Adalid Medrano

Abogado especialista en Delitos Informáticos y Ciberseguridad

Browsing Category:

Ciberseguridad

Cómo proteger los datos personales de los menores en el ciberespacio

Protección de datos personales para menores

En la actualidad los menores de edad se encuentran bajo diferentes amenazas, de las cuales no tienen la menor idea y que son potenciadas por la ignorancia de quien ejerce la autoridad parental.

El padre de familia debe dar un acompañamiento permanente al menor en la utilización de medios digitales, debe conversar con el menor sobre los riesgos de la tecnología, con el fin de que conforme vaya creciendo se le vayan concediendo mayor libertad y así irle preparando para la edad adulta.

Las principales conductas que ponen en riesgo los datos personales de los menores son las siguientes:

  • Aplicaciones de mensajería de comunicaciones efímeras
  • Juegos que permitan comunicaciones con desconocidos.
  • Utilización de redes sociales, sin supervisión.
  • Publicación de datos personales de los menores por parte de los padres, dirigidas a un público amplio.
  • Publicación de datos personales de los menores en las cuentas de redes sociales en los centros de estudio de los menores.

Aplicaciones de mensajería de comunicaciones efímeras

Las aplicaciones de mensajería que cuentan con la posibilidad de borrado automático, después de un tiempo determinado, son de gran utilidad para adultos que buscan proteger su privacidad.

Sin embargo, los adolescentes las pueden utilizar para esquivar el control parental, lo que se vuelve en un riesgo importante, al poder ser utilizado para conductas de riesgo.

Si el menor es víctima de ciberbullying o child grooming por aplicaciones como Snapchat, es poco lo que puede hacer el padre para detectarlo a tiempo**, debido a la rapidez con que se borran las comunicaciones. En Snapchat los chats se borran después de que las partes lo ven, o un máximo de 24 horas después de que estos son vistos, si así se ha configurado para contactos específicos.

**Salvo opciones más invasivas y de pago que tienen otros riesgos.

Juegos que permitan comunicaciones con desconocidos.

Los pedófilos suelen buscar los espacios donde se encuentran los menores, sean digitales o físicos, por lo que los juegos que tienen habilitado la opción de chat, les da la ocasión perfecta para ganarse la confianza del menor y así iniciar el proceso de grooming, aprovechando el interés en común para ganarse su confianza.

El pedófilo no tiene, necesariamente, prisa en obtener contenido íntimo por parte del menor o de quedarse de ver en algún lugar del mundo físico, sino que puede construir amistades con cientos de menores, hasta que alguno finalmente pica.

Utilización de redes sociales, sin supervisión.

Los padres deben tener claro en todo momento qué redes sociales utilizan sus hijos, con qué fin las utilizan y con quiénes se están comunicando.

Bajo ningún escenario un menor de edad debería estar comunicándose con desconocidos en internet, en la investigación que se realizó para el reportaje #NoCaigás de 7 días, el 83% de las personas que entablaron comunicaciones con desconocidos aceptaron conocerse personalmente con el perfil ficticio, lo que deja claro el riesgo de dejar a un menor utilizando redes sociales sin supervisión.

Los adolescentes prefieren redes sociales que les permitan publicar actualizaciones de contenido efímero, para así dejar el menor rastro posible y en algunas ocasiones tienen hasta cuentas alternativas de redes sociales como Instagram para protegerse del control parental.

Publicación de datos personales de los menores por parte de los padres, dirigidas a un público amplio. )

Los padres tienen la obligación de cuidar los datos personales de sus hijos, sin embargo muchas veces son estos quienes publican sin el menor cuidado fotos a buena resolución de sus hijos para que cualquiera pueda verlos ( Sharenting)

El publicar imágenes, videos o audios de sus hijos hace que terceros puedan recopilar estos y utilizarlos con fines no tan beneficiosos para el menor en el corto o largo plazo. De la misma forma, expone al menor a que estas imágenes, audios o videos puedan utilizarse para:

Ciberbullying: con el material que suben los padres, otros menores podrían utilizarlo para acosar al menor.

