9 especialistas en seguridad informática hablan sobre riesgos y medidas de prevención

Qué es un malware, un keylogger, un ataque de phishing y un ransomware. Los diferentes ciberdelitos y los anzuelos que más se usan para engañar a los usuarios.

Guardar

Ingeniería social, hackeos y robos de credenciales. Proteger la información y saber cómo moverse en el océano digital se ha vuelto un gran desafío. En esta nota hablamos con 9 especialistas de seguridad informática que responden pregunta sobre riesgos y medidas de prevención para proteger tus datos y reducir las chances de caer en manos de cibercriminales.

1. Sheila Berta, especialista en ciberseguridad y directora de investigación en Dreamlab Technologies

Sheila Berta, especialista en ciberseguridad.
Sheila Berta, especialista en ciberseguridad.

-¿Qué medidas de precaución tomás como usuaria en tus dispositivos?

-Uso el sentido común ante todo: no instalo cosas en mi máquina o smartphone de las cuales el origen no es confiable. Controlo los permisos de las aplicaciones que uso, no le doy permiso de usar la cámara o el micrófono a una app que claramente no lo necesita. El hacer click en todo “si, si, ok, ok, acepto” sin mirar y entrar a cualquier link o descargar y ejecutar todo es el error de la mayoría de la gente. Usar el sentido común y tener una paranoia sana evita caer en todos los ataques masivos o más comunes.

-¿Qué opinás de las VPN?

-Respecto de las VPN, sí, es muy recomendable utilizarlas. Tener configurada una VPN de confianza en la computadora y el teléfono nos añade una capa más de protección a nuestras comunicaciones por internet. Es una medida muy recomendable de aplicar en todo momento, e indispensable si solemos conectarnos a wifi abiertas o desconocidas.

2. Martín Oettel, consultor en ciberseguridad y fundador de Pasando Data

Para evitar ser víctimas de un ataque de hombre en el medio debemos verificar que nuestra comunicaciones estén encriptadas, sugiere Martín Oettel.
Para evitar ser víctimas de un ataque de hombre en el medio debemos verificar que nuestra comunicaciones estén encriptadas, sugiere Martín Oettel.

-¿Qué es un ataque de “hombre en el medio”?

-Un ataque Hombre en el Medio, Man in the Middle es un tipo de ataque que consiste en la interceptación de la comunicación entre dos o más dispositivos. Se realiza de forma silenciosa, con el objetivo de que los usuarios no perciban la presencia del atacante. Lo que busca esta persona es poder robar información confidencial como usuarios y contraseñas, tarjetas de crédito, etc. ya que se encuentra en el medio y captura todo el tráfico que estos dispositivos se envían entre sí.

-¿Qué medidas de precaución se pueden tomar?

-Para evitar ser víctima debemos verificar que nuestra comunicaciones estén encriptadas: usar siempre HTTPS al navegar por internet y en apps de comunicación, comprobar que la misma use cifrado punto a punto como WhatsApp/Signal o Cliente-Servidor como en el caso de Telegram. Hay que evitar usar medios de comunicación que no encripten como es SMS.

3. Margarita Abella Hernández, especialista en Educación a Usuarios en Seguridad Digital de Google.

"Fomentamos entre los usuarios el uso de la autenticación de dos factores, un proceso de identificación que combina: algo que sabes (tu contraseña) y algo que tienes (clave o código de seguridad)", subraya Margarita Abella Hernández, especialista en Educación a Usuarios en Seguridad Digital de Google.
"Fomentamos entre los usuarios el uso de la autenticación de dos factores, un proceso de identificación que combina: algo que sabes (tu contraseña) y algo que tienes (clave o código de seguridad)", subraya Margarita Abella Hernández, especialista en Educación a Usuarios en Seguridad Digital de Google.

-¿Qué medida de precaución hay que tomar para evitar caer en casos de phishing?

