jueves, 28 de enero de 2016

Consejos para que tus hijos eviten a los depredadores sexuales en la Red


En el día de la Protección de Datos, la edición digital del periódico ABC nos ha obsequiado con este artículo basado en el capítulo de Internet Negro (Ed. Temas de Hoy, 2015) dedicado a desenmascarar los riesgos del grooming: 


Foto: http://www.abc.es/familia/padres-hijos/abci-consejos-para-hijos-eviten-depredadores-sexuales-201601272324_noticia.html


El subtítulo de la noticia no deja lugar a dudas: "El grooming o intercambio de fotos con desconocidos es uno de los delitos más peligrosos que existen".

El groomer, llamémosle "normal", se crea un perfil falso en la red social frecuentada por jóvenes que goce de mayor popularidad, busca menores que no estén siendo adecuadamente supervisados, para tras recabar toda la información personal necesaria y tras un proceso de seducción que puede durar días o semanas, pedirle fotografías o video de contenido íntimo, donde sea el propio menor el protagonista.

Una vez que obtiene la primera fotografía o video, comienza el verdadero calvario, la sextorsión, por la que van a pedir más y más material como el que han recibido, bajo todo tipo de amenazas y presiones. O lo que es peor, van a exigir qué es lo quieren ver: qué posturas o conductas quieren ver, incluso con plazos estrictos de entrega. O de lo contrario le pueden decir frases como: "atente a las consecuencias, todo lo que tengo lo voy a publicar en Internet y lo verá todo el mundo".

Este comportamiento ya de por sí delictivo y reprochable, no es lo peor. Existe otro tipo de groomers más peligrosos y sin ningún tipo de escrúpulo, que van a querer concertar una cita a ciegas, física y real, con el menor sextorsionado. Sin duda, nada bueno tiene que ocurrir en una cita de este tipo, lejos de la mirada de ningún adulto responsable que pueda velar por la seguridad del menor.

Este video que usamos en nuestras presentaciones, lo deja bien claro hasta qué punto los menores no son conscientes de los peligros que corren y cuanto se pueden llegar a exponer a posibles groomers y pederastas:




No ha sido casualidad que en la última reforma del Código Penal (LO 1/2015) el legislador haya ampliado la regulación del Grooming de la siguiente forma:


Ya se tipificaba el childgrooming (art. 183 ter) que supone el acoso de adultos a través de las TIC hacia menores de 13 años para de obtener fotografías o vídeos de contenido íntimo y con el fin de conseguir un encuentro físico real en el que abusar del menor. Con la nueva regulación se aumenta la protección de los menores frente a los abusos cometidos a través de internet y las TIC, debido a la facilidad de acceso y el anonimato que proporcionan, con un nuevo apartado en el artículo 183 ter destinado a sancionar al que a través de medios tecnológicos contacte con un menor de 15 años y realice actos dirigidos a embaucarle para que le facilite material pornográfico o le muestre imágenes pornográficas.
La seguridad total no existe en Internet, pero podemos hacer muchas cosas para mejorarla, para implantar una verdadera política de prevención de riesgos tecnológicos, para ello toma nota de los consejos que te proponemos en Internet Negro (pág. 88) para prevenir y evitar el grooming y que igualmente aparecen en el artículo de ABC Familia:


1. Establecer con los menores normas adecuadas y consensuadas sobre el uso de internet. Es fundamental regular horarios, lugares de conexión, formas de supervisión, gestión de contraseñas, etcétera. Para ello te puede ayudar elaborar una especie de «contrato familiar» con cláusulas claras, pero recuerda que tanto menores como adultos deben firmarlo y responsabilizarse de su cumplimiento.
2. Informa a los menores sobre los ciberdelitos que se producen en la red, como el «grooming», y de los principales riesgos on line. No nos cansaremos de repetir que la mejor herramienta tecnológica para la prevención es una buena educación. Recuerda que tarde o temprano los menores estarán fuera de tu control y que se conectarán a internet desde otros ordenadores o desde dispositivos que no están a tu alcance directo, como smartphones, tablets, o relojes inteligentes.
3. Conoce las redes sociales en las que los menores a tu cargo están registrados y los amigos que tienen agregados. Ocúpate de conocer también las webs que visitan, qué hacen en ellas, para qué las visitan (recuerda que un "para qué" resulta menos inquisitivo e intimidador que un "por qué"), qué información personal han dado, qué permisos de geolocalización han ofrecido, etc.
4. Fomenta un diálogo adecuado que, a su vez, generará confianza. Solo así los menores a tu cargo acudirán a ti cuando tengan algún problema. No tengas miedo de hablar con ellos sobre internet, sexo, ciberdelitos, etc. Recuerda que, aunque los nativos digitales sepan más de Internet que nosotros, no saben más de la vida.
5. Pregúntate si conoces a todos los amigos que los menores a tu cargo tienen agregados en sus redes sociales y si verdaderamente sabes quienes son. Recuerda que los «groomers» se hacen pasar por menores.
6. Convénceles de que en ningún caso queden en persona con «amigos» a los que solo conozcan por Internet
7. Fomenta que desarrollen un pensamiento crítico basado en pensar antes de publicar, ya sean fotos, videos, o comentarios que puedan perjudicarles. Haz que el menor se plantee esta sencilla pregunta: ¿Cuanto te disgustaría, del 1 al 10, que esa foto la viera todo el mundo que conoces?
8. Evita que los menores envíen fotografías o videos propios sin tu supervisión. Dependiendo de la edad, es fundamental -siempre es recomendable- saber a quién los envían y cuál es su contenido. En el caso de adolescentes de 16 años o más, creemos que la educación digital debería haberse iniciado tiempo atrás, pero en el de lo menores de 13, la supervisión y el control es crucial, pues aún no se han ganado la libertad de disponer de su propia imagen. De hecho, ni siquiera la ley les concede ese derecho, que se obtiene a partir de los 14 años (la edad mínima para poder configurarse un perfil en una red social).
9. Fomenta el uso de los dispositivos con conexión a Internet desde las zonas comunes de tu casa De esta forma los miembros de la familia compartirán experiencias como usuarios en la red con mayor transparencia y confianza recíproca. Instalar el ordenador en una zona común es una norma de seguridad inicial y básica.
10. Supervisar la utilización que hacen los menores de dispositivos con cámara integrada, como tablets y smartphones. Interésate por saber con quien se conectan y recuerda que la escasa o nula vigilancia de estos dispositivos con cámara es otro de los principales factores de riesgo.
Recuerda que en Internet, todo el mundo miente. Solamente una formación adecuada en padres, educadores y en los propios menores, les darás a todos las herramientas suficientes para hacer frente a groomers y otros riesgos.
ENTRADAS RELACIONADAS:









jueves, 21 de enero de 2016

Los fraudes on line: un poco de todo


Aproximadamente el 80 por cien de los delitos ocurridos en Internet, son fraudes on line.



La ciberdelincuencia es ya un negocio más lucrativo y menos arriesgado que el narcotráfico y la trata de blancas.



La ciberdelincuencia crece cada año dando la impresión de que nada pueda pararla. Internet es global, permite un gran anonimato y operar a los ciberdelincuentes alrededor de todo el mundo, sin conocer de legislaciones, ni competencias territoriales. De ahí que la víctima de una estafa on line pueda estar en España, el autor (o beneficiario) en Rusia, y los servidores donde estaba alojada la web ficticia de una entidad financiera, en cualquier otro país.

Podemos lamentarnos, sobrecogernos al ver noticias de este tipo, pero los autores de Internet Negro preferimos informar, difundir y ayudar a prevenir para que poco a poco la conciencia sobre este nuevo entorno llegue a cuantas más personas mejor. Y es que no nos queda otra, o adaptarnos a las nuevas formas de delincuencia y nuevos retos de seguridad, o quedarnos aislados.