Pornografía Infantil: puede ser utilizada bajo la modalidad de montaje, donde los pedófilos ponen la cara de un menor en un cuerpo desnudo para cumplir sus fantasías y con la modalidad de Deep Fake potenciado por la inteligencia artificial, se pueden crear hasta videos bastante reales a partir de una serie de fotografías, video o audio que en este caso el padre de familia facilita.

Secuestro/Violación o Abusos sexuales: por más perverso e increíble que nos parezca, existe un mundo de pederastas que utilizan las redes sociales para buscar material de su interés. Y una fotografía o video de un menor en la red social podría ayudarle a este tipo de persona para encontrar al menor que le gusta y a través de otra información saber hasta dónde estudia y otras rutinas que le facilitan la comisión del delito.

En el proyecto de ley  N.º 21187 se busca agravar la pena por pornografía infantil cuando aparezcan menores de 7 años.

Publicación de datos personales de los menores en las cuentas de redes sociales en los centros de estudio.

En algunas escuelas y colegios tienen como costumbre utilizar Facebook, Instagram, Twitter o Youtube como un medio de comunicación de las acciones que realizan los menores en la institución educativa, lo que los padres agradecen ya que a través de las redes sociales pueden estar pendientes de las actividades de sus hijos.

El problema con lo anterior, es que pocas veces los padres y los encargados de las instituciones analizan el riesgo de publicar los datos personales de los menores y en la mayoría de las ocasiones ni siquiera cuentan con el permiso de los padres de familia.

Se suelen subir fotografías tomadas con alta resolución y no solo le da a desconocidos un importante material para hacer montajes, sino que también facilita el trabajo de cualquier acosador.

Es importante destacar que la inteligencia artificial en combinación con el reconocimiento facial podría utilizarse para buscar imágenes de una persona específica en cualquier sitio de internet, de la misma forma como en la actualidad buscamos el nombre en un buscador. Por lo que la aparición de una cantidad importante de fotografías de un menor lo dejan expuesto.

Como punto adicional, las instituciones están utilizando plataformas tecnológicas con fines escolares, donde se suben datos personales de los menores y tampoco solicitan un consentimiento a los padres de familiar para tratar sus datos personales.

Consejos rápidos de cómo proteger a nuestros hijos en el ciberespacio.

Acuerdo de uso de dispositivos tecnológicos.

El padre de familia deberá sentarse con el menor para establecer las reglas de uso de su dispositivo inteligente y los mecanismos de protección de privacidad.

Deberá establecerse en qué intervalos o situaciones el padre se sentará con el menor a revisar contenido del dispositivo y así detectar cualquier amenaza que pueda realizarse.

Las comunicaciones solo pueden ser vistas por el padre bajo el interés superior del menor y con el fin de evitarle un daño mayor, por lo que deberá respetarse hasta donde se pueda su derecho a la intimidad.


Consejos sobre cómo ayudar a proteger la seguridad del menor

En redes sociales.

  1. Que se utilicen las herramientas de privacidad para la protección de sus datos.
  2. Que no se hagan publicaciones dirigidas a un grupo más amplio que el de los amigos (Personas que conocen y de confianza)
  3. Que las fotografías de perfil no tengan una buena resolución o que no correspondan al menor (Las fotografías de perfil son accesibles para todo el mundo)
  4. Que los amigos sean únicamente personas que los menores conocen.
  5. Que los menores no publiquen información que pueda ser comprometedora para ellos, ya sea de forma individual o en conjunto con otras publicaciones.

En el dispositivo móvil.

Utilizar herramientas de control parental, para calcular el tiempo que duran usando el dispositivo móvil, qué aplicaciones utilizan, poner limitaciones de tiempo y bloquear sitios de adultos.

iOS (iPhone/ iPad): Tiempo de uso.  


Android : Family Link . (Compatibilidad con la versión 7.0 (Nougat) o versiones posteriores)


¿Cómo proteger la seguridad informática de la empresa a nivel jurídico?

III Simposio Internacional sobre Ciberseguridad y Ciberdelincuencia

Cómo evitar ser víctima de una estafa informática bancaria.

