El informe de Check Point Software muestra la consolidación del ransomware y su evolución a un ecosistema mucho más fragmentado. Los ciberataques contra Blockchain continuarán y el Metaverso sufrirá los primeros impactos. Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su informe “Cyber Attack Trends: 2022 Mid-Year Report” en el que destaca cómo los ciberataques se han afianzado como un arma a nivel estatal, incluyendo el nuevo método de ransomware “Country Extortion” (extorsión de países), el hacktivismo de Estado, y la expansión del ransomware como la amenaza número uno.

El aumento del ransomware utilizado en los ataques a nivel de Estado-Nación para obtener beneficios financieros y sociales aparece en el informe junto con el aumento de las amenazas a la cadena de suministro en la nube.

Las estadísticas actualizadas sobre las ciberamenazas de la industria y de la región, así como las predicciones para lo que queda de 2022, incluido un análisis de la respuesta a los incidentes que explora el ciclo de vida completo de un ciberataque, presentan una visión integrada de cómo han provocado grandes trastornos, causando un daño real a la vida cívica y cibernética de la ciudadanía en 2022.

“La guerra en Ucrania ha dominado los titulares en la primera mitad de 2022 y solo podemos esperar que llegue pronto a un fin pacífico”, explica Maya Horowitz, vicepresidenta de investigación de Check Point Software. “Su impacto en el ciberespacio ha sido dramático tanto en alcance como en escala, y hemos visto enormes aumentos en las ofensivas contra organizaciones en todos los sectores y países este año. Desgraciadamente, esto no hará más que empeorar, sobre todo porque el ransomware es ahora la principal amenaza para las empresas. Sin embargo, con la experiencia, la estrategia y las soluciones de ciberseguridad adecuadas, las compañías podrán llegar a evitar que estos ataques se produzcan”.

Entre las principales predicciones destacadas para el segundo semestre en el informe se encuentran:

• El ransomware se convertirá en un ecosistema mucho más fragmentado: mientras que los grupos de ciberdelincuentes han mejorado su estructura y operan como empresas normales, con objetivos fijos que atacar… el ejemplo del grupo de ransomware Conti les ha hecho aprender la lección, ya que su tamaño y su poder atrajeron demasiada atención, lo que provocó su caída. En el futuro, parece que se crearán muchos núcleos pequeños y medianos, en lugar de unos pocos grandes, para ocultarse con mayor eficacia.

• Cadenas de infección por correo electrónico cada vez más complejas: debido al bloqueo por defecto de las macros de Internet en Microsoft Office, las familias de malware más sofisticadas acelerarán el desarrollo de nuevas cadenas de infección, con diferentes tipos de archivos protegidos por contraseña para evitar su detección, a medida que aumentan los avanzados ataques de ingeniería social.

• El hacktivismo seguirá evolucionando: los grupos hacktivistas continuarán alineando sus ataques con la agenda del Estado nación que hayan elegido, sobre todo porque la guerra entre Rusia y Ucrania sigue su curso.

• Ataques a las redes descentralizadas de Blockchain con previsión de primeros impactos en el Metaverso: con incidentes importantes relacionados con las plataformas de Blockchain, como la vulnerabilidad del mercado Rarible o la de ApeCoin Airdrop, se espera que se produzcan constantes esfuerzos por parte de los ciberdelincuentes para quebrantar y secuestrar criptoactivos. Además, se prevé que se produzcan las primeras agresiones en el Metaverso utilizando las vulnerabilidades de los smart contracts.

El informe “Cyber Attack Trends: 2022 Mid-Year Report” ofrece una visión detallada del panorama de las ciberamenazas. Estas conclusiones se basan en datos extraídos de ThreatCloud Intelligence de Check Point Software entre enero y junio de 2022, destacando las tácticas clave que los ciberdelincuentes están utilizando para atacar a las empresas.

Hoy en día son cada vez más los objetos de una casa que cuentan con conexión a internet, concretamente se estima que en el mundo hay más de 22 billones de dispositivos de este tipo. La hiperconectividad en el hogar ofrece innumerables beneficios, pero que también aumenta los potenciales puntos de ataque disponibles para los ciberdelincuentes por lo que hay que extremar las precauciones y proteger todo lo que nos rodea. Por este motivo, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, alerta sobre los 4 objetos más susceptibles de sufrir un hackeo con el objetivo de espiar a los habitantes de una casa y aporta las claves para protegerse de estos intrusos invisibles.
“El teléfono móvil, la Smart TV, los juguetes con los que se entretienen los más pequeños…la cantidad de productos que incorporan cámara y/o micrófono crece cada día, un hecho que puede convertirse en un gran peligro si, además, están conectados a internet y no cuentan con las medidas de seguridad necesarias”, señala Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Teniendo en cuenta la situación actual de aumento de contagios y de que las personas están más en casa en estos días, no es de extrañar que los ciberdelincuentes estén centrando sus esfuerzos en buscar posibles brechas de seguridad en estos dispositivos para espiar a los usuarios y recopilar una gran cantidad de información sensible mientras están en sus domicilios”, añade Ivonne Pedraza.
La lista de dispositivos que pueden ser utilizados por los cibercriminales para espiar a los habitantes de una casa son:
• Televisión: la mayoría de los televisores que se encuentran en el mercado no sólo incorporan funcionalidades de conexión a internet, sino que también cuentan con cámara y micrófono para que, a través de ellos, se puedan efectuar videollamadas o emitir comandos de voz que permitan al usuario encender la televisión o cambiar de canal sin necesidad de tocar el mando a distancia. Es importante tener presente que estas herramientas pueden escuchar o ver todo lo que se dice o hace en la estancia donde se encuentran, por lo que un elemento aparentemente inocente puede ser utilizado para inmiscuirse en nuestro ámbito privado. La mejor manera de evitar estos riesgos es desactivar o, al menos, restringir la autorización de estas aplicaciones. Otra posibilidad es la de tapar la cámara mientras no se esté usando.
• Ordenador: tanto los portátiles como los ordenadores de sobremesa son dispositivos que guardan infinidad de datos, documentos y fotografías del usuario. De hecho, como consecuencia del teletrabajo, en estos momentos es muy común que también almacenen datos corporativos, una información muy suculenta para los ciberdelincuentes. Estos dispositivos cuentan tanto con un micrófono, como con una cámara, funciones que si no se desactivan espiarán aquello que digamos o que podrían ser utilizadas por terceros para obtener un beneficio económico. Tapar la cámara o restringir las autorizaciones del micrófono son medidas importantes a tomar. Asimismo, es clave implementar herramientas de seguridad que analicen el estado del software, las aplicaciones y los documentos con el objetivo de detectar software malicioso en el equipo.
• Teléfono móvil: si hay un dispositivo al que se le ha acusado de entrometerse en la vida privada de las personas, ese es el teléfono móvil. La cantidad de funcionalidades que incorporan les permite conocer nuestra ubicación o estado de salud en todo momento, pasando por datos personales y credenciales bancarias. Debemos tener cuidado al descargar aplicaciones (sólo hacerlo de mercados oficiales) y revisar los permisos que se conceden para evitar que nos espíen. Asimismo, es fundamental contar con herramientas de seguridad como SandBlast Mobile, una solución de defensa contra amenazas móviles que protege los dispositivos frente a ataques móviles avanzados.
• Juguete: muchos de los juguetes que les gustan a las niñas y niños de hoy en día son tecnológicos, como drones, robots, aviones, videoconsolas, etc. que cuentan con una conexión a internet. Sin embargo, otros productos más tradicionales como peluches o muñecos, se han actualizado e incorporan la posibilidad de descargar una aplicación móvil para acceder a nuevas funcionalidades. Sin embargo, esto puede suponer un riesgo para la privacidad de los más pequeños. De hecho, en algunos países europeos se ha llegado a prohibir algunas muñecas por espiar y extraer datos sensibles de menores de edad.
“Hay infinidad de dispositivos conectados a internet que nos hacen la vida más sencilla, pero muchas veces desconocemos muchas de las autorizaciones que damos a sus herramientas o, peor aún, sus posibles vulnerabilidades de las que se puede aprovechar un ciberdelincuente. Atendiendo únicamente al aspecto de la privacidad, el número de estos aparatos electrónicos que cuentan con cámara web o micrófono en los últimos años ha ido creciendo, desde teléfonos móviles y tablets, pasando por las mencionadas Smart TV hasta llegar a las videoconsolas y juguetes más tradicionales. Desde Check Point Software creemos que aprender a proteger todos estos dispositivos, las autorizaciones que proporcionamos o conocer los riesgos que corren, son herramientas primordiales para no ser víctimas de los ciberdelincuentes", concluye Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Hoy se conmemora el Día Mundial de las Habilidades de la Juventud para recordar la importancia de dotar a los jóvenes de competencias para el empleo, el trabajo digno y el espíritu empresarial. Desde su declaración por parte de la ONU en el 2014, el Día Mundial de las Habilidades de la Juventud ha proporcionado una oportunidad única para el diálogo entre los jóvenes, las instituciones de educación, formación técnica y profesional (EFTP), las empresas, las organizaciones de empleadores y trabajadores, los responsables políticos y los socios de desarrollo.

Ante esto, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, llama la atención en la falta de personal que hay actualmente en el campo de la ciberseguridad (2,7 millones de trabajadores a nivel global según un estudio de la Information System Security Certification Consortium (ISC)) y la necesidad de dar las herramientas a los jóvenes para que puedan acceder a este sector, sea cual sea su situación.

La pandemia de la COVID -19 ha llevado a la mayoría del mundo a una rápida digitalización para la que las infraestructuras e instituciones generales no estaban 100% preparadas, o al menos para hacerlo tan rápido. Muchas personas tuvieron que adaptarse a trabajar desde casa con los peligros al no contar con las protecciones en ciberseguridad que ello conlleva, más aún cuando hay una falta evidente de expertos en este campo alrededor del mundo para poder mantener a raya a los ciberdelincuentes.

Colaboración entre Check Point SecureAcademy e instituciones de todo el mundo
Para preparar a los estudiantes con las habilidades tecnológicas vitales que necesitan para asegurar el futuro, Check Point SecureAcademy se creó para proporcionar educación en ciberseguridad en todo el mundo, a través de asociaciones con terceras instituciones a través del paraguas de formación en ciberseguridad de Check Point llamado Check Point MIND, ofreciendo a los educadores y estudiantes habilidades vitales de ciberseguridad, recursos de aprendizaje y certificaciones a través de un programa educativo "libre de ingresos".

En todo el mundo, un total de 45.000 estudiantes están utilizando hoy en día los contenidos de aprendizaje gratuito de Check Point SecureAcademy, incluyendo los cursos de simulación Cyber Range y HackerPoint, por parte de más de 140 instituciones de enseñanza superior en 40 países para aumentar los conocimientos de los estudiantes en materia de ciberseguridad. Otra oferta que tenemos es la solución Check Point SmartAwareness, que es una formación de concienciación de seguridad para empresas que tiene como objetivo preparar a cada empleado con una formación de concienciación de ciberseguridad líder en la industria para que estén preparados cuando se produzca un ataque real.

“Este es un día es muy importante reivindicar los derechos de los estudiantes de todo el mundo a disponer de oportunidades para poder desarrollar una carrera en el ámbito que más les interese, aunque estén en entornos en donde haya falta de oportunidades”, comenta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Por nuestra parte, hemos de alertar sobre la falta de personal formado en ciberseguridad, campo que ofrece muchas oportunidades laborales de calidad. Esperamos que, en los próximos años, con nuestros esfuerzos y los del resto de la comunidad internacional, se pueda revertir esta situación.”

Durante la temporada de vacaciones y los puentes festivos de mitad de año, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, advierte a los usuarios del aumento de los peligros de ciberseguridad en las vacaciones.

A pesar del aumento de los precios y la incertidumbre sobre el COVID-19, los viajes nacionales e internacionales de la temporada se espera aumenten un 11% por encima de los niveles anteriores a la pandemia. En su afán por ponerse al día en lo que, para algunos serán sus primeras vacaciones en tres años, es probable que los viajeros bajen la guardia en lo que respecta a la ciberseguridad. Los ciberdelincuentes son muy conscientes de esta vulnerabilidad y, por eso, intensifican sus esfuerzos durante la temporada de verano.

Según el Informe de Inteligencia de Amenazas de Check Point Research (CPR), la media global de ataques semanales a organizaciones de viajes y ocio ha aumentado un 60% en junio de 2022 en comparación con la primera mitad de junio de 2021. En el periodo comprendido entre mayo y agosto de 2021, las amenazas en estos sectores experimentaron un incremento del 73% y es probable que este año se produzca un pico similar. La suplantación de identidad con ataques de phishing es el ataque más frecuente, ya que los veraneantes buscan escapadas y ofertas de viajes, hoteles y lugares de interés de última hora.

Un turista que haga clic en un correo electrónico de phishing o exponga sus datos de acceso a través de una conexión Wi-Fi pública no protegida puede correr un verdadero peligro personal, en términos de robo de credenciales, y también una pérdida financiera. Sin embargo, también existe un riesgo aún más grave para las empresas. La tendencia a las llamadas vacaciones híbridas, en las que las personas trabajan a distancia durante parte de la temporada vacacional, lo cual hace que esta amenaza sea aún más real. Los ordenadores portátiles, las tablets o los móviles personales suelen proporcionar a los atacantes un fácil acceso a las redes corporativas, especialmente si los dispositivos BYOD no se han protegido adecuadamente.

Al mismo tiempo, las propias redes corporativas se vuelven más vulnerables en esta época del año o, incluso, durante los fines de semana largos y los días festivos. Con los responsables de TI trabajando con menos personal, los ciberataques pueden pasar desapercibidos hasta que es demasiado tarde y el daño ya está hecho. Un ejemplo típico de esto fue la amenaza de ransomware a la red de Kaseya el 4 de julio del año pasado por parte de la banda criminal de habla rusa REvil, que afectó a más de 1000 organizaciones en todo el mundo, además de unos 15 ataques similares por semana durante mayo y junio, según CPR.

“Para muchos de nosotros, esta puede ser la primera vez que viajamos nacional o internacionalmente desde el comienzo de la pandemia y, como tal, puede haber ciertos elementos de nuestros hábitos de viaje que podemos haber olvidado, incluyendo las buenas costumbres de ciberseguridad. Esto es música para los oídos de los ciberdelincuentes que buscan aprovecharse de las actitudes relajadas y de los dispositivos desprotegidos. Esto supone un riesgo para el individuo y, en nuestro mundo hiperconectado, para cualquier organización con la que se comunique, incluida su empresa”, advierte Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Al planificar con antelación, los individuos pueden disfrutar de sus vacaciones, sabiendo que han tomado las precauciones básicas y necesarias para asegurar sus dispositivos mientras, al mismo tiempo, también se protegen las redes de sus empleadores. Por ello, Check Point Software ha reunido diez consejos principales para ayudar a los consumidores a mantenerse a salvo durante los meses de verano.