-El phishing es un tipo de ataque que existe desde hace muchísimos años. Este tipo de estafa siempre se hace pasar por una fuente legítima y esto es lo que más confunde a los usuarios. Por ejemplo, los mails o sitios web de phishing pueden pedir nombres de usuario y contraseñas, incluidos cambios de claves; números de Seguridad Social; cuentas bancarias; números de tarjetas de crédito, el apellido de tu madre o tu fecha de nacimiento.

Como primer medida práctica, hay que mirar bien el remitente porque podría ser muy similar al de un amigo o empresa que conozcamos aunque con una letra, número o símbolo diferente. Desde Google trabajamos intensamente para minimizar esta amenaza y por eso fomentamos entre los usuarios el uso de la autenticación de dos factores, un proceso de identificación que combina: algo que sabes (tu contraseña) y algo que tienes (clave o código de seguridad). Entonces, incluso si un hacker tiene tu contraseña, no podrá acceder a tu cuenta sin la clave de seguridad o el código y viceversa.

Otra de las cosas importantes es denunciar los correos. Gmail identifica el correo sospechoso o que podría ser de suplantación de identidad y lo coloca en Spam o le muestra al usuario una advertencia. Si un correo no se ha marcado correctamente, es importante que los usuarios los denuncien por suplantación de identidad o los marquen como spam ya que con esta acción Google recibe una copia de este mail para analizarla y proteger a sus usuarios.

Google bloquea más del 99.9% de los intentos de phishing, pero recomendamos a los usuarios siempre estar siempre en estado de alerta porque los atacantes utilizan distintos recursos y es muy fácil caer en este tipo de engaños. En caso de que un usuario haya sido víctima de una suplantación y su cuenta haya sido hackeada y no pueda acceder a ella, puede ver estas recomendaciones y conocer cómo proteger su cuenta.

4. Romana Linkeová, investigadora de malware en Avast

-¿Cuáles fueron los tipos de malware que más crecieron durante el último año?

-Este año, observamos un aumento en los troyanos bancarios, malware que intenta obtener acceso a una cuenta bancaria en línea y a la información almacenada o procesada a través de la banca en línea. También hemos visto más RAT (herramientas de acceso remoto) en comparación con el año pasado. Las RAT son herramientas que los cibercriminales utilizan para obtener acceso remoto a un dispositivo, sin el conocimiento de la víctima. Los ciberdelincuentes usan RAT para espiar las actividades de los usuarios sin que el usuario note nada, e incluso pueden alterar los archivos de sus víctimas.

Las RAT son herramientas que los cibercriminales utilizan para obtener acceso remoto a un dispositivo, sin el conocimiento de la víctima (Foto: Check Point Software)
Las RAT son herramientas que los cibercriminales utilizan para obtener acceso remoto a un dispositivo, sin el conocimiento de la víctima (Foto: Check Point Software)

-¿Qué medidas de prevención se pueden tener en cuenta para evitar esto?

-Tanto los troyanos bancarios como las RAT a menudo se distribuyen junto con otro software, o mediante estafas de phishing, por lo que es importante que los usuarios solo descarguen archivos de fuentes confiables y verifiquen qué archivos están descargando, antes de que comience la descarga. Las personas también deben evitar hacer clic en los enlaces y archivos adjuntos que se incluyen en los correos electrónicos, y verificar la dirección de correo electrónico del remitente para asegurarse de que el correo electrónico realmente provenga de una fuente confiable.

Los atacantes también suelen explotar vulnerabilidades, que se pueden encontrar en software obsoleto y al explotar software obsoleto pueden infectar dispositivos con malware, por lo que es importante actualizar el software tan pronto como esté disponible una actualización. Por último, pero no menos importante, las personas deben descargar antivirus en todos sus dispositivos, ya que el antivirus actúa como una red de seguridad, protegiendo incluso a los usuarios más cautelosos de la descarga accidental de malware.