La estafa informática bancaria es uno de los delitos informáticos más denunciados en Costa Rica y esto a pesar de que rara vez los delincuentes vulneran la seguridad lógica de los sistemas informáticos bancarios, ya que estos suelen ser muy seguros debido a la alta inversión en seguridad informática, por lo que es más fácil explotar la vulnerabilidad que representa el ser humano con acceso al sistema, tanto a nivel de clientes como de empleado con acceso privilegiado. 

Lo que quiere decir que las entidades bancarias deben invertir más en capacitar a sus clientes y a sus empleados, como herramienta de lucha contra la estafa informática y otros delitos informáticos en contra de entidades financieras y sus clientes.

Un reciente estudio concluyó que un 43% de los profesionales de tecnologías de la información sabrían cómo atacar a la empresa en la que trabajan.  Por esto, es importante que las entidades bancarias hagan conciencia en sus empleados, como mecanismo de disuasión, sobre las responsabilidades penales de las acciones que pueden ejercer sobre un sistema o su información, como lo puede ser la venta de datos personales, de acceso restringido, de los clientes bancarios (Delito de violación de datos personales 196 bis, Código Penal).

Ningún sistema informático es 100% seguro.

Parece claro que ningún sistema informático puede ser 100% seguro mientras un ser humano con acceso al mismo lo exponga, por lo que todo sistema informático bancario debe estar preparado para el error humano.

Por lo anterior, toda estrategia de seguridad informática bancaria que se centre en el mero aseguramiento del proceso de autenticación, de uno o varios factores, es obsoleto, ya que este nunca podrá ser 100% seguro siempre que existan seres humanos ingenuos que revelen o expongan información confidencial apta para que su identidad sea suplantada en una entidad bancaria.

De acuerdo al Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe

«el 49% de las entidades bancarias aún no están implementando herramientas, controles o procesos usando Tecnologías Digitales Emergentes, tales como Big Data, Machine Learning o Inteligencia Artificial, las cuales resultan muy importantes a la hora de prevenir ciberataques o determinar patrones sospechosos asociados a fraude, entre otras capacidades de detección».

¿Y por qué esto es preocupante?

Porque si un atacante logra obtener por parte de un empleado bancario su contraseña y la víctima es engañada para brindar el segundo factor de autenticación (Clave dinámica o token), los delincuentes tendrían la vía libre para disponer de los fondos bancarios.

En cambio, si el banco hace uso del Big Data y el Machine learning con el fin de aprender  del comportamiento de los usuarios en la plataforma bancaria, podría detectar de forma más eficiente comportamientos anómalos o fraudulentos y así protegerles de estafas informáticas en sesiones de usuarios debidamente autenticados, pero con características como las siguientes:

  1. Transferencias a cuentas bancarias nuevas, por montos muy superiores a lo normal.
  2. Transferencias bancarias por montos elevados desde dispositivos o ubicaciones nuevas.
  3. Múltiples transferencias bancarias a cuentas bancarias no favoritas o frecuentes, en intervalos de tiempo muy reducidos.
  4. Transferencias bancarias con montos importantes hacia cuentas bancarias con poca reputación o reciente creación. Si el banco aprende del comportamiento de sus clientes, sabe cuándo una transferencia que ingresa es anómala, tanto por el comportamiento del que emite la transferencia como de quien la recibe.

¿Cómo protegerse?

Los clientes deben aprender a escoger su banco con base a distintos criterios de seguridad, como pueden ser los siguientes:

  1. Le permita autenticarse con un segundo factor de autenticación distinto a una clave impresa «dinámica».
  2. Le brinden la posibilidad de asegurarse ante fraudes informáticos por tarjetas bancarias.
  3. Le notifiquen por correo o mensaje electrónico, en tiempo real, de transferencias o compras a sus dispositivos móviles.
  4. Cuenten con un sistema de recepción de denuncias de estafas informáticas eficiente.
  5.  Cuenten con protocolos de actuación ante estafas informáticas, como lo es el congelamiento de fondos de cuentas bancarias receptoras, que sean sospechosas de facilitación del delito informático. En combinación con el punto 4, puede ser muy eficiente.