Consejos para mantener la seguridad de sus dispositivos en vacaciones

1. Tratar los puntos de Wi-Fi públicos con precaución: el acceso gratuito a la Wi-Fi es atractivo, pero también puede plantear serias amenazas a la seguridad. Los ciberdelincuentes se sientan en los aeropuertos a la espera de que los viajeros entren en estas redes públicas para aprovecharse de ellos. Si es posible, hay que evitar las redes Wi-Fi no seguras, y si hay que utilizarlas, conviene no acceder a cuentas personales ni a datos sensibles mientras se está conectado.

2. Cuidado con los "curiosos que miran por encima del hombro": la persona que se sienta al lado en el avión o mientras se espera para embarcar podría tener intenciones maliciosas. En algunas ocasiones, alguien puede estar mirando por encima del hombro mientras se introducen los datos de la tarjeta de crédito o se accede a las redes sociales. Por ello, es aconsejable adquirir un protector de privacidad para la pantalla, que puede ayudar a ocultar tu información de las miradas indiscretas.

3. Comprobar doblemente las páginas web en las que se reservan los viajes: los ciberataques relacionados con los viajes pueden producirse incluso antes de que éstos comiencen, por lo que es crucial que se verifique la página web que se utiliza. A los estafadores les gusta imitar a las webs auténticas, y fingir que ofrecen vacaciones de lujo o viajes con descuento, para robar la información personal. Si una oferta parece o suena demasiado buena para ser verdad, probablemente lo sea. Antes de seguir adelante, hay que investigar a fondo la empresa promotora. Para realizar las transacciones de viaje, hay que usar una tarjeta de crédito en lugar de una tarjeta de débito. Las compañías de tarjetas de crédito suelen tener protecciones contra el fraude en caso de que se sea víctima de la ciberdelincuencia, mientras que con una tarjeta de débito es probable que se pierda el dinero.

4. Atención a las faltas de ortografía: en este caso, no estamos hablando de dominar el dialecto local, sino de estar atento a cualquier error ortográfico o gramatical, así como a las frases autoritarias que puedan obligar a tomar decisiones precipitadas, ya que esto podría indicar que hay algo que no es del todo correcto. Esto se debe a que los ciberdelincuentes confían en que los usuarios no se tomen la molestia de fijarse en los pequeños detalles que pueden indicar que un correo electrónico o un mensaje no son legítimos. Para permanecer protegido, siempre hay que tomarse un momento extra para autentificar la información, especialmente si se trata de restablecer los datos de acceso, ya que una vez que los ciberdelincuentes tienen éxito, no tardan en causar daños.

5. Nunca compartir credenciales: la mayoría de las personas reutilizan los mismos nombres de usuario y contraseñas para varias cuentas online, por lo que el robo de credenciales es un objetivo común de las estafas de phishing. En consecuencia, hay que ser muy cauteloso siempre que haya que facilitar los datos de acceso. Los correos electrónicos/mensajes de phishing suelen duplicar marcas conocidas, hacerse pasar por especialistas de atención al cliente o incluso suplantar a los jefes. Para mantener la seguridad de cada cuenta, no se deben compartir nunca las credenciales por correo electrónico o mensajes de texto, y sólo se deben introducir por Internet para acceder a los servicios una vez que se haya autentificado la página web directamente desde el navegador elegido.

6. Hay que desactivar las conexiones automáticas de Wi-Fi/Bluetooth: Es posible que la configuración predeterminada de un teléfono inteligente sea la de conectarse automáticamente a una red Wi-Fi o Bluetooth disponible, lo que puede permitir que los ciberdelincuentes accedan a su dispositivo. Para evitar que los atacantes se infiltren en un dispositivo, hay que asegurarse de que esta función esté desactivada.

7. Utilizar la autenticación multifactor: cuando se está de vacaciones, es posible que se tenga que acceder a servicios importantes que contienen datos confidenciales o financieros. Para estar a salvo, hay que utilizar un proceso de autenticación multifactor (MFA) a fin de asegurarse de que se es la única persona que puede acceder a esos servicios y de que se le notifica si una persona no autorizada está intentando iniciar sesión.

8. Hay que descargar los últimos parches de seguridad: antes de prepararse para salir de viaje, es importante asegurarse de que todos los dispositivos están actualizados con los últimos parches de seguridad. Esto los mantendrá protegidos de las últimas amenazas conocidas.

9. Mantenerse al día de las últimas estafas: es una buena práctica investigar sobre las últimas estafas que circulan para evitar caer en los trucos que los ciberdelincuentes pueden utilizar para propagar el ransomware. De todos modos, no todas las estafas se basan en la suplantación de identidad por correo electrónico y es posible que el usuario se vea obligado a revelar sus credenciales por teléfono o por SMS.

10. Alerta con los cajeros automáticos: se debe evitar sacar dinero de los cajeros automáticos, ya que los ciberdelincuentes, sobre todo en las zonas turísticas, son conocidos por conectar ladrones de credenciales de tarjetas de crédito en los cajeros automáticos autónomos. Si es necesario utilizar uno, hay que buscar un cajero oficial, preferiblemente uno situado en el vestíbulo de su banco de confianza.

Check Point Research encontró archivos relacionados con ataques recientes contra instalaciones siderúrgicas en Irán. Un análisis inicial del malware, apodado "Chaplin" por los atacantes, descubrió que se basa en un malware de limpieza llamado “Meteor” que fue usado en los ataques contra el sistema ferroviario y el Ministerio de Carreteras y Desarrollo Urbano de Irán, el año pasado.

Aunque “Chaplin” se basa en herramientas de ataques anteriores, no contiene la función de borrado y no corrompe el sistema de archivos de la víctima. Sin embargo, evita que el usuario interactúe con la máquina, lo cierra y muestra en la pantalla una imagen de un solo cuadro que anuncia el ataque cibernético. El malware corrompe la máquina impidiendo que se inicie correctamente.

La imagen que se muestra en la computadora de la víctima presenta los logotipos de las víctimas recientes de “Predatory Sparrow”:

- Khouzestan Steel Company (KSC)
- Iranian Offshore Oil Company
- Ministerio de Carreteras y Desarrollo Urbano
- Ferrocarriles de la República Islámica de Irán

Podría darse el caso de que los archivos obtenidos se usaron contra KSC, ya que la empresa confirmó que estaba siendo atacada. Finalmente, como en los ataques anteriores del grupo, usaron su vieja broma y dirigieron a las víctimas al "64411", que es el número de la oficina del Líder Supremo de Irán.

El año pasado, Check Point Research analizó los eventos maliciosos contra los sistemas ferroviarios de Irán y pudo conectarlos con ataques anteriores de un grupo llamado “Indra” que opera desde 2019 contra objetivos en Irán y Siria.

“Predatory Sparrow”, quien asumió la responsabilidad del reciente ataque contra la industria siderúrgica de Irán, también es el que asumió la responsabilidad de los ataques contra los sistemas ferroviarios de Irán y el Ministerio de Carreteras y Desarrollo Urbano de Irán. Dado el uso de las mismas herramientas, métodos y técnicas, no es improbable que “Indra” y “Predatory Sparrow” sean el mismo grupo.

“El ataque reciente se suma a una avalancha de ataques realizados por grupos que se presentan a sí mismos como hacktivistas contra el régimen. La cantidad de ataques, su éxito y su calidad pueden sugerir que fueron realizados por un atacante de alto nivel o por un grupo de atacantes básicos, tal vez un estado-nación con interés en sabotear la infraestructura crítica de Irán, así como sembrar el pánico entre el público y los funcionarios iraníes. El grupo que asumió la responsabilidad de este ataque, llamado “Predatory Sparrow”, es el mismo que asumió la responsabilidad del ataque contra los ferrocarriles de Irán, las estaciones de radiodifusión y de servicio de Irán”, dijo Itay Cohen, jefe de investigación cibernética en Check Point Software.

“La investigación de Check Point Research, ha examinado varios ataques contra Irán y su infraestructura crítica durante el año pasado. En febrero de 2022, deconstruimos las herramientas cibernéticas utilizadas en un ataque contra la corporación nacional de medios iraní, Islamic Republic of Iran Broadcasting. En agosto de 2021, rastreamos los ataques cibernéticos en las estaciones de trenes de Irán hasta un grupo que se autodenominó como “Indra”, añadió Itay Cohen.

Avanan, una empresa de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha descubierto una nueva ciberestafa que suplanta a la compañía Paypal. En noviembre, Check Point Software informaba de un ataque similar que suplantaba a Amazon. La amenaza funcionaba utilizando enlaces legítimos de Amazon, guiando al usuario para que hiciese una llamada telefónica para cancelar un pedido ficticio.

Ahora ha aparecido una campaña similar, esta vez suplantando la identidad de PayPal. Al igual que el email de Amazon, la única forma de "cancelar" el pedido es llamar a un número de teléfono. Desde abril de 2022, los investigadores de Avanan han observado un aumento de los ciberataques que suplantan a marcas populares como PayPal, utilizando una carta de confirmación de pedido para inducir a llamar a un teléfono de asistencia, donde se intentará robar la información bancaria.

Metodología de ataque

En esta amenaza envían lo que parece una confirmación de pedido de PayPal. En ella se indica al usuario que ha comprado más de 500 dólares en DogeCoin. Para cancelar el pedido, pueden llamar a un número de atención al cliente.

La idea no solo es obtener información financiera, sino también el número de teléfono del usuario final. Esta estafa utiliza lo que se denomina “recolección de números de teléfono”. En lugar de cosechar credenciales para los inicios de sesión online, obtiene fácilmente el contacto a través de la función de identificación de llamadas. Una vez que lo obtienen, pueden llevar a cabo una serie de ataques, ya sea a través de mensajes de texto, llamadas o mensajes de WhatsApp.

El número que aparece en el correo electrónico con sede en Hawái ha estado vinculado a estafas en el pasado. Al llamar, piden el número de la tarjeta de crédito y el CVV para “cancelar” el cargo. Este ataque también funciona porque no hay ningún enlace en el cuerpo del correo electrónico. Cuando hay un link, la solución de seguridad del email puede comprobarlo para ver si es malicioso o no. Si no la tiene, es mucho más difícil. Con la combinación de ingeniería social en forma de lo que parece un pago fraudulento, y la ausencia de enlaces maliciosos, se trata de un ataque complicado que ha resultado difícil de detener.

“Las grandes marcas de pagos son algunas de las más suplantadas porque los internautas suelen fiarse de sus correos electrónicos. Para evitar estas estafas es primordial que los usuarios estén alerta y tengan conocimientos básicos de ciberseguridad que les permitan identificar cualquier intento malicioso. Empresas como Paypal, Amazon o Microsoft son un claro objetivo, por lo que hay que tener una atención extrema frente a cualquier entidad que nos pida datos personales”, advierte Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Mejores prácticas para evitar estas ciberestafas

1. Mirar la dirección del remitente del correo electrónico.
2. Comprobar la cuenta de PayPal. Así serán conscientes de que el pedido en cuestión no está en su cuenta.
3. No incluir a las grandes empresas en las listas de permitidos, ya que estas empresas suelen estar entre las más suplantadas.
4. No llamar a números desconocidos.

La multinacional británica Rentokil Initial, presentó en el marco de su práctica continua de investigación y desarrollo “Mira 360º”, programa integral para el conocimiento y control de mosquitos transmisores de enfermedades como Dengue, Zika, Chikungunya, Malaria o Fiebre Amarilla, para disminuir contagios en el mundo y en Colombia.

El programa integral Mira 360º de Rentokil Initial, tiene como objetivo monitorear en forma continua la presencia de mosquitos en las zonas en las que están presentes, estudiar esta población analizando variables como el comportamiento, segmentación por género, reproducción, lugares de permanencia, horarios de actividad, entre otros. El estudio que ya se ha adelantado por parte de la compañía británica en otros países como Brasil o Estados Unidos, también busca determinar la mejor y más adecuada metodología de control. Este proceso, es inteligencia de investigación y hemos logrado resultados sorprendentes, dijo Carlos Peçanha, biólogo y biomédico, especialista en entomología urbana y director científico de Rentokil Initial Brasil.

En Colombia el mosquito Aedes, está presente en más de 20 departamentos. “En el país, esta investigación que está en una fase muy avanzada, se está llevando a cabo en los departamentos de Tolima y Cundinamarca, con énfasis en los municipios de Girardot y Melgar”, explicó Gerardo Gutiérrez, Gerente General de Rentokil Initial Colombia.

Los contagios en el mundo de las enfermedades que estos insectos transmiten a través de su picadura, para solo el año 2021 ascendieron a 600 millones y se estima que anualmente mueren cerca de un millón de personas, explicó el licenciado en Biología Stan Cope, quien es vicepresidente de productos y servicios de Catchmaster.

“Hoy con mucho orgullo y satisfacción, presentamos en Colombia nuestro programa insignia Mira 360º, en la ciudad de Barranquilla en forma presencial y virtual por la red Youtube.com para todo el país. Este programa de monitoreo inteligente, tiene como objetivo conocer en forma profunda a los mosquitos transmisores de enfermedades endémicas y mortales, que impactan a la comunidad global. En el país, estamos trabajando con mucha atención en el conocimiento de estos insectos, sus costumbres, horarios de actividad y perfil cada uno, para ser muy asertivos y disruptivos en el control, pero siempre cuidando el medio ambiente y actuando con responsabilidad, en cumplimiento de nuestra misión que es proteger a las personas y salvar vidas”, dijo Gerardo Gutiérrez Mata, Gerente General de Rentokil Initial Colombia.

Mira 360º se presentó en el marco de la Feria de la Innovación de Rentokil Initial Colombia en Barranquilla, en Comfamiliar Sede Norte.

Rentokil Initial con más de 100 años de experiencia en el mundo y 30 años en Colombia
La multinacional inglesa Rentokil Initial, tiene más de 100 años de experiencia en el mundo y más de 30 años en Colombia. Es experta en protección integral de ambientes, control de plagas e higiene, con presencia, soporte y soluciones en más de 80 países, y tiene como objetivo corporativo proporcionar entornos saludables y seguros. “Proteger a las personas y mejorar sus vidas” es su misión.

TCL Mobile, pionera en tecnología de visualización y experiencias inteligentes asequibles y de primera calidad, comprometida con sus usuarios, tiene para este segundo “Día sin IVA” del año los smartphones TCL20L+ y TCL 20 PRO 5G con el operador Claro.

