Entradas Etiquetadas :

Datos Personales

Ataque fhishing aviso
Phishing en redes sociales y cómo evitarlo
1020 690 Prestigia

El phishing en España, según este informe de Kaspersky Lab, ha ido en aumento, hasta colocarnos en la posición número 3 en el ranking de países con más víctimas, durante el último trimestre del 2018.

Estos ciberataques, han traspasado la barrera del correo electrónico y empiezan a ser comunes en medios como las redes sociales. Los ciberdelincuentes no utilizan las redes tan solo para difundir sus ataques, sino que suplantan cualquier plataforma de social media creando una web falsa donde los usuarios ingresan sus datos de acceso pensando que lo hacen en su red social habitual.

Otro sistema muy utilizado por los cibercriminales, es la creación de anuncios en redes sociales suplantando la identidad de otras empresas, como entidades bancarias o portales de venta de tickets. Invirtiendo dinero en estas aplicaciones, los ciberdelincuentes pueden definir un target concreto y utilizar sus intereses para estafar a un número elevado de usuarios.

Un caso muy conocido fue el de Timberland, que utilizando una cuenta falsa los ciberdelincuentes prometían zapatos al 70% de descuento, engañando así al usuario para robarle sus datos personales. Timberland ha creado un apartado en su página web para denunciar productos falsos y así poder evitar que este tipo de ataques sigan circulando por la red.

Oferta Falsa Phishing Timberland Anuncio Zapato

Cómo evitar un ataque de phishing en redes sociales

Es muy fácil caer en una estafa de phishing. La mayoría de usuarios no se dan cuenta de que han sufrido un ciberataque, hasta que detectan movimientos inusuales o sospechosos en su cuenta bancaria.

Estos son algunos consejos para evitar ser víctima de una ataque de phishing:

  • No confíes en mensajes o publicaciones que ofrezcan ofertas y promociones exageradas o que pidan dinero.
  • Investiga la cuenta que publica o envía mensajes. Existen algunos detalles que pueden ayudarnos a identificar la veracidad de la cuenta: (i) la interacción de los usuarios (Nunca debemos fiarnos del número de seguidores, ya que podrían ser comprados.); (ii) el dominio principal en el que se aloja la supuesta oferta, ¿coincide exacta y totalmente con el dominio oficial de la Web de la marca en cuestión? A menudo, los cambios son mínimos y suficientes para crear una apariencia de veracidad para engañar…. No abras enlaces sospechosos, ya sean recibidos por mensaje o provenientes de una publicación promocionada; (iii) la verificación oficial del perfil (Las grandes marcas siempre tienen el perfil verificado en las redes sociales).
  • En caso de recibir un correo electrónico por parte de plataformas como Facebook o Instagram, asegúrate que provengan de cuentas de correo oficiales y conduzcan a webs oficiales.
  • Nunca accedas a las redes sociales a través de links en el correo electrónico, así evitarás acceder a una posible copia de la plataforma. En caso de acceder, revisa el dominio antes de introducir tus datos.
  • Fíjate en la ortografía utilizada, muchas veces los ciberdelincuentes traducen los mensajes utilizados en sus ataques y suelen estar mal escritos.
  • Comprueba si la página web es segura, la mayoría de páginas web utilizadas para el phishing no suelen tener instalado el certificado SSL.
  • Utiliza las herramientas de seguridad proporcionadas por las redes sociales para proteger tu cuenta. Facebook por ejemplo te informa de todos los inicios de sesión sospechosos directamente a tu dispositivo móvil y también permite utilizar la autenticación en dos pasos.
página web falsa entidad bancaria phishing ciberataque

El blog del INCIBE y la Oficina de Seguridad del Internauta son ambas buenas herramientas para mantenernos al día de los ataques más comunes que circulan por la red.

Si crees que puedes haber detectado una estafa o que has sido víctima de un ataque de phishing, no dudes en comunicarlo a la policía y a tu entidad bancaria.

¿Conocías los ataques de phishing en redes sociales?, ¿Has sido víctima de algún ciberataque a través de las redes sociales?, ¿Utilizas las herramientas que proporcionan las redes sociales para tu seguridad? Esperamos que pongáis en práctica los consejos que os hemos dado y os sean útiles para mejorar vuestra seguridad en Internet. Y si buscas soluciones profesionales que garanticen tu seguridad digital o la de tu negocio, aquí estamos para ayudarte 😊

Alhambra brecha de seguridad puerta
Brecha de seguridad en la web de la Alhambra
1020 690 Prestigia

Recientemente explicábamos en este blog qué son y qué hacer ante una brecha de seguridad, como usuarios afectados. Hoy escribimos sobre un caso reciente, una de las mayores brechas de seguridad producidas en España en los últimos años.

La web oficial de venta de tickets de la Alhambra, ha dejado expuestos los datos personales y bancarios de más de 4 millones de usuarios durante los últimos dos años.

El porqué de la brecha de seguridad

La brecha de seguridad, detectada por un grupo perteneciente a Anonymous llamado LaNueve, hacía que la web fuera vulnerable a inyecciones SQL, permitiendo a los ciberdelincuentes introducirse en el servidor web y obtener datos almacenados en él. Un ciberataque tan común que la mayoría de empresas ya tienen debidamente protegidos sus sistemas informáticos desde hace años.

La web tampoco disponía de WAF (Firewall para Aplicaciones Web), que es una capa adicional que se encarga de proteger la web frente a tráfico malicioso. Además, el histórico de ventas se almacenaba en los mismos servidores donde se almacenaba todo el contenido.

Por razones de seguridad, las transacciones suelen trasladarse a otros servidores aislados pasadas unas horas, para evitar que los ciberdelincuentes se lleven los datos si logran entrar en el sistema.

La página web utilizaba un sistema integral de venta y reserva de entradas llamado IACPOS, utilizado en el museo del Prado o el Thyssen, pero en el caso de la Alhambra, estaba desactualizado cosa que hacía aún más vulnerable la página web. Visto en conjunto, el ataque ha respondido principalmente a un mantenimiento inadecuado. Lo decimos una y otra vez: con el mantenimiento técnico de tu proyecto, no te la juegues.

Consecuencias de la brecha de seguridad

Entre los datos expuestos, se encuentran: números de teléfono, números de tarjetas de crédito o correos electrónicos, tanto de particulares como de las agencias de viajes que vendían tickets a través de la página oficial.

Todos estos datos podrían haber sido utilizados por cualquiera que hubiera encontrado el fallo en la web, aunque por el momento no hay indicios de que nadie los haya utilizado. Estos datos podrían ser utilizados por cibercriminales para elaborar sencillos ataques de phishing, como contamos en nuestro post Mi primera Sextorsión.

La empresa encargada de gestionar el sistema de ventas de la Alhambra ha indicado que el problema ya está resuelto y que han actualizado todo el sistema para evitar posibles ataques en el futuro.

Recuerda, si aún no tienes protegida la seguridad de tu empresa y quieres evitar una brecha de seguridad como la de la Alhambra, en Prestigia te ofrecemos un servicio de mantenimiento y seguridad digital para asegurar tu tranquilidad y la protección de tus principales activos. También puedes contactar con nuestros especialistas en ciberseguridad, cuando lo necesites.

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.