5. Luis Lubeck, especialista en Seguridad Informática de Eset Latam

Luis Lubeck especialista en ciberseguridad.
Luis Lubeck especialista en ciberseguridad.

-¿Qué medidas de precaución hay que tomar para securizar la red wifi?

-Teniendo en cuanta que una persona conectada al router wifi de una red podría crear, borrar o acceder a archivos almacenados en carpetas compartidas; espiar la comunicación en relación a los datos transmitidos mediante la navegación; o acceder fácilmente al router, sobre todo si aún posee la clave por defecto, encontramos que las mejores recomendaciones para asegurar el router wifi son:

Modificar la contraseña

Muchos usuarios aún utilizan la contraseña que viene por defecto en sus routers, tales como “contraseña” o “1234”. En este sentido, la primera de las recomendaciones es modificar el nombre de usuario y crear una contraseña nueva y robusta. Para ello, toma nota de las recomendaciones sobre cómo crear una buena contraseña (longitud de caracteres, uso de mayúsculas, símbolos, etc).

Crear redes separadas

Se recomienda aprovechar la función que permite crear redes separadas que viene en la mayoría de los routers modernos (vlans). Esta utilidad lo que hace es posibilitar la creación de diferentes redes que serán utilizadas para distintos propósitos, por ejemplo: una red para las cámaras de vigilancia, otra para dispositivos de almacenamiento y una tercera para la computadora o el celular. De esta manera, en caso de ser víctima de una amenaza los equipos más importantes estarán protegidos.

Deshabilitar la administración remota

A menos que realmente se necesite, deshabilitar la administración remota. Por otra parte, deshabilitar las funciones que no estén en uso.

Revisar qué dispositivos están conectados a tu red

Es importante que se pueda averiguar cuántos dispositivos están conectados a la red, para que se pueda detectar alguna presencia extraña. ¿Cómo se hace? Muchos routers permiten identificar los equipos conectados y ofrecen la opción de crear nombres personalizados para cada dispositivo. En caso de que el router lo permita, se aconseja tomarse un tiempo para identificar cada uno de estos. Luego, de tanto en tanto, se puede revisar qué dispositivos están conectados a la red y corroborar rápidamente si está todo en orden o no.

Como primera medida de seguridad hay que cambiar la contraseña del router que viene por defecto.
Como primera medida de seguridad hay que cambiar la contraseña del router que viene por defecto.

Actualizar el firmware

Todo hardware trabaja con un sistema operativo, más conocido como firmware, que necesita ser actualizado de forma manual para estar al día de las correcciones de posibles bugs y vulnerabilidades.

-¿Cómo se debe elegir un router y cómo es el proceso de configuración?

-En general se recomienda analizar y comparar entre distintos routers según las necesidades del usuario (capacidad, potencia, interconexiones, etc). También es recomendable realizar una búsqueda en línea de fallas de seguridad relacionadas a los modelos que se están evaluando. Hoy se encuentra muchísima información sobre qué equipos tienen vulnerabilidades detectadas, y qué nivel de riesgo esto implica.

-Respecto al proceso de configuración, suele ser a través del navegador con una interfaz gráfica que se encuentra usualmente en la url 192.168.1.1, es más que recomendable configurar el router previo a conectarlo a internet, con la finalidad de preparar todo justamente antes de estar conectado al mundo.

(Nota del redacción: cabe recordar que, en muchos casos, los proveedores de servicios de internet y telefonía son los que proveen el router y también ofrecen un ingreso a la configuración desde la interfaz de su propia página web, así que en ese caso habrá que iniciar allí sesión con usuario y contraseña para poder configurar el equipo)

6. Carlos Aramburu, director de McAfee

Carlos Aramburu explica que se muy difícil identificar un keylogger.
Carlos Aramburu explica que se muy difícil identificar un keylogger.

-¿Qué es un keylogger?