Vuelve el “Día sin IVA” en Colombia. Para este año 2022 se programaron tres jornadas. Hoy viernes 17 de junio se cumplirá la segunda fecha y como es habitual el comercio nacional presencial y electrónico, se prepara con sus mejores productos para atender las necesidades y los deseos de todos sus clientes. Miles de productos exentos del impuesto a las ventas estarán a disposición del público.
Entre las categorías que tienen este beneficio tributario, están los dispositivos tecnológicos, como son los celulares. Es por esta razón, que TCL pensando en sus usuarios ha preparado una oferta muy especial de dos celulares, que además de tener la exención del IVA, traen cada uno dos obsequios especiales.
Celular TCL 20L+ “Sin IVA” y con obsequio de audífonos inalámbricos y reloj.
El celular TCL 20L+ tiene entre sus principales características memoria de 256 GB, pantalla de 6,6”, cuenta cuatro cámaras de 48MP (AF)+8MP(FF) Angular +2MP (FF) Macro+2MP (FF) profundidad, con flash LED. Gracias a su procesador Octacore 4x2.0 GHz,4x 1.8GHz, ofrece total rapidez y su sistema operativo es Android 11.
El precio del TCL 20L+ 256 GB está exento del IVA para esta jornada, quedando para este día especial desde COP $837.900.
El smartphone TCL 20 PRO 5G, es el segundo celular TCL disponible para este Día sin IVA y viene con audífonos inalámbricos TCL y cargador inalámbrico de obsequio.
El TCL 20 PRO 5G es un celular inteligente insignia de la marca TCL, que se destaca por ser robusto y versátil. Entre sus características cuenta con el sistema operativo Android 11, memoria interna de 256 GB, RAM de 6 GB y memoria expandible hasta 1 TB y Su batería es de 4.500 mAh.
El celular TCL20 PRO 5G se destaca por su velocidad que permite descargas ágiles y de rápida transmisión. Tiene funciones de IA mejoradas gracias al procesador Qualcomm Snapdragon.
Este smartphone galardonado por su innovación con el premio - Innovation Awards 2022 HONOREE-, en el CES 2022, tiene pantalla AMOLED de 6.67pulgadas. Además, cuenta con la tecnología NXTVISION mejorada. Tiene la certificación de TÜV Rheinland de luz azul baja, brillo y tonalidad inteligente. Maneja cuatro cámaras de 48MP AF, estabilización de la imagen+16MP FF s +5MP FF (Macro)+2MP FF (profundidad) y una cámara frontal de 32MP con flash LCD.

Este smartphone tiene teclado Touch, marcación por voz, GPS y Bluetooth. Su diseño es muy atractivo y actual y su peso es de 190 gramos.
El precio del TCL 20 PRO 5G está exento del IVA en esta jornada, quedando para este viernes 17 de junio desde COP $2.252.017.
“En TCL, siempre pensando en nuestros clientes, nos preparamos para este segundo “Día sin IVA” del año en Colombia, con nuestros celulares TCL 20L+ y TCL 20 PRO 5G, dos smartphones de características y especificaciones de tecnología vanguardista y que para esta ocasión vienen acompañados cada uno con dos obsequios especiales tecnológicos que permiten maximizar la experiencia móvil TCL, en cualquier actividad y lugar”, dijo Juan Pablo Valencia, Commercial Manager para Colombia de TCL.
La expectativa de los comerciantes para esta segunda jornada sin IVA de 2022 es muy alta, con una proyección de ventas cercana a los 10 billones de pesos. TCL invita a los compradores de los comercios electrónicos a reservar con anticipación los artículos que desean adquirir y a los asistentes a los comercios presenciales, a tener identificados los productos que desean llevar y llegar con la debida antelación para evitar aglomeraciones y asegurar su compra.
Los celulares TCL 20+ y TCL 20 PRO 5G están disponibles en Claro Colombia en www.claro.com.co hasta agotar existencias.

TCL, pionera en tecnología de pantallas y experiencias inteligentes asequibles y de primera calidad, anuncia la llegada a Colombia de un nuevo integrante de su ecosistema TCL; sus audífonos inalámbricos “true Wireless” TW30 y TW20, reconocidos por su diseño ergonómico, alta calidad de sonido.
TCL anuncia que ya están disponibles en Colombia los audífonos inalámbricos TW30 y TW20, para hablar con total libertad de movimiento en cualquier lugar, para realizar todas las actividades cotidianas y esas especiales como las deportivas y extremas, permitiendo una oportuna y clara comunicación en todo momento
Los dos nuevos modelos de audífonos inalámbricos presentados por TCL en Colombia permiten total movilidad, larga comunicación en el tiempo y hoy son el accesorio obligatorio para aprovechar al máximo al smartphone.
Audífonos inalámbricos TCL TW30 principales características:
Entre sus principales características sobresale el control táctil para activar y desactivar la cancelación del ruido externo en el ambiente, transmisión de sonido simultáneo en ambos oídos, modo transparencia que permite escuchar los sonidos externos o ruido ambiente sin necesidad de remover los audífonos. En cuanto a su material cuenta con un certificado de protección IP54, resistente al polvo y a salpicaduras de agua.

Cuenta con el sistema operativo Google FAST PAIR 2.0. Su batería (Earbuds) de 55 mAh cuenta con carga continua de hasta 8 horas y su estuche de 500 mAh cuenta con una autonomía de hasta 32 horas de carga. Tiene con indicador LED para anunciar por color lumínico el estado de la carga.

Frente al audio, tiene 4 micrófonos MEMS con forma de haz (dos a cada lado) y altavoz de 10 milímetros de diámetro de unidad dinámica. Ideales para hablar y para escuchar la música preferida.

Gracias a su modo Gamer mejora la experiencia por su baja latencia de 60mili segundos generando una conexión mucho más estable y rápida nivelando el sonido vs su proyección.

Audífonos inalámbricos TCL TW20 características:
Entre sus características más destacadas sobresale la cancelación de eco y ruido ambiental. Cuenta con el sistema operativo Google FAST PAIR 2.0 para una conexión más rápida y duradera. Su batería de prolongada duración ofrece la opción de cancelación de uso para extender su tiempo útil de carga.
Al tener detección de uso inteligente, permite pausar y reproducir el sonido de manera automática al quitarse o ponerse los audífonos.

Por su diseño y características, sus auriculares son ideales para practicar cualquier tipo de deporte. Son resistentes a salpicaduras, humedad y gotas de sudor. Sus dimensiones son 19.6 x 32.8 x 25 mm y su estuche de carga de 45mm X 45mm X 25mm. Puerto de carga USB tipo C, puerto de carga RGB. La batería tiene una duración de hasta 3.5 horas de uso continuo y hasta 23 horas usando la recarga con la batería del estuche. Estos audífonos vienen en color negro.

“En TCL nos complace tener ya en el mercado colombiano con nuestro aliado Claro, los audífonos inalámbricos TW30 y TW20, dos alternativas tecnológicas de última generación, con características que facilitan la comunicación vía celular desde cualquier lugar con alta calidad, claridad de sonido y además asequibles”, dijo Juan Pablo Valencia, Gerente de TLC para Colombia.

Los audífonos inalámbricos TCL TW30 y TW20 están disponibles en Claro Colombia en www.claro.com.co hasta agotar existencias.

La última versión de Check Point Harmony Mobile es capaz de bloquear la descarga de archivos maliciosos en los dispositivos, evitando así los ciberataques basados en archivos a las organizaciones. Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, anuncia el lanzamiento de la más completa ciberprotección contra las amenazas para dispositivos móviles con una nueva versión de Harmony Mobile que impide la descarga de archivos maliciosos.

Con el cambio global hacia el trabajo remoto e híbrido, los empleados utilizan cada vez más los terminales móviles para tareas empresariales críticas o para acceder y compartir información sensible, lo que les convierte en un punto de entrada para los ciberdelincuentes. Según Check Point Research (CPR), en los dos últimos años casi todas las organizaciones (97%) se han enfrentado a amenazas de este tipo de todos los vectores entre los que, la descarga de archivos ha estado entre los olvidados. De hecho, como ejemplo, Check Point Research encontró una vulnerabilidad crítica en la app de Instagram que con el simple envío de un archivo de imagen malicioso hubiese permitido a un atacante hacerse con la cuenta de la víctima, y convertir su teléfono en una herramienta de espionaje

La nueva protección de archivos de Harmony Mobile funciona aprovechando la Threat Cloud de Check Point Software para analizar aquellos archivos descargados en busca de intenciones maliciosas. En el caso de que se encuentren, la descarga se bloquea por completo. En los terminales Android también puede escanear en el almacenamiento del móvil y alertará tanto al usuario para que lo elimine como al administrador para que restrinja el acceso del dispositivo a los recursos corporativos.

Esta nueva versión también incluye la integración con Samsung Knox para obtener capacidades de mitigación únicas, la evaluación de CVE del sistema operativo para permitir a los administradores entender y remediar las vulnerabilidades en su flota móvil, los despliegues de certificados automatizados para una gestión simplificada, y más.

“La mayoría de las soluciones de seguridad para móviles que hay en el mercado hoy en día sólo pueden escanear archivos relacionados con su sistema operativo, como aplicaciones y perfiles de iOS. Esto no protege el móvil de otro tipo de archivos maliciosos, como los ejecutables, los de MS Office o los PDF, entre otros. Como cada vez dependemos más de estos dispositivos, los ciberdelincuentes los atacan en consecuencia, por lo que nunca ha sido tan importante contar con una solución de seguridad robusta que proteja de cualquier tipo de amenaza”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha desarrollado sus soluciones a partir de la gran transformación que ha realizado en su estrategia de negocios desde comienzos de 2022 y como respuesta a la nueva era post-COVID y a la creciente dependencia de la red. El nivel de sofisticación de las amenazas de generación 5 (Gen V) no deja de aumentar: ataques a la cadena de suministro, amenazas de ransomware que pueden tumbar un hospital entero o un oleoducto o a una infraestructura de uno país, continúan a aumentar trayendo aún más desafíos a las organizaciones.

El panorama de ataques y amenazas cibernéticas a día de hoy nos presenta un incremento en los ataques de ransomware. En vista de esto, Check Point Software revela un aumento interanual del 14% en lo que va de 2022 en los ataques de ransomware a nivel mundial, 1 de cada 60 organizaciones globalmente afectadas por ataques de ransomware semanalmente y el costo del ransomware es 7 veces más alto que el rescate pagado.

En términos regionales, en el Threat Intelligence Report de Check Point Software sobre regiones geográficas, una organización en América Latina está siendo atacada (por amenazas en general) una media de 1.586 veces por semana en los últimos seis meses, en comparación con 1.116 ataques por organización a nivel mundial.
En Colombia los ataques a las empresas ocurren en promedio 2.387 veces por semana, siendo este el tercer país más atacado después de Bolivia y Jamaica en América Latina.

“Los ataques cibernéticos continúan creciendo a un ritmo alarmante, en volumen, sofisticación e impacto. En esta era de demasiada ciberdelincuencia, la necesidad de proteger a las organizaciones de ataques avanzados es más importante que nunca. Las empresas deben utilizar tecnologías pioneras para permanecer protegidas. Debido a este escenario, las organizaciones deben dar prioridad a la prevención si quieren combatir esta creciente amenaza”, explica Ray Jiménez, vicepresidente para América Latina de Check Point Software.

Mientras los gobiernos y las empresas de todo el mundo continuaban navegando por las aguas desconocidas de una pandemia global, la llamada "nueva normalidad" todavía se siente muy lejana. Los esfuerzos de transformación digital se aceleraron drásticamente a medida que las empresas adoptaron el trabajo híbridos y remotos, pero las mismas preguntas sobre la madurez de la seguridad que plagaron a muchas empresas en 2020 y persiste hasta este año.

Un nuevo capítulo en el ecosistema de ransomware
Sin embargo, en los últimos cinco años, las operaciones de ransomware han recorrido un largo camino desde correos electrónicos aleatorios de rociado y oración hasta empresas multimillonarias, realizando ataques dirigidos y operados por personas que afectan a las organizaciones en casi cualquier ubicación geográfica y dentro de cualquier industria.

Check Point Research (CPR) ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores de Check Point Research (CPR) creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

Además de la guerra entre Rusia y Ucrania, el grupo ruso de ransomware Conti amenazó con derrocar al gobierno recién elegido de Costa Rica con un ataque cibernético y aumentó su demanda de rescate a USD $20 millones para obtener una clave de descifrado para desbloquear los sistemas pirateados.

A partir de estos ataques, el grupo Conti lleva la triple extorsión a un nuevo nivel, intentando intervenir en asuntos internos de un país soberano. Este evento probablemente comenzó como un evento táctico de ataque regular de ransomware, pero rápidamente se convirtió en un nuevo tipo de evento que tiene importantes consecuencias financieras y geopolíticas.

Perú es otra víctima de extorsión al país por parte del grupo Conti. La etapa pública del ataque de extorsión contra Perú comenzó el 7 de mayo y actualmente se centra en dos entidades gubernamentales clave: el Ministerio de Hacienda y la Dirección General de Inteligencia. La extorsión contra Perú es un evento en desarrollo, y actualmente se encuentra en etapas mucho más iniciales que el evento contra Costa Rica.

“Estos recientes ataques masivos de ransomware en Costa Rica y Perú, ambos presuntamente ejecutados por el infame grupo de ransomware Conti, nos muestra que los ataques de Conti están en línea con lo que venimos diciendo desde hace algún tiempo: los ataques de ransomware están en aumento, con la doble y la triple extorsión, y están aumentando hasta el punto de que los países se paralizan. Los gobiernos y las organizaciones simplemente ya no pueden permitirse el lujo de conformarse con la segunda mejor seguridad”, afirma Francisco Robayo, Líder de Ingeniería para Latino América de Check Point Software.

Este nuevo acuerdo brindará a los clientes un mayor nivel de conocimiento sobre el panorama de amenazas con los beneficios de un firewall de última generación que proporciona sistemas de protección y detección de intrusos, antimalware y sandboxing.
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, anuncia una alianza global con Teldat y Check Point Software, gracias a la cual la tecnológica española ha desarrollado un nuevo conjunto de herramientas Secure Access Service Edge (SASE) diseñadas para catalizar soluciones corporativas Zero Trust en la nube. Esta iniciativa es la primera en aprovechar la solución SASE de vanguardia basada en SD-WAN de Teldat desarrollada en conjunto con Check Point Software.

Los servicios de seguridad de Teldat para SASE incluyen los protocolos de estrategia Zero Trust de la empresa, los planos de SASE y una arquitectura de red moderna. También cuenta con capacidades SD-WAN, incluida la creación de procesos y políticas para administrar SASE.

La asociación entre Check Point Software y Teldat brindará a los clientes un mayor conocimiento sobre el panorama de amenazas. Los usuarios se benefician de un firewall de última generación, que proporciona sistemas de protección y detección de intrusos, antimalware y sandboxing; así como control de aplicaciones, antivirus, C&C, extracción de amenazas, prevención de pérdida de datos, antibot, descifrado SSL, filtrado de contenido e identificación de usuarios. Todo administrado a través de una única consola con los protocolos de red avanzados existentes.

La arquitectura de seguridad Zero Trust elimina la suposición de que una organización puede confiar en todos sus usuarios internos Teldat espera que, con sus reputados servicios propios de seguridad s, junto con la inteligencia contra amenazas de última generación de Check Point Software, un mayor número de empresas puedan adoptar la seguridad de Zero Trust basada en la nube de una manera sencilla y al ritmo adecuado.

El Día Mundial de la Contraseña se conmemora cada año el primer jueves del mes de mayo y es una fecha perfecta para recordar la importancia de las claves que se crean para los servicios online. En 2019, el Centro Nacional de CiberSeguridad de Reino Unido (NCSC) desvelaba que 23 millones de personas a nivel mundial utilizaban la contraseña “123456”, lo cual señala que aún son muchos los que no son conscientes del peligro que esto implica.

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, quiere alertar sobre los peligros que suponen los muchos fallos que cometen los usuarios a la hora de crear y gestionar las contraseñas en las diferentes aplicaciones y herramientas que utilizan en el día a día. Una equivocación en la configuración de una de estas claves puede suponer no solo el robo de información personal, como el correo electrónico o sufrir un hurto económico, sino que también puede conllevar un acceso a la red corporativa y un daño significativo a nivel empresarial.