 

El cliente por su parte debe seguir los siguientes mandamientos

  1. No brindar datos personales por medios no presenciales, como lo son el correo electrónico, mensaje de texto o sitios webs no oficiales: desconfíe de cualquier instrucción que le pida instalar un programa o le pida un dato personal, aunque no le pidan la contraseña.
  2. No ingresar a sitios web bancarios, a través de enlaces provenientes de mensajes, correos electrónicos, sitios web de terceros o redes sociales.
  3. No instalar aplicaciones de dudosa reputación en su dispositivo móvil u ordenador, aunque se lo recomiende alguien «con autoridad» por vías electrónicas. Desconfíe siempre.
  4. Cambiar la contraseña de forma frecuente y nunca utilizar la misma que usa ya en otro sitio web o aplicación.
  5. No comparta la contraseña bancaria con nadie, ni con sus familiares.
  6. No ingrese a su entidad financiera desde redes de wifi inalámbricas públicas.
  7. Verifique de forma frecuente su estado de cuenta y últimas transacciones en búsqueda de transacciones anómalas.
  8. No preste su cuenta bancaria para recibir transferencias de terceros, porque podría estar
    ayudando a delincuentes a movilizar fondos obtenidos de estafas informáticas (Ver delito 234 CP,  Facilitación del delito informático )

 

 

 

 

Enseñe a sus hijos a cuidarse en internet (Giros)

Esta entrevista que brindé para la revista matutina Giros, trató sobre consejos de ciberseguridad para padres de familia que tienen hijos que ya poseen un dispositivo inteligente.

Los padres de familia deben acompañar a sus hijos menores de edad en la utilización de medios electrónicos, de lo contrario los menores se encontrarán más vulnerables en internet.

El riesgo de los sitios de citas en internet.

Los delincuentes cada vez tienen más presencia en internet y los sitios de citas no son la excepción, por lo que los usuarios que los utilicen deben hacer uso de ellos sabiendo que realizarlo de forma descuidada es un riesgo para su seguridad digital y/o física.

En Escocia las violaciones relacionadas con sitios de citas se ha triplicado en los últimos 4 años, lo que está relacionado con el aumento en el uso de esta clase de plataformas por parte de la población.

La seducción en estas plataformas es un arma poderosa de estafadores que buscan incautos en busca de amor en sitios en línea. En el Reino Unido, en el año 2017 se levantaban las alarmas ya que el fraude en los sitios de citas alcanzaba una cifra récord.

En Perú, se dio un famoso caso con lo que llamaron «la asesina del Tinder«:

«En enero de 2017, Ana Carranza conoció a Luis Ramírez, a través de Tinder…En su vivienda, Ana colocó la música a alto volumen y cerró las puertas con llave. “Le dije que se disculpara por lo que me hizo pero se mostró indiferente (…) lo corté con la espada en el brazo derecho y sin querer le hice un corte profundo”, narró en su confesión.»  [Perú 21]

En Nebraska, en diciembre del 2017 una mujer desapareció después de una cita en Tinder, la cual anunció que iba a tener antes por medio de Snapchat.  Como resultado del análisis de evidencia digital encontraron su cuerpo. El principal sospechoso, quien se citó con ella y  la vio por última vez, publicó videos en redes sociales donde defendía su inocencia, aunque tiempo después aceptó que la estranguló para cumplir una fantasía sexual.

En Costa Rica, un empresario italiano fue encontrado muerto, luego de que acudiera a una cita concertada a través de una aplicación de citas.  El Organismo de Investigación Judicial  «vincula el caso con una banda que estaría ligada con asaltos y retenciones en el país durante los últimos meses».

Según las investigaciones la mayoría de los casos era el mismo modo de operar: la sospechosa contactaba a la persona de interés por una red social (Badoo), lo citaba en su casa en San Joaquín de Flores y las personas desaparecen temporalmente hasta que se da un pago.

Lo anterior nos deja claro que los delincuentes tradicionales están encontrando en la tecnología un aliado para la comisión de delitos y en el caso de los sitios de encuentros  ha sido utilizado para homicidios, violaciones, estafas, secuestros y/o extorsiones.