-Un keylogger (abreviatura de keystroke y logger) es una versión de spyware o software de monitoreo que registra cada una de las teclas presionadas en un teclado, generalmente de manera encubierta.

El objetivo es claro: a través del rastreo y registro de teclas presionadas, el delincuente puede interceptar y leer contraseñas y otra información confidencial ingresada a través del teclado, obtener códigos PIN, números de cuenta o usuarios de home banking, contraseñas de correo electrónico. Con esta información pueden acceder a cuentas bancarias, robar identidades, utilizarla para extorsión a familiares y amigos o simplemente venderla en la Deep web.

-¿Cómo se propaga y detecta?

-Generalmente, se propaga de la misma manera que otros programas maliciosos, instalándose en su sistema cuando abre un archivo adjunto al correo electrónico, mensaje de texto, redes P2P, mensaje instantáneo o redes sociales. Los keyloggers también se pueden instalar simplemente visitando un sitio web si ese sitio está infectado.

Son difíciles de detectar. Algunos indicios pueden ser un rendimiento más lento cuando se navega por la web, el mouse o las pulsaciones de teclas con demora, diferencias entre lo que se escribe y lo que se ve en la pantalla y errores al cargar gráficos o páginas web pueden ser síntomas de infección.

-¿Cómo protegerse?

-Las medidas que debemos tomar para protegerse de un keylogger son las mismas que para otras amenazas de la web: siempre tener actualizado el sistema operativo, contar con un antivirus que debe tener un “firewall” dado que normalmente este tipo de malware necesita comunicarse con un servidor externo para mandar la información. Si el firewall detecta este intento de conexión y nos permite bloquearlo, podremos evitar que nuestros datos se envíen a los piratas informáticos y, aunque estemos infectados por el keylogger, éste no servirá de mucho.

7. Laura Vaillard, Gerenta de marketing y comunicación en la empresa de seguridad informática VU

"Hay programas que utilizamos que exponen servicios en nuestras interfaces de red, si la red permite la interacción entre usuarios", dice Laura Vaillard.
"Hay programas que utilizamos que exponen servicios en nuestras interfaces de red, si la red permite la interacción entre usuarios", dice Laura Vaillard.

-¿Por qué es riesgoso conectarse a una red wifi pública?

-Una de las mayores amenazas es que los atacantes pueden interceptar tráfico entre su dispositivo y el router, en especial aquellas comunicaciones que no están correctamente cifradas. Es decir que puede “leer” la información que las personas intercambian en redes no seguras.

Por otro lado, existen otros riesgos al estar conectados en redes públicas que no dependen del cifrado de las comunicaciones. Por ejemplo, hay programas que utilizamos que exponen servicios en nuestras interfaces de red, si la red permite la interacción entre usuarios (es una red no insolada) un atacante puede comunicarse con esos servicios y potencialmente ganar control de los mismos.

-¿Si la wifi es pública necesariamente significa que no tiene un cifrado robusto?

-No necesariamente, pero en la mayoría de los casos es así. Por ejemplo, existen redes públicas que te piden validar un usuario y contraseña, para cifrar el contenido con protocolos de seguridad como WPA2. Es importante entender que este tipo de cifrado no protege nuestras comunicaciones en caso de que el atacante tenga control sobre el router.

8. Gonzalo García, vicepresidente de Fortinet para Sudamérica

"El método más común para conseguir que la víctima ejecute el software malicioso es el email phising, es decir recibir un correo electrónico engañoso", dice Gonzalo García.
"El método más común para conseguir que la víctima ejecute el software malicioso es el email phising, es decir recibir un correo electrónico engañoso", dice Gonzalo García.

-¿Qué es un ransomware?