Ante esta situación, Check Point Software quiere señalar todas aquellas buenas prácticas que se deben aplicar a la hora de crear una contraseña segura y robusta:

1. En la combinación de caracteres está el secreto: usar palabras que están en el diccionario o que tengan relación con la vida personal del usuario es una práctica muy común. Pero esta costumbre pone en serio peligro la privacidad de los diferentes servicios a los que se accede cada día porque la clave en cuestión va a ser muy sencilla de averiguar para un ciberdelincuente. Para evitarlo, hay que usar siempre contraseñas que combinen números, letras y símbolos diferentes para cada plataforma.

2. Una contraseña diferente para cada cosa: son tantas las aplicaciones o servicios que los usuarios deben gestionar hoy en día que la tentación de usar una única contraseña para todos es grande. Aun así, es fundamental tener una distinta para cada servicio. Igual que no tenemos la misma llave para abrir nuestra casa, la oficina o el coche, usar una única contraseña es facilitar que puedan “abrir” toda nuestra vida digital. Es cierto que puede ser tedioso y complicado recordarlas todas, así que, para facilitar la tarea, se puede emplear un gestor de contraseñas, que permiten tanto administrar como generar diferentes combinaciones de acceso robustas para cada servicio y que el usuario sólo tenga que memorizar una clave maestra.

3. Cuanto más largas, más fuertes: es cierto que cuanto más extensa sea una combinación, más difícil será de recordar. Pero es la única forma de mantenerla a salvo. La longitud de una contraseña es una cualidad determinante. Se deben utilizar 8 dígitos como mínimo e incluir símbolos y letras para añadir robustez y un mayor nivel de seguridad.

4. Realizar cambios con regularidad: es cierto que la imaginación tiene sus límites, porque crear una contraseña diferente para cada aplicación es complicado y si, además, hay que cambiarla con regularidad puede parecer una misión casi imposible. Para lograrlo, la mejor técnica es utilizar un mismo patrón de base e ir añadiendo diferentes combinaciones a partir de ese. De esta manera, será más sencillo de recordar y más fácil para llevar a cabo los cambios con periodicidad.

5. El doble factor de autenticación como mejor amigo: a pesar de tomar todas las medidas anteriores, los ciberdelincuentes evolucionan a una velocidad cada vez más rápida y cuentan con técnicas que pueden llegar a traspasar todas esas protecciones. Por ello, para contar con una contraseña robusta y segura es imprescindible implementar un doble factor de autenticación. De esta manera, cada vez que algún atacante o persona no autorizada quiera acceder a una cuenta ajena el usuario dueño de esta recibirá un mensaje en su móvil para dar acceso.

“Los ciberdelincuentes crean cada día nuevas formas y ciberataques destinados a robar las contraseñas de cientos de usuarios. Técnicas como el phishing han logrado vulnerar miles de servicios a través del hurto de credenciales. Este riesgo puede remediarse fácilmente configurando combinaciones variadas y robustas de 8 caracteres como mínimo, que intercalen letras, símbolos y signos de puntuación. Si a esto le sumamos un doble factor de autenticación haremos nuestras claves mucho más fuertes. De esta forma, los cibercriminales tendrán mucho más difícil adueñarse de las combinaciones de acceso y garantizamos el más alto nivel de seguridad en nuestros dispositivos”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software.

• Check Point Research muestra que Emotet sigue siendo el número uno de los malware más frecuentes, mientras que Agent Tesla pasa del cuarto al segundo puesto tras varias campañas de mal-spam.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de marzo. Los investigadores informan que Emotet continúa su reinado como el malware más difundido, afectando al 10% de las empresas de todo el mundo, el doble que en febrero.

Emotet es un troyano avanzado, autopropagado y modular que utiliza múltiples métodos para ser persistente y aplica técnicas de evasión para evitar su detección. Desde su regreso en noviembre del año pasado y tras la reciente noticia del cierre de Trickbot, Emotet ha ido reforzando su posición como el malware más prevalente, especialmente este mes en el que se han realizado muchas campañas agresivas de correo electrónico, incluyendo varias estafas de phishing con temática de Semana Santa. Los emails se enviaron a víctimas de todo el mundo, uno de ellos con el asunto “buona pasqua, happy easter”, pero adjunto al email había un archivo XLS malicioso para distribuir Emotet.

El Agente Tesla, la RAT avanzada que funciona como un keylogger y ladrón de información, es el segundo malware más frecuente este mes, escalando posiciones desde el cuarto lugar del mes pasado. El aumento del Agente Tesla se debe a varios envíos nuevos de mal-spam que distribuyen el RAT a través de archivos maliciosos xlsx/PDF en todo el mundo. Algunas de estas campañas han aprovechado la guerra entre Rusia y Ucrania para atraer a las víctimas.

"La tecnología ha avanzado en los últimos años hasta el punto de que los ciberdelincuentes dependen cada vez más de la confianza de las personas para acceder a una red corporativa. Al centrar sus correos electrónicos de phishing en festividades estacionales como la Semana Santa, son capaces de explotar y atraer a las víctimas para que descarguen archivos adjuntos maliciosos que contienen malwares como Emotet. Se esperaba un aumento de estafas de este tipo el fin de semana de Pascua y, por ello, advertimos a los usuarios para que estuvieran alerta, incluso si el email parecía provenir de una fuente fiable. ", afirma Ivonne Pedraza, Territory Manager CCA de Check Point Software. "Este mes también hemos observado que Apache Log4j ha vuelto a ser la vulnerabilidad número uno más explotada. Incluso después de todo lo que se habló de ella a finales del año pasado, sigue causando daños meses después de la detección inicial. Las empresas deben tomar medidas inmediatas para evitar que se produzcan ataques".

Los investigadores han revelado que en marzo el sector de la Educación/Investigación sigue siendo el más atacado a nivel mundial, seguido por el Gobierno/Militar y el de ISP/MSP. "La revelación de información del servidor web Git" ha sido la vulnerabilidad más explotada y común - ha afectado al 26% de las empresas de todo el mundo-, seguida de “Apache Log4j Remote Code Execution” que impactó a más del 33%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 26% de los negocios en el mundo.

Ejemplos de correos electrónicos de phishing con temática de Pascua

Los 3 malware más buscados en Colombia en marzo:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Gupteba- Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.21% de las organizaciones en Colombia en marzo y su impacto global fue 2.03% en ese periodo.

2. ↑ Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en marzo tuvo un impacto en las empresas del 13.44% y a nivel global del 1.30%.

3. ↑ AsyncRat –. Es un troyano que se dirige a la plataforma Windows. Este malware envía información del sistema sobre el sistema de destino a un servidor remoto. Recibe comandos del sistema para descargar y ejecutar complementos, eliminar procesos, desinstalarse/actualizarse y hacer capturas de imágenes de pantalla del sistema infectado. En Colombia, ha afectado en marzo a un 12.25% de las empresas y globalmente al 0.69%.

Los sectores más atacados a nivel mundial:
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las Gobierno/Militar y ISP/MSP.

1. Educación/Investigación
2. Gobierno/Militar
3. ISP/MSP

Top 3 vulnerabilidades más explotadas en marzo:

1. ↔ Filtración de información del repositorio Git - La vulnerabilidad en la exposición de información en el repositorio Git está reportada. La explotación exitosa de esta vulnerabilidad podría permitir la divulgación involuntaria de información de la cuenta.

2. ↔ Ejecución remota de código en Apache Log4j (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j que, si se explota de forma favorable, podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.
3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en marzo:

1. AlienBot – Esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
2. xHelper – Aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies. La lista completa de las 10 familias principales de malware en marzo está disponible en el blog de Check Point Software.

Las redes sociales han pasado a ser el objetivo principal. El sector del transporte es la segunda categoría más atacada. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report del Q1 de 2022 (enero-marzo). El estudio destaca las marcas que los ciberdelincuentes suplantan para intentar robar información personal o credenciales de pago.

La red social LinkedIn encabeza la clasificación por primera vez en la historia, siendo protagonista de más de la mitad (52%) de los intentos de phishing durante este primer trimestre del año, lo que supone un espectacular aumento del 44% con respecto al pasado periodo, en el que ocupaba la quinta posición y sólo representaba el 8% de los intentos de phishing. LinkedIn ha superado a DHL como la firma más afectada, que ahora ocupa la segunda posición y representa el 14% de todos los intentos de phishing de estos primeros meses del año.

Este último índice pone de manifiesto cómo las redes sociales han pasado a ser el objetivo principal de los ciberdelincuentes, por delante de las empresas de transporte y los gigantes tecnológicos como Google, Microsoft y Apple. LinkedIn es la marca más usada por un margen considerable, pero también vemos a WhatsApp en el top diez, representando casi 1 de cada 20 ataques relacionados con el phishing en todo el mundo. El informe destaca un ejemplo particular en el que contactan con los usuarios de LinkedIn a través de un correo electrónico de apariencia oficial en un intento de atraerlos para que hagan clic en un enlace malicioso. Una vez allí, se pide a los usuarios que inicien sesión a través de un portal falso en el que se recogen sus credenciales.

El sector del transporte es la segunda categoría más atacada, ya que los ciberdelincuentes siguen aprovechando el aumento del comercio electrónico para dirigirse directamente a los consumidores y a las empresas de mensajería. DHL ocupa la segunda posición con el 14% de los intentos de phishing; FedEx ha pasado de la séptima posición a la quinta, y ahora representa el 6% de todos los casos; y Maersk y AliExpress se estrenan en la lista de los diez primeros. Dicho informe destaca una estrategia de phishing en particular que utilizaba correos electrónicos con la marca Maersk para fomentar la descarga de supuestos documentos de tránsito, infectando los equipos de trabajo con malware.

“Estos intentos de phishing son ataques oportunistas, simple y llanamente. Los grupos criminales los realizan a gran escala, con el fin de conseguir que el mayor número de personas facilite sus datos personales”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Algunos ataques intentarán aprovecharse de las personas o robar su información, como los que estamos viendo con LinkedIn. Otros serán tentativas de desplegar malware en las empresas, como los correos electrónicos fraudulentos que contienen documentos de envíos inexistentes que estamos viendo con empresas como Maersk. Si alguna vez hubo alguna duda de que las redes sociales se convertirían en uno de los sectores objetivo de los grupos delictivos, el primer trimestre ha despejado esas dudas. Mientras que Facebook ha salido de la lista de los diez primeros, LinkedIn se ha disparado al número uno y ha sido responsable de más de la mitad de los intentos de phishing en lo que va de año. La mejor defensa contra estas amenazas, como siempre, es el conocimiento. Los empleados, en particular, deben recibir formación para detectar anomalías sospechosas, como dominios mal escritos, errores tipográficos, fechas incorrectas y otros detalles que pueden poner al descubierto un correo electrónico o mensaje de texto falso. Los usuarios de LinkedIn, en particular, deberían estar muy atentos durante los próximos meses”, concluye Ivonne Pedraza.

En un ataque de phishing de marca los atacantes intentan imitar la página web oficial de una empresa conocida utilizando un nombre de dominio o una URL y un diseño de web similares a los del sitio genuino. El enlace que lleva a la página web falsa puede enviarse a las personas objetivo por correo electrónico o mensaje de texto, o también puede redirigirse al usuario durante la navegación, o activarse desde una aplicación móvil fraudulenta. El sitio web falso suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios.

Top phishing por marcas en el primer trimestre de 2022

1. LinkedIn (relacionado con el 52% de todos los ataques de phishing a nivel mundial)
2. DHL (14%)
3. Google (7%)
4. Microsoft (6%)
5. FedEx (6%)
6. WhatsApp (4%)
7. Amazon (2%)
8. Maersk (1%)
9. AliExpress (0.8%)
10. Apple (0.8%)

Email de phishing de Maersk - Ejemplo de malware

Durante el primer trimestre de 2022, se ha identificado un correo electrónico de phishing malicioso que utilizaba la marca Maersk e intentaba descargar el RAT (troyano de acceso remoto) Agent Tesla en el equipo del usuario. Así, el mensaje (véase la figura 1) enviado desde “Maersk Notification (service@maersk[.]com)” una dirección falseada- con el asunto “Maersk: verify Copy for Bill of Lading XXXXXXXXX ready for verification”. El contenido solicitaba la descarga de un archivo excel “Transport-Document”que provocaría la infección del sistema con el troyano Tesla.

Correo electrónico de phishing de LinkedIn - Ejemplo de robo de cuenta
En este mensaje de phishing, se observa un intento de robar la información de la cuenta de LinkedIn de un usuario. El email se envió desde “LinkedIn (smtpfox-6qhrg@tavic[.]com[.]mx)”, contenía el asunto “M&R Trading Co.,Ltd 合作采购订单＃XXXXXX”. El atacante intentaba atraer a la víctima para que hiciera clic en un enlace fraudulento, que redirige al usuario a una página de inicio de sesión falsa de LinkedIn (véase la figura 2).
En el enlace malicioso (https://carriermasr.com/public/linkedIn[.]com/linkedIn[.]com/login[.]php) el usuario debía introducir su nombre de usuario y su contraseña.

Como siempre, se recomienda a los usuarios que sean precavidos a la hora de introducir datos y credenciales personales en aplicaciones o sitios web de empresas, y que se lo piensen dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente de empresas como LinkedIn o DHL, ya que actualmente son los más utilizados para hacer suplantaciones.

Check Point Software ayudará a proteger la misión de la Estación Espacial Internacional. Como parte del proyecto, se ha construido un Centro de Misión Rakia exclusivo en las oficinas de Check Point Software en Tel Aviv albergando en su sede en Tel Aviv las instalaciones de la sala de control y los servicios de ciberseguridad. Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, apoya la misión espacial israelí Rakia acogiendo la comunicación con el centro de control especializado, situado en su sede de Tel Aviv, donde también albergará un centro de visitantes. Hoy, el astronauta israelí Eytan Stibbe tiene previsto despegar de Cabo Cañaveral (Florida) en una misión a la Estación Espacial Internacional (ISS). Allí llevará a cabo 35 experimentos, que van desde la investigación en alimentación y agricultura, pasando por pruebas médicas, el impacto de la microgravedad en la degradación del plástico, hasta ensayos con eventos luminosos transitorios, entre otros. La misión está prevista que dure entre 8 y 10 días.

Como parte del proyecto, se ha construido un Centro de Misión Rakia exclusivo en las oficinas de Check Point Software en Tel Aviv que tiene una sala de control desde la que científicos, artistas y educadores podrán supervisar las actividades de Eytan Stibbe y les permitirá realizar los cambios necesarios en los experimentos en tiempo real, a la vez que mantienen un diálogo directo con la sala de control de la ISS en Estados Unidos.

“En los últimos años, las empresas han gastado miles de millones de dólares en intentar establecer un camino "sencillo" hacia el espacio, lo que ha creado nuevas tecnologías y, a su vez, nuevos retos para la ciberseguridad”, afirma Oded Vanunu, responsable de investigación de vulnerabilidades de productos en Check Point Software Technologies. “Con una gran cantidad de comunicaciones y datos entre la nave espacial y la Tierra, cada fase de la misión Rakia necesita protección entre ambos puntos”.