En un reciente estudio, descubren que las mujeres «pasan más tiempo en la aplicación y examinan más detenidamente a cada persona con la que se cruzan, mientras los hombres fueron descritos como “más eficientes” en su enfoque, y se caracterizan por tomar decisiones mucho más rápidas». Lo último los convierte en presas más fáciles para el crimen organizado.

A pesar de la proliferación de delitos usando como vehículo las plataformas tecnológicas no nos debe llevar a satanizarlas, pero se deben conocer los riesgos y en caso de querer utilizarlas, hacerlo de forma segura.

Consejos de Seguridad.

  • Si usted es un padre de familia, asegúrese que sus hijos menores de edad no utilicen sitios o aplicaciones de citas.
  • No facilite datos personales comprometedores (videos o fotografías íntimas, tarjetas de crédito, dirección de su casa, rutinas y datos que revelen sus rutinas). Todo lo que diga o publique en la plataforma puede ser usado en su contra.
  • Coteje los datos facilitados por la persona con bases de datos personales de acceso público (TSE , perfiles en otras redes sociales, etc ).
  • Si accede a un encuentro personal, hágalo en un lugar público y cuéntele a una persona de su confianza a dónde y con quién va a salir.
  • No lleve a la persona a su casa, ni vaya a un lugar donde no tenga usted control.
  • Sea independiente con el transporte, ya que depender de vehículo ajeno le hace vulnerable.
  • No se exceda con el alcohol y mantenga la bebida siempre bajo su cuidado.

 

 

 

Estado de la Ciberseguridad en Honduras

Les comparto la entrevista que di al famoso programa «Al Banquillo» en Honduras, durante una visita que hice al hermano país centroamericano, para una capacitación en Tegucigalpa.

II Simposio Internacional sobre Ciberseguridad y Ciberdelincuencia

El próximo miércoles 8 de noviembre iniciará el “II Simposio internacional sobre Ciberseguridad y Ciberdelincuencia» que estamos organizando desde la Comisión de Derecho Informático del Colegio de Abogados y Abogadas. Se celebrará los días 8, 9 y 10 de noviembre, de 4:30 pm a 9:30 pm.

Contaremos con expositores internacionales, de la altura de Manuel de Campos, juez argentino especializado en investigaciones tecnológicas y el Presidente de la Federación Iberoamericana de Asociaciones Derecho e Informática (FIADI), el señor Augusto Ho.

Estos 3 días discutiremos sobre Protección de Datos Personales en Costa Rica, Ciberseguridad, Delitos Informáticos y Protección de la Niñez en línea.

El evento es abierto al público general, gratuito, pero de cupo limitado: Puede hacer su registro digital ingresando a la siguiente dirección https://goo.gl/forms/jvLxfPvCkOMhw3eb2 o escaneando el código QR adjunt.

Los asistentes podrán solicitar un cupo para todo el evento, o sólo para los días de su interés. El certificado se entrega a quienes asistan los tres días del evento.

 

Programa:

II SIMPOSIO INTERNACIONAL SOBRE CIBERSEGURIDAD Y CIBERDELINCUENCIA.

8, 9 y 10 DE NOVIEMBRE DEL 2017

8 de Noviembre

PROTECCIÓN DE DATOS PERSONALES

Charlas iniciales.

5:00 PM. Palabras de apertura: Miembro de Junta Directiva

5:10 PM Augusto HO, Presidente FIADI

5:30 PM Adalid Medrano, Comisión de Derecho Informático

Mesa redonda. Retos en la Protección de datos personales en Costa Rica.

5:45 PM Protección de datos personales en CR.  Juan Ignacio Zamora. Comisión Derecho Informático.

6:15 Reforma al reglamento de ley 8968 cambios. Mauricio Garro . Ex-director Prodhab

6:45 Derecho al Olvido . Alejandro Herrera. Comisión Derecho Informático

Moderador:  Catalina Blanco. Comisión D.I

7:15 Preguntas del Público

7:25 Refrigerio

Mesa Redonda.-  Riesgos y oportunidades del BIG DATA

Moderador: Augusto Ho. Presidente de FIADI.