-Un ransomware es un software malicioso cuyo objetivo es que la víctima se vea imposibilitada de acceder a sus datos, y se le exige un pago a modo de rescate para que recibir la información nuevamente. Usualmente el ransomware cifra la información a la que accede mediante el dispositivo vulnerado, y el atacante exige la concreción del pago del rescate para entregar la clave para descifrar la información. A diferencia de otros softwares maliciosos, el ciberdelincuente tiene como fin la motivación económica. Las criptomonedas son el medio de pago más habitual exigido por los criminales. Las posibles víctimas son tanto usuarios como empresas y organismos de gobierno. El monto solicitado por el rescate varía en función de la víctima. Consideramos que WannaCry (2017) fue el peor ransomware de los últimos tiempos. Esto se debe al impacto en la cantidad de dispositivos secuestrados, que se estima que fueron más de 200.000, y por haber sido de escala mundial, donde se calcula que 150 países fueron afectados, incluyendo a Argentina.

-¿Cómo se dan estos ataques?

-El método más común para conseguir que la víctima ejecute el software malicioso es el email phising, es decir recibir un correo electrónico engañoso que te induce a hacer clic en un vínculo que deriva en la ejecución del ransomware. También existe el phishing mediante enlaces en publicaciones de redes sociales o sitios web.

-¿Cómo se puede prevenir?

-Las recomendaciones para prevenir el ransomware son: realizar respaldo de los datos con frecuencia, entrenar a las personas en hábitos seguros de uso de tecnología, mantener actualizados los dispositivos y, por último, de ser posible por el tipo de dispositivo, instalar antivirus y filtrado de web.

9. Andrea Fernández, gerente general para América del Sur de Kaspersky.

"Hoy, es muy común que un rootkit tenga la capacidad de inyectar un código en un proceso legítimo, y use luego la memoria de ese proceso para realizar el trabajo sucio", explica Andrea Fernández.
"Hoy, es muy común que un rootkit tenga la capacidad de inyectar un código en un proceso legítimo, y use luego la memoria de ese proceso para realizar el trabajo sucio", explica Andrea Fernández.

-¿Qué es un rootkit?

-Es un programa o colección de software para ocultar ciertos objetos o actividades en el sistema. Como regla general, la funcionalidad de ellos es esconder la actividad maliciosa, no sólo de las herramientas con monitoreo de sistema incorporado, sino también de los sensores de seguridad y firewall.

-¿Cómo se instala?

-Es importante aclarar que los rootkits por sí mismos no causan daños directos a la computadora. En la abrumadora mayoría de los casos, se usan junto con otro malware para evitar la detección y maximizar el tiempo de permanencia en la computadora de la víctima durante meses o hasta inclusive años.

Para ser invisible, el malware trata de integrar su código en un lugar muy profundo de la estructura del sistema operativo, e intercepta todas las peticiones estándar para lectura de archivos, obtener la lista de procesos en ejecución, etc. Y el rootkit procesa dichas peticiones y remueve cualquier mención de archivos, procesos y otros rastros relacionados a su actividad. Hoy, es muy común que un rootkit tenga la capacidad de inyectar un código en un proceso legítimo, y use luego la memoria de ese proceso para realizar el trabajo sucio.

-¿Qué medidas de precaución hay que tener en cuenta para evitar este tipo de ataques?

-Primero que nada, para detectar cualquier actividad sospechosa, hay que contar con una solución de seguridad de alta calidad para monitorear los archivos críticos del sistema en un nivel bajo para atrapar al malware que trate de modificar las estructuras del disco duro. Es posible encontrar nuevos rootkits, aún desconocidos, sólo comparando la actividad de la computadora como se ve al nivel del sistema operativo con resultados de monitoreo a niveles bajos. Como segundo punto, es crucial que la solución tenga una protección propia suficiente, para que el malware no pueda desactivarla. Y por último, pero no menos importante, un producto de seguridad debe remover el 100% de los componentes del rootkit, inclusive aquellos que hayan sido inyectados en archivos críticos del sistema operativo. Es imposible resolver este problema simplemente eliminando manualmente archivos.

MÁS SOBRE ESTE TEMA:

Guardar