La misión permitirá a los empresarios e investigadores israelíes avanzar en sus ideas innovadoras y les proporcionará una oportunidad única de poner a prueba sus empresas en un entorno de estudio único, contribuyendo así a las industrias de investigación internacionales e israelíes. El centro de visitantes, albergado por Check Point Software, hará accesible el Centro de la Misión Rakia a miles de estudiantes, permitiéndoles experimentar la travesía hacia el espacio a través de elementos interactivos y actividades educativas inspiradoras. El centro está dividido en cinco complejos, cada uno de los cuales representa un aspecto diferente de la misión:

1. El complejo de la Estación Espacial Internacional.
2. El centro de la misión "Rakia".
3. El parque de Experimentos Científicos.
4. El complejo de la vida en la Estación Espacial Internacional.
5. El proyecto inspirador “There is no dream too far away” (no hay sueño demasiado lejano).

Los visitantes podrán realizar una visualización del experimento Crisper de la Universidad de Tel Aviv y el Instituto Volcánico, que probará el diagnóstico genético de virus y bacterias en misiones espaciales en condiciones de microgravedad. Además, se simulará un experimento médico a distancia -detección del estrés y seguimiento del bienestar de los astronautas en remoto- a cargo de “Sheba Medical Center”, que reconoce el desarrollo de la angustia emocional y las situaciones de estrés a través de una app. La aplicación analizará el estado emocional de los visitantes, al igual que el de los astronautas en la estación espacial. El área inspiradora “No Dream Too Far” es una exposición fotográfica especial que muestra la “Coppola”, es decir, la ventana a través de la cual los astronautas observan la Tierra desde la Estación Espacial Internacional.

Los investigadores siguen observando un aumento de los ciberataques desde el comienzo de la guerra tanto en Ucrania como en Rusia, un 39% y un 22% respectivamente. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado que los grupos de amenazas de todo el mundo están utilizando documentos con temática rusa/ucraniana para difundir malware y atraer a las víctimas hacia el ciberespionaje.

Dependiendo de los objetivos y de la región, los ciberdelincuentes están utilizando señuelos que van desde escritos de aspecto oficial hasta artículos de noticias y anuncios de ofertas de trabajo. Los investigadores creen que la motivación para estas campañas es el ciberespionaje, cuyo fin es robar información sensible a gobiernos, bancos y empresas energéticas. Los atacantes y sus víctimas no se concentran en una sola región, sino que se extienden por todo el mundo, incluyendo América Latina, Oriente Medio y Asia.

En una nueva publicación, Check Point Research realiza un perfil de tres grupos APT, denominados El Machete, Lyceum y Sidewinder, que se han descubierto recientemente llevando a cabo campañas de spear-phishing a víctimas de cinco países diferentes.

Nombre del APT Origen APT Sector al que se dirige Países objetivo
El Machete Países hispanohablantes Financiero, Gubernamental Nicaragua, Venezuela
Lyceum La República Islámica de Irán Energía Israel, Arabia Saudí
SideWinder Posiblemente la India Desconocido Pakistán

Características del malware
Check Point Research ha estudiado el malware que cada uno de los tres grupos de APTs ha utilizado de forma específica para las actividades de ciberespionaje. Las capacidades incluyen:
• Keylogging: roba todo aquello que se introduce mediante el teclado.
• Recopilación de credenciales: recaba las credenciales almacenadas en los navegadores Chrome y Firefox.
• Recogida de archivos: reúne información sobre los archivos de cada unidad y recoge los nombres y tamaños de los mismos, permitiendo el robo de ficheros específicos.
• Captura de pantalla.
• Recogida de datos del portapapeles.
• Ejecución de comandos.
Metodología de ataque
El Machete
1. Correo electrónico de spear-phishing con texto sobre Ucrania.
2. Documento de Word adjunto con un artículo versado en Ucrania.
3. La función maliciosa dentro del documento deja caer una secuencia de archivos.
4. Malware descargado en el PC.
Lyceum
1. Email con contenido sobre crímenes de guerra en Ucrania y enlace a un documento malicioso alojado en una página web.
2. El documento ejecuta un macrocódigo cuando se cierra el documento.
3. El archivo .exe se guarda en el PC.
4. La próxima vez que se reinicie el PC se iniciará el malware.
SideWinder
1. La víctima abre el documento malicioso.
2. Cuando se este se inicia, el archivo recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
3. La plantilla externa que se descarga es un archivo RTF, que aprovecha la vulnerabilidad CVE-2017-11882.
4. Malware en el PC de la víctima.
Los documentos con temática de Rusia/Ucrania se convierten en un señuelo
El Machete:
Check Point Research ha descubierto a el grupo el Machete enviando correos electrónicos de spear-phishing a organizaciones financieras de Nicaragua, con un documento de Word adjunto titulado “Oscuros planes del régimen neonazi en Ucrania”. Dicho archivo contenía un artículo escrito y publicado por Alexander Khokholikov, el embajador ruso en Nicaragua, que discutía el conflicto ruso-ucraniano desde la perspectiva del Kremlin.
Lyceum:
A mediados de marzo, una empresa energética israelí recibió un email de la dirección inews-reporter@protonmail[.]com con el asunto “Crímenes de guerra rusos en Ucrania”. El mensaje contenía unas cuantas imágenes extraídas de medios de comunicación públicos y contenía un enlace a un artículo alojado en el dominio news-spot[.]live. Este enlace conducía a un documento que tenía el artículo “Researchers gather evidence of possible Russian war crimes in Ukraine”, publicado por The Guardian. El mismo dominio albergaba otros documentos maliciosos relacionados con Rusia y con la guerra entre Rusia y Ucrania, como una copia de un texto de The Atlantic Council de 2020 sobre las armas nucleares rusas, y una oferta de trabajo para un agente de “extracción/protección” en Ucrania.
SideWinder:
Este documento malicioso de Sidewinder, que también se aprovecha de la guerra entre Rusia y Ucrania, se subió a VirusTotal (VT) a mediados de marzo. A juzgar por su contenido, los objetivos previstos son entidades pakistaníes; el cebo contiene un texto del Instituto Nacional de Asuntos Marítimos de la Universidad Bahria en Islamabad, y se titula “Charla centrada en el impacto del conflicto ruso-ucraniano en Pakistán”. Este archivo malicioso utiliza la inyección remota de plantillas. Cuando se abre, recupera una plantilla remota de un servidor controlado por el ciberdelincuente.
“En este momento, estamos viendo una gran variedad de campañas APT que aprovechan la guerra actual para la distribución de malware. Se trata de prácticas muy específicas y sofisticadas, centradas principalmente en víctimas de los sectores gubernamental, financiero y energético. En este informe, presentamos el perfil y los ejemplos de tres grupos APT diferentes, originarios de distintas partes del mundo, a los que hemos descubierto orquestando estas campañas de spear-phishing. Hemos estudiado detenidamente el malware implicado, y sus capacidades abarcan el registro de teclas, la captura de pantalla y otras muchas funciones”, alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Creemos firmemente que todas estas están diseñadas con la principal motivación del ciberespionaje. Nuestros descubrimientos muestran una clara tendencia: las actividades colaterales en torno a la guerra entre Rusia y Ucrania se han convertido en un señuelo para los grupos de amenazas de todo el mundo. Recomiendo encarecidamente a los gobiernos, los bancos y las empresas energéticas que reiteren la concienciación y la educación en ciberseguridad a sus empleados, y que apliquen soluciones de ciberseguridad que protejan su red a todos los niveles”, concluye Ivonne Pedraza.
Últimas cifras globales de ciberataques a Ucrania, Rusia y los países de la OTAN
Recientemente, Check Point Research ha publicado una actualización sobre las tendencias de los ciberataques durante la actual guerra entre Rusia y Ucrania. Un mes después de su inicio, el 24 de febrero de 2022, ambos países han visto incrementados los ciberataques en un 10% y un 17% respectivamente. Asimismo, se ha constatado un aumento del 16% en los ciberataques a nivel global a lo largo del actual conflicto. Los investigadores han compartido los datos de ciberataques de los países y regiones de la OTAN, entre otros.

En América Latina, la media de amenazas semanales por compañía se elevó la semana pasada a 1.773, un 13% por encima de la cifra registrada antes del inicio del conflicto. En América del Norte, la cifra es del 14% de aumento. La semana pasada en Europa la media de ataques semanales por organización fue un 18% mayor que antes del inicio del conflicto. En APAC, el dato de crecimiento se sitúa en un 16%. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, alerta de que el número de ciberataques tanto en Rusia como en Ucrania sigue aumentando. En Ucrania, la semana pasada la media de ataques semanales por empresa fue de 1.697, un 39% más que antes del inicio del conflicto y un 17% más que la semana previa. Por su parte, en Rusia la semana pasada la media de amenazas semanales por organización se situó en 1.550, un 22% superior a la de antes del inicio del conflicto y un 10% más que la semana anterior.

Asimismo, los investigadores están realizando un seguimiento de los ciberataques en todo el mundo en el marco del actual conflicto entre Rusia y Ucrania y han detectado que la media de ataques semanales por compañía se situó hace siete días en 1.290, un 16% más que antes del inicio del conflicto, y un 2% menos que la semana anterior. Durante todo el periodo que dura la guerra, la media de amenazas semanales ha aumentado un 9% en comparación con el periodo anterior.

Ciberataques por región

• En África, la media de ataques semanales por organización se situó la semana pasada en 2.169, un 7% más que antes del comienzo del conflicto y un 1% más que la semana anterior. Durante su desarrollo, la tasa semanal de ataques subió un 2% en comparación con el periodo previo a los enfrentamientos.
• En Europa, la media de ataques semanales por empresa se situó la semana pasada en 1.101, un 18% mayor que antes del inicio de la guerra y un 5% menor que la semana anterior. Durante el conflicto, la media semanal aumentó un 10% en comparación con el periodo anterior a este.
• En América Latina, la media de amenazas semanales por compañía se elevó la semana pasada a 1.773, un 13% por encima de la cifra registrada antes del inicio del conflicto y un 6% por debajo de la semana precedente. Durante el mismo, la media de ataques semanales creció un 9% en comparación con los momentos anteriores al conflicto.
• En América del Norte, el promedio de ataques semanales por organización en la última semana fue de 957, un 14% superior al de antes del comienzo del conflicto y un 5% inferior respecto a la semana anterior. Durante la guerra, la tasa media semanal de atentados se incrementó en un 10% en comparación con el periodo anterior al estallido de la guerra.
En cuanto a los ciberataques dirigidos a los países de la OTAN, la tendencia continúa creciendo. La última semana en España se incrementaron un 5% frente a los números previos del conflicto, reduciéndose un 5% con respecto a la semana anterior.

"Los ciberataques en ambos bandos, tanto en Rusia como Ucrania, siguen aumentando a medida que avanza el conflicto. La semana pasada, han crecido un 10% y un 17% respectivamente, en comparación con la semana anterior. Parece que los ciberdelincuentes están incrementando sus esfuerzos para aprovecharse de la situación. La tendencia es visible no sólo en los dos países implicados, sino a nivel mundial donde vemos que el promedio de ataques semanales por entidad fue la semana pasada un 16% más alto que antes del comienzo del conflicto. Creo que están tratando de aprovechar el bombo y el interés en torno a la guerra siempre que pueden, ya que buscan atacar a organizaciones que abarcan tanto al sector público, ya sea una ONG, una entidad sin ánimo de lucro o gubernamental, como al sector privado. Desde Check Point Software seguiremos vigilando las tendencias de los ciberataques en las próximas semanas en relación con el actual conflicto entre Rusia y Ucrania", explica Ivonne Pedraza, Territory Manager CCA Check Point Software.

Check Point Research recomienda a las personas que quieran hacer donativos que tengan cuidado con los enlaces y los sitios web que eligen para enviar fondos. En la Darknet los investigadores de CPR han localizado a una mujer que dice llamarse "Marina" y que utiliza una foto de un periódico alemán para identificarse de forma fraudulenta. En otro ejemplo, un anuncio de la Darknet dirige a un sitio web legítimo que ya ha recaudado donativos por valor de casi 10 millones de dólares en criptomonedas
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado una tendencia en la Darknet en la que se publican anuncios para solicitar donaciones para ayudar a los ucranianos. Aunque algunos son legítimos, muchos por el contrario son fraudulentos. Todos los ejemplos encontrados solicitan donaciones en criptomonedas.

La Darknet es un apartado de Internet no visible para los motores de búsqueda y a la que se accede utilizando navegadores anónimos. Los investigadores advierten a los usuarios que no se deben realizar donaciones a Ucrania a través de ella, ya que los ciberdelincuentes buscan sacar provecho rápidamente del gran interés que despierta el conflicto con Rusia.

Según el fundador de la bolsa de criptomonedas Kina, con sede en Kiev, el gobierno ucraniano ha recaudado más de 26 millones de dólares en criptomonedas desde el comienzo de la guerra. Los investigadores de Check Point Research, que escanean con frecuencia la Darknet, han detectado varios anuncios y páginas web cuyo objetivo es recaudar dinero para el pueblo ucraniano, en su mayoría en forma de criptodivisas. La investigación realizada muestra que mientras algunos de estos sitios son parte de la campaña oficial de recaudación de fondos del gobierno ucraniano, otros parecen ser sospechosos y promovidos por ciberdelincuentes que aprovechan la crisis actual para realizar actividades fraudulentas.

Aunque no es ilegal acceder y utilizar la Darknet, muchas de las actividades que se realizan en ella son ventas y transacciones ilegítimas. Durante la pandemia, las investigaciones de CPR descubrieron anuncios relacionados con el Coronavirus y pequeñas webs que ofrecían desde certificados COVID falsos, a vacunas o resultados de pruebas falsas. Ahora, los investigadores han encontrado ejemplos de anuncios en esta red, tanto legítimos como cuestionables, en los que se solicita dinero para ayudar a las víctimas de la guerra.

Marina solicita ayuda en la Darknet

En la Darknet, los investigadores han hallado una página web (onion) que solicita donaciones para "Marina".
Una breve descripción afirma que "Marina" y sus hijos están tratando de escapar de Ucrania debido a una "muy mala situación" y están pidiendo dinero en criptomonedas El llamamiento también dice: "cada moneda ayuda".

Aunque los códigos QR adjuntos son direcciones de monederos de criptomonedas, una rápida comprobación muestra que la imagen principal de la página está tomada de un artículo de periódico de la cadena internacional de noticias alemana Deutsche Welle (DW). No parece proporcionarse ninguna otra información, lo que plantea dudas sobre la autenticidad y legitimidad general de la página.

Una rápida exploración de más sitios web en la Darknet muestra más mini sites que contienen solicitudes de donaciones. Algunos redireccionan a webs oficiales legítimas del gobierno y piden la recaudación de fondos, pero otros enlaces son nulos o a páginas vacías. Algunos sitios remiten a lo que parecen ser páginas web fraudulentas.

