Ciudad de México. Asegurar una validación continua de identidad y proteger la integridad de las transacciones dejará de ser una buena práctica para convertirse en una necesidad crítica para la seguridad financiera del futuro.

Ciudad de México.  Según un estudio de 2024, en promedio un usuario de internet tiene unas 168 contraseñas para sus cuentas personales, un aumento del 68% con respecto a cuatro años antes. Dados los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría de los usuarios utilizan gestores de contraseñas que permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de las cuentas en línea. En este contexto, ESET, compañía líder en detección proactiva de amenazas, advierte que los mismos se han convertido en un objetivo popular para los ciberdelincuentes y comparte seis riesgos potenciales y algunas ideas para mitigarlos.

Con acceso a las credenciales almacenadas en un gestor de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad, o vender accesos/contraseñas a otros. Por eso siempre están buscando nuevas formas de atacar.

ESET comparte 6 problemas a los que prestar atención especialmente:

1. Compromiso de la contraseña maestra: Si los ciberdelincuentes consiguen hacerse de esa contraseña maestra, obtendrán un acceso total a la cuenta. Por ejemplo, pueden obtenerla mediante un ataque de “fuerza bruta” en el que utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente, a través de la explotación de vulnerabilidades del software de gestión de contraseñas, o vía páginas de phishing con las que engañan a los usuarios para que entreguen su información.

2. Anuncios de phishing/estafa: Los actores de amenazas publican anuncios maliciosos en búsquedas de Google diseñados para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta. Estos anuncios parecen legítimos, y enlazan a páginas falsas con dominios que intentan falsificar a la auténtica Por ejemplo, un dominio puede ser “the1password[.]com” en lugar del original “1password.com, o “appbitwarden[.com” en lugar de “bitwarden.com”. Al hacer clic en una página de este tipo, se accede a una página de inicio de sesión de aspecto legítimo diseñada para robar todos los inicios de sesión importantes del gestor de contraseñas.

3. Malware para robar contraseñas: En el ingenio que aplican los ciberdelincuentes, algunos han desarrollado malware para robar credenciales de los gestores de contraseñas de las víctimas. Por ejemplo, el equipo de investigación de ESET descubrió recientemente un intento de este tipo por parte de una campaña patrocinada por el estado norcoreano apodada DeceptiveDevelopment, el malware InvisibleFerret que incluía un comando backdoor capaz de filtrar datos tanto de extensiones de navegador como de gestores de contraseñas a través de Telegram y FTP. Entre los gestores de contraseñas atacados se encontraban 1Password y Dashlane. En este caso, el malware estaba oculto en archivos descargados por la víctima como parte de un elaborado proceso de falsa entrevista de trabajo. Pero no hay razón por la que un código malicioso con propiedades similares no pueda propagarse de otras formas, como por correo electrónico, mensajes de texto o redes sociales.

4. La brecha de un proveedor de gestores de contraseñas: Los proveedores de gestores de contraseñas saben que son uno de los principales objetivos de las amenazas. Por eso dedican mucho tiempo y recursos a hacer que sus entornos informáticos sean lo más seguros posible. En 2022, ladrones digitales comprometieron el equipo de un ingeniero de LastPass para acceder al entorno de desarrollo de la empresa. Allí robaron código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a las copias de seguridad de los datos de los clientes.

Esto incluía información personal y de cuentas de clientes, que podría utilizarse para ataques de phishing posteriores. Una lista de todas las URL de los sitios web de sus almacenes. Y los nombres de usuario y contraseñas de todos los clientes. Aunque estaban cifrados, el pirata informático pudo “forzarlos”. Se cree que esto dio lugar a un robo masivo de criptomonedas por valor de 150 millones de dólares.

5. Aplicaciones falsas de gestión de contraseñas: A veces, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas para intentar robar contraseñas y propagar malware a través de aplicaciones falsas. Incluso la App Store de Apple, normalmente segura, permitió el año pasado que los usuarios descargaran una de estas aplicaciones maliciosas de gestión de contraseñas. Estas amenazas suelen estar diseñadas para robar la importantísima contraseña maestra o descargar malware que roba información en el dispositivo del usuario.

6. Explotación de vulnerabilidades: Los gestores de contraseñas no son más que software, y al estar escrito (en su mayoría) por humanos inevitablemente contiene vulnerabilidades. Si un ciberdelincuente se las arregla para encontrar y explotar uno de estos errores, puede ser capaz de obtener credenciales de su almacén de contraseñas. También podrían aprovecharse de las vulnerabilidades de los complementos de los gestores de contraseñas de los navegadores web para robar credenciales e incluso códigos de autenticación de dos factores (2FA). O podrían atacar los sistemas operativos de los dispositivos para hacer lo mismo. Cuantos más dispositivos tengan descargado el gestor de contraseñas, más oportunidades tendrán de hacerlo.

