corporation. Reservados todos los derechos. Symantec, el logotipo de Symantec, el logotipo de la marca de
comprobacin, Norton Secured y el logotipo de Norton Secured son marcas comerciales o marcas comerciales registradas en
los Estados Unidos y en otros pases por Symantec Corporation o sus filiales. Los dems nombres pueden ser marcas comerciales de sus respectivos propietarios.