Algunas de las páginas web a las que se hace referencia en la Darknet apuntan realmente a lugares fiables. El que destaca es: https://www.defendukraine.org/donate-, un sitio online que llama a los usuarios a "ayudar al ejército ucraniano y a sus heridos, así como a las familias y niños atrapados en el conflicto en desarrollo". También hace referencia a la cuenta de Twitter "Defiende Ucrania". El dominio se registró el 16 de febrero, una semana antes de que comenzara la guerra en Ucrania. La web en sí es sencilla y contiene una lista de diferentes organizaciones y ONG de Ucrania, así como de criptomonedas: Bitcoin, Ethereum y USDT.

Direcciones de Bitcoin: https://www.blockchain.com/btc/address/357a3So9CbsNfBBgFYACGvxxS6tMaDoa1P
Este sitio ha recibido actualmente (desde 2022-02-24 12:58, primera transacción) 261.16141073 BTC valorados en 9.880.525,93 dólares.

En tiempos de crisis y circunstancias extremas, -como en este caso es la guerra- siempre hay una proliferación de ciberdelincuentes que intentan aprovechar la situación y se produce un aumento de las actividades fraudulentas. En un informe reciente, Check Point Research publicó datos sobre el incremento de las amenazas que los investigadores han observado desde el comienzo de la guerra. Los ataques contra el Gobierno y el sector militar de Ucrania crecieron un asombroso 196% en los tres primeros días de combate. No es de extrañar que los atacantes se dirijan ahora a la Darknet en busca de nuevas actividades ofensivas.

“Check Point Research siempre vigila de cerca la Darknet. El año pasado, encontramos anuncios de servicios falsos de Coronavirus. Ahora, estamos viendo cómo aparecen estafas de donaciones a medida que se intensifica el conflicto entre Rusia y Ucrania. Estos anuncios utilizan nombres falsos e historias personales para atraer a la ciudadanía a donar. En uno de los ejemplos, vemos a alguien que dice llamarse "Marina" y que muestra una foto personal con sus hijos de la mano. Resulta que la imagen está sacada en realidad de un periódico alemán”, advierte Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Al mismo tiempo, estamos observando anuncios legítimos de donaciones para ayudar a los ucranianos, donde mostramos un ejemplo que logró recaudar casi diez millones de dólares. Así pues, en la Darknet se mezclan anuncios legítimos y fraudulentos. Pero esta red puede ser un lugar peligroso. Insto encarecidamente a todos los que quieran hacer donaciones a que utilicen fuentes y medios de confianza. Check Point Research la seguirá vigilando durante todo el tiempo que dure la guerra e informará de cualquier otra acción indebida”, destaca Ivonne Pedraza.

El grupo Conti cuenta con oficinas físicas en varios países, incluida Rusia. El equipo de RR. HH de Conti ofrece bonificaciones mensuales, primas, premio al empleado del mes y revisiones de rendimiento. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha recabado nuevos detalles sobre el funcionamiento interno del grupo de ransomware Conti. Conti es un grupo de Ransomware-as-a-Service (RaaS), que permite alquilar el acceso a su infraestructura para lanzar ataques. Expertos del sector han afirmado que Conti tiene su sede en Rusia y puede tener vínculos con la inteligencia de este país. A Conti se le han atribuido ataques de ransomware dirigidos a docenas de empresas, entre ellas el gigante de la ropa Fat Face y Shutterfly, así como a infraestructuras críticas, como el servicio sanitario irlandés y otras organizaciones de asistencia.

El 27 de febrero de este año un presunto infiltrado difundió en Internet un caché de registros de chat pertenecientes al Conti, que afirmaba haberse opuesto al apoyo del grupo a la invasión rusa de Ucrania. Los investigadores analizaron los archivos filtrados y descubrieron que este conjunto de ransomware opera como una gran empresa tecnológica. La compañía tiene un departamento de Recursos Humanos, un proceso de contratación, salarios y pago de bonificaciones.

1. Características de las operaciones internas de Conti:

• Conti actúa como una empresa tecnológica:
- Estructura jerárquica y definida.
- Responsables de equipo que dependen de la alta dirección.
- Principales grupos observados: RR. HH, programadores, verificadores, criptógrafos, administradores de sistemas, ingenieros informáticos, especialistas en OSINT y personal de negociación.
- Check Point Research ha identificado a los principales implicados con sus nombres: Stern (gran jefe), Bentley (jefe técnico), Mango (gestor de cuestiones generales), Buza (director técnico), Target (responsable de los codificadores y sus productos), Veron alias Mors (coordinador de las operaciones del grupo con Emotet).
• Trabajar desde una oficina física en Rusia:
- El grupo Conti dispone de diversas oficinas físicas. El responsable es "Target", socio de Stern y responsable efectivo de la operativa de las oficinas, que también es el encargado del fondo salarial, del equipamiento técnico, del proceso de contratación de Conti y de la formación del personal. Durante 2020, las oficinas offline fueron utilizadas principalmente por los técnicos de pruebas, los equipos ofensivos y los negociadores; Target señala 2 oficinas dedicadas a los trabajadores que hablan directamente con los representantes de las víctimas.
- En agosto de 2020, se abrió una adicional para administradores de sistemas y programadores, bajo la supervisión del "Profesor, que es quien se encarga de todo el proceso técnico de garantizar las infecciones”.
• Remuneración. Primas mensuales, multas, empleado del mes, evaluaciones de rendimiento:
- Los miembros del equipo de negociación de Conti (incluidos los especialistas en OSINT) cobran mediante comisiones, calculadas como un porcentaje del valor del rescate pagado que oscila entre el 0,5% y el 1%. Los programadores y algunos de los directivos reciben un salario en bitcoin, transferido una o dos veces al mes.
- Los empleados de Conti no están sindicados, por lo que están expuestos a prácticas como ser sancionados por su bajo rendimiento.
2. El talento se recluta tanto de fuentes legítimas como clandestinas
- El principal recurso que suele utilizar Conti HR para la contratación son los servicios de búsqueda de personal de habla rusa, como headhunter.ru. También han utilizado otros portales como superjobs.ru, pero al parecer con menos éxito. Conti OPSec prohíbe dejar rastros de las ofertas de trabajo para desarrolladores en esos sitios web, una norma que aplica estrictamente uno de los altos cargos, "Stern".
- Así que, para contratar desarrolladores, Conti se salta el sistema de empleo de headhunter.ru, y en su lugar accede directamente a la bolsa de currículums y se pone en contacto con los candidatos por correo electrónico. Es posible que alguien se pregunte "¿por qué headhunter.ru ofrece este servicio?", y la respuesta es que no lo hace. Conti simplemente "ha tomado prestada" la bolsa de currículums sin permiso, lo que parece ser una práctica habitual en el mundo de la ciberdelincuencia.
3. Conti y los planes de futuro: intercambio de criptomonedas y una red social de darknet
- Una de las ideas discutidas es la creación de una bolsa de criptomonedas en el propio ecosistema del grupo.
- Otro proyecto es la "red social de la Darknet" (también: "VK para la Darknet" o "Carbon Black para los hackers"), un proyecto inspirado por Stern y llevado a cabo por Mango, como una acción comercial. En julio de 2021, Conti ya se puso en contacto con un diseñador, que realizó algunas maquetas.
“Por primera vez, tenemos la oportunidad de acceder a un grupo conocido en el mundo del ransomware. Conti actúa como una empresa de alta tecnología. Nos encontramos con cientos de empleados en una jerarquía de directivos. Vemos una función de RR. HH, con responsables de diferentes departamentos. De forma alarmante, tenemos pruebas de que no todos los asalariados son plenamente conscientes de que forman parte de un grupo de ciberdelincuentes. En otras palabras, Conti ha podido reclutar profesionales de fuentes legítimas. Estos trabajadores creen que están colaborando con una empresa de publicidad, cuando en realidad están haciéndolo con un conocido grupo de ransomware”, explica Ivonne Pedraza, Territory Manager CCA de Check Point technologies. “Algunos de ellos se enteran de la verdad y deciden quedarse, lo que revela que el equipo directivo de Conti ha desarrollado un proceso para conseguir retenerlos. Nos queda claro que Conti ha desarrollado una cultura interna para aumentar los beneficios, además de multar a los empleados por comportamientos inadecuados. También es evidente que Conti tiene oficinas en Rusia. Nuestra publicación presenta conclusiones sobre su funcionamiento interno y su cultura”, concluye Ivonne Pedraza

Para celebrar el Día Internacional de la Mujer 2022, Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, explica cómo han hecho grandes avances en el reconocimiento y la importancia de las mujeres en la ciberseguridad. En este sentido, Check Point actúa y lleva a cabo acciones cada día para aumentar la representación femenina dentro de su empresa y apoyar la proliferación de estas en la industria de la ciberseguridad.

En 2013, las mujeres ocupaban solo el 11% de los puestos de trabajo en el mundo de la ciberseguridad. En 2020, las mujeres europeas representaban el 23% de la fuerza laboral en este campo según el informe Women in Cybersecurity, realizado por la organización de certificaciones en seguridad (ISC)2. Aunque es cierto que cada vez son más las mujeres que ocupan puestos en ciberseguridad, aún queda mucho camino por recorrer para romper las diferencias de género.

Para lograr la meta de tener una organización más equilibrada en términos de género, Check Point Software participa en diferentes conferencias y eventos que promueven la diversidad de género con el fin de incorporar candidatas a la compañía. También ha establecido iniciativas como el programa Woman Mentoring, una campaña de desarrollo del liderazgo para futuras líderes femeninas o el programa de mentoría FIERCE en Estados Unidos, que se llevan a cabo en la región de EMEA cada seis meses. El funcionamiento contempla una dinámica en la que se nombra a una mujer con experiencia, directora o líder de equipo para que guíe a una alumna con menor recorrido. Se trata de una asociación de aprendizaje y desarrollo con un intercambio bidireccional de orientación y asesoramiento, para apoyar a las mujeres que desean desarrollar su carrera en el mundo de la ciberseguridad.

Otra iniciativa llevada a cabo en colaboración con la empresa estadounidense FIERCE es el programa FIERCE Mentorship, cuyo objetivo es formar a las mujeres jóvenes para que se involucren en la ciberseguridad. Este foro de divulgación comunitaria trabaja con comunidades y programas locales para ofrecer actividades innovadoras que inspiren a las chicas a elegir y seguir carreras relacionadas con la ciberseguridad.

"En Check Point Software siempre hemos estado muy comprometidos no sólo con la igualdad, sino con romper los prejuicios en el lugar de trabajo a la hora de contratar, formar y evaluar a nuestros empleados. Para ello, llevamos a cabo programas especiales dedicados a desarrollar las carreras de todas nuestras empleadas, por ejemplo, en el ámbito de la formación. Hemos puesto en marcha un programa de mentoría de alto rendimiento para desarrollar las carreras de las mujeres en nuestros equipos y otro centrado en el desarrollo del liderazgo para las futuras directivas, para preparar a las próximas líderes de nuestra empresa", explica Maya Horowitz, vicepresidenta de investigación de Check Point Software.

"Han sido muchas las mujeres sobresalientes que han sido cruciales en el éxito de Check Point Software desde su nacimiento. La mejor ciberseguridad se basa en tener a las mejores mujeres y hombres trabajando en ella, y nuestra diversidad es siempre un beneficio", destaca Gil Shwed, fundador y CEO de Check Point Software. “Check Point se esfuerza cada día por aumentar la representación femenina y sigue promoviendo campañas y asociaciones con organizaciones para aumentar el número de mujeres en puestos relacionados con la tecnología y formarlas para que crezca su formación en ciberseguridad. En la actualidad, más de la mitad de los altos cargos ejecutivos de Check Point Software están ocupados por mujeres, como la directora de producto (CPO), la directora financiera (CFO), la directora de operaciones (COO) y la directora comercial (CCO)”.

Se ha descubierto que títulos populares como "Temple Run" o "Subway Surfer" son maliciosos, los atacantes pueden utilizar el malware instalado como backdoor para obtener el control total de los equipos de las víctimas. Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha detectado la existencia de un nuevo malware que se está distribuyendo activamente a través de la tienda oficial de Microsoft, apodado Electron Bot.

Con más de 5.000 equipos ya afectados, el malware ejecuta continuamente comandos de los ciberdelincuentes, como por ejemplo el control de cuentas de redes sociales en Facebook, Google y Sound Cloud. De esta forma, es capaz de registrar nuevas cuentas, iniciar sesión, dejar comentarios y dar "me gusta" a otras publicaciones.

Electron Bot es un malware modular de envenenamiento SEO, que se utiliza para la promoción en redes sociales y el fraude de clics. Se distribuye principalmente a través de la plataforma de la tienda de Microsoft y aparece a partir de docenas de aplicaciones infectadas, en su mayoría videojuegos, que los ciberdelincuentes suben constantemente. La actividad de los atacantes comenzó como una campaña de clicker de anuncios descubierta a finales de 2018. El malware en cuestión se escondía en la tienda de Microsoft como una app llamada "Album by Google Photos" que decía ser publicada por Google LLC. Ahora ha evolucionado de forma constante a lo largo de los años, añadiendo nuevas características y técnicas a su arsenal.

El bot está desarrollado con Electron, un marco de trabajo para crear aplicaciones de escritorio multiplataforma utilizando scripts web. El marco combina el motor de renderizado Chromium y el tiempo de ejecución Node.js, dándole las capacidades de un navegador controlado por scripts como JavaScript.

Para evitar la detección, la mayoría de los scripts que controlan el malware se cargan dinámicamente en tiempo de ejecución desde los servidores de los ciberdelincuentes. Esto les permite modificar la carga útil del malware y cambiar el comportamiento de los bots en cualquier momento. Electron imita el comportamiento de la navegación humana y evadir las protecciones de los sitios web.

Las principales capacidades de Electron bot son:

1. Envenenamiento SEO, un método de ataque en el que los ciberdelincuentes crean sitios web maliciosos y utilizan tácticas de optimización de motores de búsqueda para que aparezcan de forma destacada en los resultados de búsqueda. Este método también se utiliza para vender como un servicio y promover el ranking de otros sitios web.
2. Ad Clicker, una infección informática que se ejecuta en segundo plano y se conecta constantemente a páginas web remotas para generar "clics" en la publicidad, con lo que se obtiene un beneficio económico por la cantidad de veces que se hace clic en un anuncio.
3. Promover cuentas de redes sociales, como YouTube y SoundCloud, para dirigir el tráfico a contenidos específicos y aumentar las visitas y los clics en los anuncios para generar beneficios.
4. Promocionar productos online para generar beneficios con los clics en los anuncios o aumentar la valoración de la tienda con el objetivo de aumentar las ventas.

Además, como la carga útil de Electron Bot se hace de forma dinámica, los atacantes pueden utilizar el malware instalado como backdoor para obtener el control total del dispositivo de la víctima.

Distribución a través de aplicaciones de videojuegos en Microsoft Store

Hay docenas de aplicaciones infectadas en la tienda de Microsoft. Se han encontrado títulos populares como "Temple Run" o "Subway Surfer" que son maliciosos.