7:40 PM. Experiencia de Facebook con el Big Data. Iñigo Fernández, Facebook.

8:10  PM.   Análisis jurídico del Big Data. Rafael Montenegro. Comisión Derecho Informático

8:50 PM.  Experiencia de Google con el Big Data.  Gabriel Recalde, Google.

9:30 PM. Preguntas del público.

 

9 DE NOVIEMBRE.

CIBERSEGURIDAD Y LA PROTECCIÓN DE LA NIÑEZ EN LÍNEA.

 

4:30 PM. Palabras de apertura: Julio Córdoba.

4:40 PM  #NoCaigas 7 días, María Jesús Prada.

Mesa Redonda.-  Protección de Menores en la Red.

Moderador: Alejandro Herrera (Comisión Derecho Informático)

5:20  PM. Programa Empodérate (UNICEF). Magistrada Doris Arias Madrigal .

5:50  PM. Child Grooming en Costa Rica. Adalid Medrano

6:30 PM.  Pornografía Infantil por William Serrano Babij

7:10  PM. Preguntas del público.

7:25 Café

Mesa redonda: Ciberseguridad.

7:40 Ciberseguridad para Abogados . Oscar Noé Ávila . Presidente ISOC Cybersecurity SIG .

8:10 Retos de la Ciberseguridad en Costa Rica. Randall Barnett. Comisión de Ciberseguridad de CPIC.
8:40  Ética en el campo de la Ciberseguridad.

9:10 PM Preguntas del público.

 

10 DE NOVIEMBRE.

Investigación de Delitos Informáticos

4:30 Palabras de Apertura. Rafael Montenegro Comisión D.I

4:40 PM  Análisis de los delitos informáticos: caso Panamá. Augusto Ho. Presidente de FIADI.

5:20 PM Suplantación de Identidad. Julio Córdoba. . Comisión D.I

5:50 PM  Estafa Informática Oscar Serrano. Comisión DI.

6:20 Preguntas del público.

6:30 PM Café

Mesa redonda: Investigación de Delitos Informáticos.

6:50 PM Investigación de Delitos Informáticos en Costa Rica. Erick Lewis

7:20 PM Convenio Europeo sobre Ciberdelincuencia en Costa Rica. Adalid Medrano.

7:50 PM  La investigación tecnológica y la evidencia digital: aspectos

procesales. La gestión de las evidencias electrónicas Manuel de Campos.

8:50 PM Preguntas moderador y otros expositores.

9:20  PM. Preguntas del público.

9: 30 PM Ágape.

¡Iberia no está regalando tiquetes! ¡Ha sido engañado!

Si usted es de las personas que está compartiendo con sus amigos que se ha ganado dos tiquetes de IBERIA, lamento decirle que ha sido engañado.

El engaño viene de un dominio sharpienow.us, el cual podría poner en peligro la integridad de los sistemas de los usuarios que ingresen a ella, por lo que es recomendable no ingresar.

En pruebas realizadas, el sitio nos envió a sitios que engañan al usuario para que instale un programa informático malicioso, a través de un sistema de referencias que le genera ingresos al ciberdelincuente (a través del programa de propellerads.com).


Recomendaciones

 

  • No ingrese a sitios web de dudosa reputación. Si es demasiado bueno para ser cierto, mejor ni pierda su tiempo ingresando para leer, que el mero ingreso a un sitio atacante lo puede poner en peligro.
  • No comparta en redes sociales, ni por ningún otro medio, concursos o enlaces de dudosa reputación porque pone en peligro a sus amigos, que confiando en su criterio ingresarán a los sitios y podrían ser también víctimas de los ciberdelincuentes.
  • Mantenga su sistema operativo, navegador y antivirus actualizado.

Los delincuentes siempre encontrarán novedosas formas de engañarnos. ¡Seamos precavidos!

 

Sitio web de MICITT ha sido vulnerado por Ciberdelincuentes.