Para protegerse de las amenazas mencionadas, desde ESET recomiendan tener en cuenta los siguientes puntos:

Piensa en una frase de contraseña maestra segura, larga y única. Piense en cuatro palabras memorables separadas por guiones. Así será más difícil que un atacante pueda “forzarla”.

Aumenta siempre la seguridad de tus cuentas activando el 2FA. Esto significa que aunque los piratas informáticos se hagan con tus contraseñas, no podrán acceder a tus cuentas sin el segundo factor.
Mantenga actualizados los navegadores, los gestores de contraseñas y los sistemas operativos para que tengan las versiones más seguras. Así se reducen las posibilidades de explotar vulnerabilidades.
Descarga únicamente aplicaciones de una tienda de aplicaciones legítima (Google Play, App Store) y comprueba el desarrollador y la calificación de la aplicación antes de hacerlo, por si se tratara de aplicaciones falsas o maliciosas.

Elige solo un gestor de contraseñas de un proveedor de confianza. Compara precios hasta que encuentres uno con el que te sientas cómodo.
Asegúrate de instalar software de seguridad de un proveedor de confianza en todos los dispositivos, para mitigar la amenaza de ataques diseñados para robar contraseñas directamente de tu gestor de contraseñas.

“Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Redacción C21

Ciudad de México. La inteligencia artificial y las redes sociales están impulsando la fiebre de compras navideñas de este año, pero una nueva investigación de Norton revela que los atajos, acciones rápidas para ahorrar tiempo o dinero, que tanto gustan a los compradores son precisamente los que aprovechan los estafadores.

Ciudad de México. De acuerdo con Kushki, los adquirentes no bancarios tienen la capacidad de desarrollar modelos de gestión de riesgo más dinámicos y personalizables, así como implementar tecnologías emergentes, como la tokenización o la inteligencia artificial aplicada al monitoreo de transacciones.

Ciudad de México.  En la actualidad, el sector manufacturero y las industrias críticas como transporte, construcción y servicios públicos enfrentan una creciente presión: digitalizar sus operaciones mientras contienen el aumento de ciberataques que ponen en riesgo la productividad, la seguridad y la estabilidad de las cadenas de suministro.

Ciudad de México. En 2024, según los datos del Internet Crime Center, del FBI, los estadounidenses mayores de 60 años reportaron pérdidas de más de 4.9 mil millones de dólares en estafas online, lo que representa un incremento del 43% respecto al año anterior, y una quintuplicación desde 2020. En promedio, las pérdidas en fraudes a la población adulta mayor fueron de 83 mil dólares. Detrás de estos números, hay personas y familias enteras cuyo bienestar y seguridad financiera se ven alteradas, y ven cómo se evaporan sus ahorros de años de un momento a otro. ESET, compañía líder en detección proactiva de amenazas, asegura que una protección eficaz combina la comunicación continua con la familia, controles humanos y técnicos, y un plan de reparación claro en casi de que algo salga mal.

Ciudad de México.  En julio de 2024, el proveedor de ciberseguridad KnowBe4 comenzó a observar una actividad sospechosa relacionada con un nuevo empleado que comenzó a manipular y transferir archivos potencialmente dañinos, e intentó ejecutar software no autorizado. Posteriormente, se descubrió que era un trabajador norcoreano que había engañado al equipo de recursos humanos de la empresa para conseguir un empleo a distancia. En total, consiguió superar cuatro entrevistas por videoconferencia, así como una comprobación de antecedentes y previa a la contratación. ESET, compañía líder en detección proactiva de amenazas, analiza este engaño y advierte que ninguna organización es inmune al riesgo de contratar inadvertidamente a un saboteador.

Ciudad de México. El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una vulnerabilidad de zero-day (una nueva vulnerabilidad previamente desconocida) en WinRAR que está siendo explotada bajo la apariencia de documentos de solicitud de empleo. Esta campaña está siendo dirigida por el grupo RomCom, alineado con Rusia, y está dirigida a empresas financieras, de fabricación, defensa y logística de Europa y Canadá.

Ciudad de México. Recientemente se ha identificado un incremento en mensajes fraudulentos relacionados con supuestos préstamos otorgados por instituciones gubernamentales. Esta campaña ha circulado desde principios de año cuando se lanzó el programa oficial del gobierno denominado “Préstamo Bienestar 2025”. ESET, compañía líder en detección proactiva de amenazas, explica cómo operan este tipo de engaños que suplantan a instituciones oficiales para estafar a la población mexicana.

Ciudad de México. Múltiples grupos de ransomware están compartiendo y adaptando una herramienta avanzada capaz de desactivar soluciones de Endpoint Detection and Response (EDR) y antivirus, lo que les permite operar sin ser detectados y lanzar ciberataques con mayor efectividad, según reportaron investigadores de Sophos.