Figura 1: Templo Endless Runner 2

Hasta ahora, los investigadores han contabilizado 5.000 víctimas en 20 países. La mayoría de las víctimas son de Suecia, Bermudas, Israel y España. Además, han detectado varios distribuidores de videojuegos maliciosos, donde todas las aplicaciones bajo los mismos están relacionadas con la campaña maliciosa:

• Lupy games
• Crazy 4 games
• Jeuxjeuxkeux games
• Akshi games
• Goo Games
• Bizon case

Cómo funciona el malware

1. El ciberataque comienza con la instalación de una aplicación de la tienda de Microsoft que se hace pasar por legítima.
2. Tras la instalación, el ciberdelincuente descarga archivos y ejecuta scripts.
3. El malware, que ha sido descargado, gana persistencia en el equipo de la víctima, ejecutando repetidamente varios comandos enviados desde el C&C del atacante.

En cuanto al origen de este ciberataque, hay evidencias de que la campaña de malware se inició en Bulgaria, incluyendo:

• Todas las variantes entre 2019 - 2022 fueron subidas a un almacenamiento público en la nube "mediafire.com" desde Bulgaria.
• La cuenta de Sound Cloud y el canal de YouTube que el bot promociona están bajo el nombre de "Ivaylo Yordanov", un popular luchador de fútbol búlgaro.
• Bulgaria es el país más promocionado en el código fuente.

Los investigadores de Check Point Research ha informado a Microsoft de todos los distribuidores de videojuegos detectados que están relacionados con esta campaña.

"Esta investigación ha analizado un nuevo malware llamado Electron-Bot que ha atacado a más de 5.000 víctimas en todo el mundo. Electron-Bot se descarga y se propaga fácilmente desde la plataforma oficial de la tienda de Microsoft. El framework Electron proporciona a las aplicaciones Electron acceso a todos los recursos informáticos, incluida la computación GPU. Como el payload del bot se carga dinámicamente en cada tiempo de ejecución, los atacantes pueden modificar el código y cambiar el comportamiento del bot a alto riesgo. Por ejemplo, pueden inicializar otra segunda etapa y enviar un nuevo malware como un ransomware o una RAT. Todo esto puede ocurrir sin el conocimiento de la víctima. La mayoría de las personas piensan que se puede confiar en las reseñas de las tiendas de aplicaciones, y no dudan en descargar una aplicación desde allí. Esto conlleva un riesgo increíble, ya que nunca se sabe qué elementos maliciosos se pueden estar descargando", alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software.

Consejos de seguridad

Para estar lo más seguro posible, antes de descargar una aplicación de la tienda de aplicaciones:

1. Hay que evitar descargar una aplicación con poca cantidad de reseñas
2. Se debe buscar aplicaciones con buenas reseñas, consistentes y confiables
3. En caso de que el nombre de la aplicación sea sospechoso y no coincida con el nombre original, hay que prestar atención.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de enero. Los investigadores señalan que Emotet ha desbancado a Trickbot del primer puesto tras una larga temporada en la cima, y es el malware más extendido de este mes, afectando al 6% de las empresas de todo el mundo. Log4j también sigue siendo un gran problema, ya que afecta al 47,4% de las organizaciones a escala mundial, y el sector más atacado sigue siendo el de la educación/investigación.

Después de sólo dos meses y medio desde su regreso, Emotet ha alcanzado la primera posición. Esta famosa red de bots se propaga sobre todo a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos. Su creciente uso se ha visto favorecido por la prevalencia de Trickbot, que actúa como catalizador, extendiendo este malware aún más. Mientras tanto, Dridex ha desaparecido de la lista de los diez primeros, por Lokibot, un InfoStealer que se utiliza para obtener datos como credenciales de correo electrónico, contraseñas de carteras de criptomonedas y servidores FTP.

"No es de extrañar que Emotet haya vuelto con fuerza. Se trata de un malware evasivo, lo que dificulta su detección, mientras que el hecho de que utilice múltiples métodos para infectar las redes no hace más que contribuir al continuo aumento de esta amenaza. Difícilmente será un problema de corta duración", destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. "Este mes también hemos visto desaparecer a Dridex de nuestra lista de los diez principales y resurgir a Lokibot, que se aprovecha de las víctimas en sus momentos de mayor actividad, distribuyéndose a través de emails de phishing bien disfrazados. Estas amenazas, junto con la batalla en curso contra la vulnerabilidad Log4j, enfatizan la importancia de tener la mejor seguridad a través de las redes, la nube, los móviles y los endpoints de los usuarios".

Check Point Research ha revelado este mes que el sector de la educación/investigación continúa siendo el más atacado a nivel mundial, seguido por el gubernamental/militar y el de ISP/MSP. Asimismo, "Apache Log4j Remote Code Execution" sigue siendo la vulnerabilidad más explotada y común - que ha afectado al 47,4% de las empresas de todo el mundo-, seguida de “La revelación de información del servidor web Git” que impactó a más del 45%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 42% de los negocios en el mundo.

Los 3 malware más buscados en Colombia en enero:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↔ Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en enero tuvo un impacto en las empresas del 13.81% y a nivel global del 1.83%.
2. ↔ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 12.55% de las organizaciones en Colombia en enero y su impacto global fue del 1.87%.

3. ↔ XMRig - Cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. En enero atacó a un 11,72% de las organizaciones en Colombia. Su impacto global en ese mismo periodo fue del 1.87%.

Los sectores más atacados a nivel mundial:
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Gobierno/Militar
3. ISP/MSP

Top 3 vulnerabilidades más explotadas en enero:

1. ↑ Apache Log4j Remote Code Execution (CVE-2021- 44228) – Existe una vulnerabilidad de ejecución remota de código en Apache Log4j. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.
2. ↔ Revelación de información del servidor web Git – La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.
Top 3 del malware móvil mundial en enero:

1. xHelper – aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
2. AlienBot – esta familia es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point Software y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.

Los sectores de la educación y la investigación fueron los más atacados, con una media de 1.605 ataques semanales, lo que supone un aumento del 75%. Las redes de bots fueron la principal categoría de ataque en todo el mundo, después los infostealers y las criptomonedas. Los ciberataques contra los 16 principales sectores aumentaron una media del 55%. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado el Security Report 2022. Desde el innovador sistema de propagación del ataque a SolarWinds a principios de año, hasta la afluencia de explotaciones de la vulnerabilidad Apache Log4j que hemos visto en diciembre el Security Report 2022 revela las claves de los vectores y técnicas de ataque registrados por Check Point Research durante 2021.

Durante el año pasado, las empresas experimentaron un 50% más de ciberataques semanales que en 2020. Por grupos de sectores, educación/investigación, con 1.605 ataques semanales, se sitúa a la cabeza (75% de aumento) seguido por Gobierno/Militar con 1.136 ataques semanales (47% de aumento) y el ámbito de las comunicaciones con 1.079 ataques semanales (51% de aumento). Los proveedores de software experimentaron un crecimiento interanual del 146%, lo que va de la mano de los ataques a la cadena de suministro de software observados en 2021. Este último año también se ha visto una evolución de los ataques a dispositivos móviles, un aumento de las principales vulnerabilidades de los servicios en la nube y el regreso de la famosa red de bots Emotet.

Entre los aspectos más destacados del Security Report 2022 se encuentran:

• Ataques a la cadena de suministro: el ataque de SolarWinds sentó las bases y en 2021 tuvieron lugar numerosos y sofisticados ataques como el de Codecov en abril y el de Kaseya en julio, concluyendo con la vulnerabilidad de Log4j que se expuso en diciembre. El sorprendente impacto logrado por esta única vulnerabilidad en una biblioteca de código abierto demuestra el inmenso riesgo al que están expuestas las cadenas de suministro de software.
• Ciberataques que perturban la vida cotidiana: en 2021 se produjo un gran número de ataques dirigidos a infraestructuras críticas que provocaron enormes trastornos en la vida cotidiana y, en algunos casos, incluso amenazaron su seguridad física.
• Los servicios en la nube están bajo amenaza: las vulnerabilidades de los proveedores de la nube se volvieron mucho más alarmantes en 2021. Las debilidades expuestas a lo largo del año han permitido a los ciberdelincuentes ejecutar un código arbitrario, escalar hasta los privilegios de root y acceder a cantidades masivas de contenido privado.
• Evolución de las amenazas en los dispositivos móviles: a lo largo del año, los ciberdelincuentes han utilizado cada vez más el smishing (suplantación de identidad por SMS) para la distribución de malware y han invertido importantes esfuerzos en vulnerar las cuentas de las redes sociales para obtener acceso a los dispositivos móviles. La continua digitalización del sector bancario en 2021 condujo a la introducción de varias aplicaciones diseñadas para limitar las interacciones cara a cara, y éstas a su vez han llevado a la distribución de nuevas amenazas.
• Grietas en el entorno del ransomware: los gobiernos y las fuerzas del orden cambiaron su postura frente a los grupos organizados de ransomware en 2021, pasando de medidas preventivas y reactivas a ofensivas proactivas contra los operadores de ransomware, su capital y sus infraestructuras de apoyo. El cambio más importante se produjo tras el incidente de Colonial Pipeline en mayo, que hizo que el gobierno de Biden se diera cuenta de que tenía que intensificar los esfuerzos para combatir esta amenaza.
• El regreso de Emotet: una de las redes de bots más peligrosas de la historia ha vuelto. Desde el regreso de Emotet en noviembre, CPR comprobó que la actividad del malware era al menos un 50% del nivel visto en enero de 2021, poco antes de su desmantelamiento inicial. Esta tendencia al alza continuó durante el mes de diciembre con varias campañas de fin de año, y se espera que continúe hasta bien entrado el año 2022.

"En un año que comenzó con uno de los ataques a la cadena de suministro más devastadores de la historia, hemos visto a los ciberdelincuentes crecer en confianza y sofisticación", destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. "El exploit de la vulnerabilidad Log4j ha cerrado un año cogiendo a los responsables de la ciberseguridad con la guardia baja, poniendo de manifiesto el enorme nivel de riesgo inherente a las cadenas de suministro de software. En los meses intermedios, vimos cómo atacaban a los servicios en la nube y se centraban cada vez más en los dispositivos móviles, el rescate de Colonial Pipeline y el resurgimiento de una de las redes de bots más peligrosas de la historia".

"Pero no todo es pesimismo. También vimos que al aumentar las grietas en el ecosistema del ransomware en 2021, los Gobiernos y las fuerzas de seguridad de todo el mundo decidieron adoptar una postura más dura contra los grupos de ransomware. En lugar de confiar en una acción reactiva y correctiva, los Estados han cambiado de estrategia con un enfoque más proactivo para hacer frente a los ciberriesgos. Esta misma filosofía se extiende a las empresas, que ya no pueden permitirse adoptar un enfoque inconexo, aislado y reaccionario para hacer frente a las amenazas. Necesitan una visibilidad de 360 grados, información sobre los ciberataques en tiempo real y una infraestructura de ciberseguridad que pueda movilizarse de manera eficaz y conjunta", concluye Ivonne Pedraza.

Categorías de ciberataques por región en 2021

Promedio de ataques semanales por organización, por industria 2021, comparado con 2020

El informe “Cyber Attack Trends: 2022 Security Report” ofrece una visión detallada del panorama de las ciberamenazas. Estas conclusiones se basan en los datos extraídos de ThreatCloud Intelligence de Check Point Software entre enero y diciembre de 2021, destacando las principales tácticas que los ciberdelincuentes están utilizando para atacar a las empresas.

Cada año se celebra el Día Internacional de la Protección de Datos, una fecha señalada en la que es importante recordar la relevancia de mantener a salvo toda la información personal y empresarial. Según el Security Report 2022 realizado por Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, los ciberataques han aumentado una media de un 50% en un año.

El sector de la educación y la investigación es el que ha sufrido el mayor golpe, con una media de 1.605 ataques cada semana a lo largo del año. En el caso de las empresas, este año se han visto en serio riesgo ante el notable aumento de los ciberataques. Ejemplo de ello ha sido la reciente vulnerabilidad de “Log4Shell”, que el año pasado afectó 48,3% de las organizaciones se vieron afectadas por intentos de explotación de esta vulnerabilidad según los investigadores de Check Point Research.

Incluso los ataques al sector de la sanidad aumentaron un 71% respecto a los niveles anteriores a la pandemia, lo que demuestra que nada está fuera del alcance de los ciberdelincuentes. El nombrado Security Report 2022, también señaló que el correo electrónico se había convertido en un vector cada vez más popular para la distribución de malware durante la pandemia, representando ahora el 84% de la distribución del mismo.

“El Día Internacional de la Protección de Datos es el momento perfecto para que usuarios y empresas evalúen sus protocolos de ciberseguridad a la hora de proteger los datos, con el objetivo de garantizar que su información se mantenga lo más segura posible”, destaca Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Sabemos que las empresas no pueden permitirse el lujo de conformarse cuando se trata de defenderse en un panorama de amenazas en constante evolución. Por eso, estamos trabajando intensamente en tecnologías de vanguardia, como nuestros cortafuegos Quantum Lightspeed, y por eso todas y cada una de nuestras soluciones de software están impulsadas por una plataforma global de inteligencia sobre amenazas en tiempo real”, concluye Ivonne Pedraza.

El Comité Internacional de la Cruz Roja (CICR) ha sido víctima de un ciberataque en el que los ciberdelincuentes se han apoderado de los datos personales y la información de más de 515.000 personas extremadamente vulnerables, entre ellas las que han sido separadas de sus familias debido a conflictos armados, migraciones y catástrofes, entre otras. Ahora la mayor preocupación del CICR tras el impacto de la amenaza son los riesgos potenciales que conlleva esta filtración -incluida la divulgación de información confidencial- para las personas a las que la red de la Cruz Roja y la Media Luna Roja trata de proteger y asistir, así como para sus familiares.

"La sanidad es uno de los sectores más atacados por los ciberdelincuentes según nuestros datos, y seguirá siendo uno de los objetivos más importantes en 2022. Estamos hablando de 830 ciberataques semanales a organizaciones sanitarias en 2021, esto supone un aumento de más del 71% en solo un año. Los atacantes no tienen piedad con la sanidad ni con otros objetivos humanitarios de este tipo, y la Cruz Roja no es la única. Estos grupos son conscientes de la sensibilidad de estos datos, y los ven como "objetivos de dinero rápido". Los hospitales y las entidades sanitarias no pueden permitirse el lujo de interrumpir sus operaciones, ya que esto podría conducir literalmente a situaciones de vida o muerte”, destaca Lotem Finkelsteen, jefe de inteligencia de amenazas e investigación de Check Point Software.

“Los ciberdelincuentes implicados en el ciberataque a la Cruz Roja fueron directamente a la yugular. Buscaron los datos más sensibles de la organización, con el fin de crear la máxima ventaja posible contra la Cruz Roja. El mayor riesgo en este caso es la filtración de los datos comprometidos, que podría tener consecuencias potencialmente devastadoras para las víctimas. El ciberataque a la Cruz Roja hace que las personas indefensas sean aún más vulnerables, obligándolas potencialmente a sufrir más tiempo y a soportar más dolor. Por desgracia, los atacantes consideran estos objetivos como un negocio, y el mundo de los ciberataques es despiadado. Por ello, esperamos que la tendencia de dirigirse a las instituciones sanitarias continúe a medida que nos adentramos en 2022”, concluye Finkelsteen.