Hoy estaba buscando información y a través de Google llegué al sitio web del Ministerio de Ciencia y Tecnología y cuando ingresé me re-dirigió a un sitio que indicaba que mi computadora estaba infectada y que ahora ocupaba un «escaneo completo» de mi computadora, para lo que probablemente requería la instalación de un falso antivirus (Rogue Software).

Capturé la pantalla, pero no pudo volver a reproducir la misma redirección, por lo que procedí al análisis del código de la página y ahí encontré que el sitio contenía enlaces ocultos a sitios externos.

Haciendo uso de herramientas en línea de búsqueda de malware en sitios webs, me doy cuenta que Norton ya tiene el sitio marcado como potencialmente peligroso.

Como se puede ver, el análisis de las herramientas indican que el sitio web de MICITT utiliza Joomla, que es un Sistema de Gestión de contenido, pero la versión que utilizan está desactualizada, por lo que una vulnerabilidad de esa versión es la que probablemente los delincuentes estén utilizando.

Es importante aclarar que este no es un ataque dirigido al MICITT, sino que los ciberdelincuentes utilizan robots que buscan en internet por sitios con vulnerabilidades, y las infecciones se hacen de forma automática, haciendo que sitios legítimos como este, se conviertan en sitios atacantes.

De momento, solo Norton ha reportado al Micitt como sitio peligroso, por lo que, mientras el sitio no sea limpiado, es mejor evitar ingresar al mismo, para no infectar su computadora de un programa informático malicioso.

Para el momento de la publicación de este artículo el CSIRT ya ha sido debidamente notificado.

[Noticia en desarrollo]

  • 20:39 El CSIRT contestó la comunicación e inician la limpieza del sitio.
  • 21:00 El sitio no se encuentra disponible, por mientras se realiza la limpieza del sitio. Lo que es lo recomendable por el riesgo de infecciones.
  • 22:00 Lectores reportaron que el sitio web mientras estuvo disponible, presentaba instrucciones distintas al ingresar desde un celular, invitándolos a descargar una aplicación.
  • 13/5/2017  9:00 sitio web libre de toda infección.

MINAE

    • El sitio web del MINAE también fue vulnerado por delincuentes, con fines de hactivismo, como se puede apreciar en el pantallazo.

13/5/2017 9:00 sitio web de MINAE, todavía muestra una página de hacktivismo. en la página index1.php del dominio.

¡Actualice el sistema operativo de su computadora ya! (Ransomware WannaCry)

No importa si usted utiliza Windows, Mac, Android o iOs, es importante tener el sistema operativo actualizado, para evitar ser víctima de los ciberdelincuentes, quienes aprovechan errores no corregidos por los desarrolladores de programas informáticos para realizar ataques.

En este momento, se está dando un ataque masivo y mundial de ransomware, el cual ha afectado a Telefónica, a hospitales del Reino Unido y otras organizaciones a nivel mundial.  El ransomware es un programa informático malicioso que encripta la información contenida en un ordenador y solicita un rescate para poder tener acceso a esta.

En este caso, todo parece indicar que es un ataque generalizado y no un ataque dirigido específicamente a estas instituciones, por lo que cualquier persona e instituciones a nivel mundial pueden ser afectadas. 

De acuerdo al Centro Criptológico nacional  de España (CN-CERT),  «Se ha alertado de un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas).  Los sistemas afectados que disponen de actualización de seguridad son:

Como puede verse,  si usted usa Windows debe actualizarlo inmediatamente a la última versión y tener mucho cuidado con la apertura de correos electrónicos con adjuntos, que es la principal fuente de infección de este ransomware WannaCry, que al igual que otros similares, necesita una vía de acceso, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la Red, lo que lo hace particularmente peligroso.

En Costa Rica no estamos aislados de estas amenazas, por lo que sería importante que el CSIRT nacional emitiera una alerta para todas las instituciones del Estado para que actualicen sus sistemas. De la misma forma, los departamentos de TI, de las diferentes empresas, organizaciones e instituciones deberían hacer lo mismo.

El CN-CERT español da las siguientes recomendaciones:

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
  • Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.