Microsoft, que volvió a liderar la clasificación en el tercer trimestre al representar el 29% de todos los intentos, sólo representó el 20% de las estafas de phishing en el cuarto trimestre. FedEx apareció en la lista de los diez primeros por primera vez en el último trimestre de 2021. Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado su Brand Phishing Report del Q4 de 2021. Con el aumento de los casos de COVID y la temporada compras, DHL puso fin al largo reinado de Microsoft como la firma más frecuentemente imitada. Las redes sociales consolidan su posición entre los tres sectores más suplantados, ya que WhatsApp y LinkedIn ocupan los primeros puestos en la lista de las 10 marcas más plagiadas.
Por primera vez, el 23% de todos los intentos de phishing de marcas estaban relacionados con la compañía global de logística y envíos DHL, frente a sólo el 9% en el tercer trimestre, ya que los ciberdelincuentes trataron de aprovecharse de los consumidores online durante el periodo de mayor actividad comercial del año. Microsoft, que volvió a encabezar la clasificación en el Q3 (29% de todos los intentos de phishing), sólo representó el 20% de las estafas en el último trimestre del año. FedEx también apareció en el ranking por primera vez en el Q4 de 2021, sin duda como resultado de que los atacantes quisieran dirigirse a los usuarios online en el período previo a las navidades, ya que la pandemia seguía siendo una preocupación clave.
"Es importante recordar que los ciberdelincuentes son ante todo oportunistas. En sus intentos por robar los datos personales o desplegar malware en los equipos de los usuarios, los grupos criminales a menudo se aprovechan de las tendencias de los consumidores imitando las marcas populares", explica Ivonne Pedraza, Territory Manager CCA de Check Point Software. "Este trimestre, por primera vez, hemos visto que la empresa de logística global DHL encabeza la clasificación, presumiblemente para capitalizar el creciente número de nuevos compradores online”.".
El informe también refuerza una tendencia emergente, las redes sociales parecen consolidar su posición entre los tres principales sectores imitados en los intentos de phishing. Mientras que Facebook ha salido del ranking de las diez marcas con mayor probabilidad de ser suplantadas, WhatsApp ha pasado de la 6ª posición a la 3ª, representando ahora el 11% de todos los casos. LinkedIn ha pasado de la 8ª posición a la 5ª, representando ahora el 8% de todos los ataques relacionados con el phishing.
"El cuarto trimestre también ha confirmado lo que muchos esperábamos: las RRSS seguirán siendo el blanco de los ciberdelincuentes que buscan aprovecharse de aquellos que se apoyan más en canales como WhatsApp, Facebook y LinkedIn como resultado del teletrabajo. Desgraciadamente, las marcas como DHL, Microsoft y WhatsApp -que representan las tres marcas más imitadas en el Q4- no pueden hacer mucho para combatir los intentos de phishing. Es fácil pasar por alto detalles como dominios mal escritos, errores tipográficos o fechas incorrectas, y eso es lo que abre la puerta a más daños. Instamos a todos los usuarios a tener muy en cuenta estos detalles cuando traten con empresas como DHL en los próximos meses", concluye Pedraza.
En un ataque de phishing de marca, los ciberdelincuentes intentan imitar la página web oficial de una marca conocida utilizando un nombre de dominio o una URL y un diseño de página web similares a los del sitio auténtico. El enlace a la web falsa puede ser enviado a las personas objetivo por correo electrónico o mensaje de texto, un usuario puede ser redirigido durante la navegación web, o puede ser activado desde una aplicación móvil fraudulenta. Eeste espacio suele contener un formulario destinado a robar las credenciales, los datos de pago u otra información personal de los usuarios.
Top phishing por marcas en el cuarto trimestre de 2021
1. DHL (relacionado con el 23% de todos los intentos de phishing de marcas a nivel mundial)
2. Microsoft (20%)
3. WhatsApp (11%)
4. Google (10%)
5. LinkedIn (8%)
6. Amazon (4%)
7. FedEx (3%)
8. Roblox (3%)
9. Paypal (2%)
10. Apple (2%)
Una de las mejores formas de protección ante estas amenazas es la cautela a la hora de divulgar datos personales y credenciales a aplicaciones o páginas web empresariales, y a pensárselo dos veces antes de abrir archivos adjuntos o enlaces de correo electrónico, especialmente de empresas como DHL, Microsoft o WhatsApp, ya que son los más propensos a ser suplantados.

Los ciberataques al sector de la educación/investigación aumentaron un 75% el año pasado. La aplicación de parches, la segmentación de las redes y la formación de los empleados son clave en la prevención. En 2021 hubo un aumento del 50% en los ataques globales por semana a las redes corporativas en comparación con 2020.
Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha publicado las estadísticas globales de los aumentos de ciberataques observados en 2021 por región, país y sector. El año pasado, Check Point Research detectó un aumento del 50% de amenazas por semana en las redes corporativas en comparación con el año 2020.
Esta tendencia alcanzó un máximo histórico a finales de año, llegando a 925 amenazas a la semana por organización, a nivel mundial. Los atacantes se dirigieron en mayor medida a África, Asia-Pacífico y América Latina, pero Europa registró el mayor aumento porcentual de ciberataques año tras año. La educación/investigación se situó en primer lugar como sector industrial más atacado en todo el mundo.
Menos de un mes después de que el mundo fuera testigo de una de las vulnerabilidades más graves de Internet, con millones de ofensivas por hora que intentaban explotar la vulnerabilidad Log4J, 2021 ha sido un año récord en cuanto a ciberseguridad. Ya en octubre, Check Point Research (CPR) informaba de un aumento del 40% en los ataques a nivel mundial, con 1 de cada 61 organizaciones en todo el mundo afectadas por el ransomware cada semana.
En 2021, la educación/investigación fue el sector que experimentó el mayor volumen de ofensivas, con una media de 1.605 ataques por organización cada semana. Esto supuso un crecimiento del 75% respecto a 2020. Le siguieron el ramo gubernamental/militar, que tuvo 1.136 asaltos por semana (47% de subida), y la industria de las comunicaciones, que tuvo 1.079 por organización (51% de incremento).
África experimentó el mayor volumen de ataques en 2021, con una media de 1.582 semanales por organización. Esto representa un aumento del 13% con respecto a 2020.
Le siguen APAC, con una media de 1.353 ofensivas semanales por empresa (25% de incremento); América Latina, con 1.118 de media (38% de ascenso); Europa, con 670 por semana (68% de aumento); y América del Norte, con una media de 503 agresiones semanales por empresa (61% de alza).
"Los ciberdelincuentes siguen innovando. El año pasado, vimos un sorprendente 50% más de ataques por semana en las redes corporativas en comparación con 2020, lo que supone un aumento significativo. Observamos que las cifras alcanzaron su punto álgido hacia finales de año, en gran parte debido a los intentos de explotación de la vulnerabilidad Log4J. Las nuevas técnicas de penetración y los métodos de evasión han facilitado a los atacantes la ejecución de intentos maliciosos. Lo más alarmante es que estamos presenciando la aparición de algunos sectores sociales fundamentales en la lista de los más atacados. Los sistemas educativos, gubernamentales y sanitarios se encuentran entre los cinco sectores más atacados del mundo. Prevemos que estas cifras aumenten de cara a 2022, ya que los ciberdelincuentes seguirán innovando y encontrando nuevos métodos para ejecutar las amenazas, especialmente el ransomware”, alerta Ivonne Pedraza, Territory Manager CCA de Check Point Software. “Estamos en una ciberpandemia, por así decirlo. Recomendamos encarecidamente a los usuarios, especialmente a los de los sectores de la educación, la administración y la sanidad, que aprendan lo básico sobre cómo protegerse. Medidas sencillas como la aplicación de parches, la segmentación de las redes y la formación de los empleados pueden contribuir en gran medida a que el mundo sea más seguro", concluye Pedraza.
Recomendaciones de seguridad
1. Prevención, no detección
2. Asegurar todo
3. Parchear a menudo
4. Segmentar sus redes
5. Educar a los empleados
6. Implementar tecnologías de seguridad avanzadas

*Las estadísticas y datos utilizados en este informe presentan datos detectados por las tecnologías de prevención de amenazas de Check Point Software, almacenados y analizados en ThreatCloud. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. ThreatCloud es en realidad el cerebro detrás del poder de prevención de amenazas de Check Point Software, combina la inteligencia de amenazas de big data con tecnologías avanzadas de IA para proporcionar una prevención precisa a todos los clientes de Check Point Software.

Check Point Research revela que Emotet es ahora el séptimo malware más prevalente, y su regreso se considera "extremadamente preocupante". Los sectores de la educación y la investigación siguen encabezando la lista de objetivos de los ciberdelincuentes.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder especializado en ciberseguridad a nivel mundial, ha publicado su Índice Global de Amenazas del mes de noviembre. Los investigadores informan que, mientras Trickbot sigue encabezando la lista de malware más predominante, afectando al 5% de las empresas a nivel mundial, el recientemente resurgido Emotet vuelve a aparecer en el índice en séptima posición. Asimismo, Check Point Research también revela que el sector que más se ha visto atacado es el de la educación/investigación.

A pesar de los grandes esfuerzos de Europol y de numerosos organismos policiales a principios de este año para acabar con Emotet, se ha confirmado que la famosa red de bots ha vuelto a la acción en noviembre y ya es el séptimo malware más utilizado. Trickbot encabeza el índice por sexta vez, e incluso está implicado en la nueva variante de Emotet, que se está instalando en máquinas infectadas utilizando la infraestructura de Trickbot.

Emotet se propaga a través de correos electrónicos de phishing que contienen archivos Word, Excel y Zip infectados que despliegan este malware en el host de la víctima. Los emails contienen líneas de asunto intrigantes como noticias de actualidad, facturas y falsos memorándums corporativos para atraer a las víctimas a abrirlos. Recientemente, Emotet también comenzó a propagarse a través de paquetes maliciosos de Windows App Installer que simulan ser software de Adobe.

"Emotet es una de las redes de bots más exitosas de la historia de la cibernética y es responsable de la explosión de ataques de ransomware dirigidos que hemos presenciado en los últimos años", dijo Maya Horowitz, VP de Investigación de Check Point Software. "La reaparición de la botnet en noviembre es extremadamente preocupante, ya que puede conducir a un mayor aumento de este tipo de ataques. El hecho de que esté utilizando la infraestructura de Trickbot significa que está acortando el tiempo que le llevaría a Emotet construir un punto de apoyo suficientemente significativo en las redes de todo el mundo. Dado que se está propagando a través de correos electrónicos de phishing con archivos adjuntos maliciosos, es crucial que la concienciación y la educación de los usuarios estén en lo más alto de la lista de prioridades de las empresas cuando se trata de ciberseguridad. Y cualquiera que quiera descargar el software de Adobe debe recordar, como con cualquier aplicación, que sólo debe hacerlo a través de los medios oficiales".

Check Point Research también ha revelado este mes que el sector de la educación/investigación es el más atacado a nivel mundial, seguido por el de las comunicaciones y el gubernamental/militar. Asimismo, los expertos de la compañía señalan que “Servidores web con URL maliciosas de directorio transversal”, es la vulnerabilidad explotada más común - que ha afectado 44% de las empresas a nivel mundial-, seguida de “La revelación de información del servidor web Git” que impactó a más del 43.7%. "La ejecución de código remoto en encabezados HTTP" se sitúa en tercer lugar, afectando al 42% de los negocios en el mundo.

Los 3 malware más buscados en Colombia en noviembre:

*Las flechas muestran el cambio de posición en el ranking en comparación con el mes anterior.

1. ↑ Glupteba – Conocida desde 2011, Glupteba es una puerta trasera que maduró gradualmente hasta convertirse en una botnet. Para 2019 incluía una actualización de direcciones C&C a través de listas públicas de BitCoin, una capacidad integral de robo de navegador y router exploiter. Ha atacado al 16.18% de las organizaciones en Colombia en este periodo. Su impacto global en noviembre fue del 2.31%.
2. ↓Remcos - Es un RAT que apareció por primera vez en 2016. Se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a los correos electrónicos SPAM, y está diseñado para eludir la seguridad UAC de Microsoft Windows y ejecutar el malware con privilegios de alto nivel. En Colombia en noviembre tuvo un impacto en las empresas del 13.69% y a nivel global del 2.16%.
3. ↑ Asyncrat - es un troyano que se dirige a la plataforma Windows. Este malware envía información del sistema sobre el sistema objetivo a un servidor remoto. Recibe comandos del servidor para descargar y ejecutar complementos, matar procesos, desinstalarse / actualizarse y capturar impactos de pantalla del sistema infectado. En Colombia en noviembre tuvo un impacto en las empresas del 9.96% y a nivel global del 0.65%.

Los sectores más atacados en Europa
Este mes, la educación/investigación es la industria más atacada a nivel mundial, seguida de las comunicaciones y el gobierno/militar.

1. Educación/investigación
2. Servicios públicos
3. Comunicaciones

Top 3 vulnerabilidades más explotadas en noviembre:

1. ↔ Servidores web con URL maliciosas con directorio transversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Existe una vulnerabilidad de cruce de directorios en diferentes servidores web. La debilidad se debe a un error de validación de entrada en un servidor web que no sanea adecuadamente la URL para los patrones de recorrido de directorios. El éxito de la explotación permite a los ciberdelincuentes remotos no autentificados revelar o acceder a archivos arbitrarios en el servidor vulnerable.
2. ↔ Revelación de información del servidor web Git - La explotación exitosa de la vulnerabilidad de divulgación de información en el Repositorio Git. permite compartir de forma involuntaria información de la cuenta.

3. ↔ Ejecución remota de código en encabezados HTTP – Las cabeceras HTTP permiten que el cliente y el servidor pasen información adicional con una petición HTTP. Un ciberdelincuente remoto puede usar un encabezado HTTP vulnerable para ejecutar código arbitrario en el equipo infectado.

Top 3 del malware móvil mundial en noviembre:

1. AlienBot - Esta familia de malware es un Malware-as-a-Service (MaaS) para dispositivos Android que permite a un atacante remoto, como primer paso, inyectar código malicioso en aplicaciones financieras legítimas. El ciberdelincuente obtiene acceso a las cuentas de las víctimas, y finalmente controla completamente su dispositivo.
2. xHelper - aplicación Android maliciosa que fue descubierta por primera vez en marzo de 2019. Se utiliza para descargar otras aplicaciones maliciosas y mostrar anuncios. Es capaz de esquivar los antivirus móviles, así como reinstalarse por sí misma en caso de que el usuario la elimine.
3. FluBot – FluBot es un malware botnet para Android que se distribuye a través de SMS de phishing, la mayoría de las veces haciéndose pasar por marcas de reparto de logística. Una vez que el usuario hace clic en el enlace dentro del mensaje, FluBot se instala y obtiene acceso a toda la información sensible del teléfono.

El Índice Global de Impacto de Amenazas de Check Point y su Mapa ThreatCloud están impulsados por la inteligencia ThreatCloud de Check Point Software. ThreatCloud proporciona inteligencia de amenazas en tiempo real derivada de cientos de millones de sensores en todo el mundo, sobre redes, endpoints y móviles. La inteligencia se enriquece con motores basados en IA y datos de investigación exclusivos de Check Point Research, la rama de inteligencia e investigación de Check Point Software Technologies.