En primer lugar, necesitamos saber a qué nos enfrentamos para poder comenzar a adoptar medidas preventivas, así que aprovechando nuestro paso por el programa A Punto con La 2 del pasado día 19 de enero, sobre los fraudes on line más habituales de los que advertimos en nuestro libro, vamos a dedicar esta entrada a describir brevemente cuáles son algunos de esos principales fraudes y cómo evitarlos:



PHISHING:

Es un fraude de varias fases. Comienza con la obtención de claves de acceso a la banca on line, aunque también puede ser de acceso a otros servicios, como por ejemplo Paypal, redes sociales, etc. Normalmente para captar estas contraseñas, los ciberdelincuentes emplean técnicas de ingeniería social, como el típico e-mail falso recibido que suplanta la imagen de alguna entidad bancaria y pide bajo cualquier pretexto, que verifiquemos nuestro nombre de usuario y contraseña, tras pinchar en un enlace adjunto.


Una vez dentro de nuestra cuenta bancaria, ordenan tantas transferencias como sea posible sin permiso del titular y con destino a una o varias cuentas beneficiarias de terceras personas captadas para ello, por ejemplo mediante procedimientos de scam o falsas ofertas de trabajo como agente o mediador financiero. Son los denominados muleros.
El “trabajo” del mulero consiste en retirar rápidamente el dinero de su cuenta bancaria y enviarlo a través de agencias de envío de dinero a donde le indiquen, quedándose una comisión a cambio que puede oscilar entre el 5 y 10% sobre el total.

Cómo prevenir ser víctimas de pshishing:
  • Los bancos no piden que verifiquemos nuestro nombre de usuario y contraseña por e-mail.
  • No acceder a páginas de entidades bancarias a través de enlaces recibidos por correo electrónico. Es preferible buscar la web de forma directa.
  • Comprobar que la web del banco utiliza cifrados HTTPS.
  • No acceder a nuestra banca on line desde conexiones wi fi públicas. Podrían estar comprometidas o espiadas.
  • Tener antivirus y sistemas operativos actualizados.  Evita en mayor medida que seamos infectados por algún software espía o malicioso.
  • Desconfiar de ofertas de trabajo como mediador financiero o similar. Ofrecen trabajo como mediador financiero sin contrato, ni altas en la seguridad social, donde todo es muy rápido y muy fácil, demasiado bonito para ser verdad.

PHARMING:

Da un paso más allá que el phishing y en vez de engañar a la persona con ingeniería social, engaña a la máquina, es decir al DNS (servidor de nombres de dominio) consiguiendo desviar el tráfico de Internet de un sitio web lícito, por ejemplo la web de una entidad bancaria (también puede ocurrir con las páginas web de Ebay, Facebook, Twitter, Paypal), hacia otro sitio de apariencia similar, creado al efecto para la comisión de fraudes y alojado en un servidor controlado por ciberdelincuentes.


Serán páginas web en principio idénticas en apariencia, pero alojadas en servidores diferentes y con distintas direcciones IP que viene a ser el número de DNI que identifica a una web en Internet.

La finalidad es engañar a los usuarios quienes desconocen que están accediendo a una página web ficticia, y así obtener sus nombres y contraseñas de acceso a la banca on line.
Tras introducir sus claves, el usuario verá que la web le da algún tipo de error y que no puede acceder a pesar de haber tecleado sus credenciales correctamente, las cuales habrán quedado registradas en la base de datos del sitio falso e inevitablemente a disposición de los ciberdelincuentes.

Vacunas disponibles contra el pharming:
  • No descargar archivos procedentes de correos electrónicos desconocidos. Podrían portar el malware que infectará nuestro dispositivo para ser víctimas de pharming.
  • Mantener actualizado el antivirus y sistema operativo. Evitaremos el mayor número de vulnerabilidades posible.
  • Proteger los dispositivos utilizando buenos antivirus (lo que no quiere decir de pago) y cortafuegos (firewalls).
  • Instalar software anti spyware y antipharming.
  • No conectarse a la banca on line desde conexiones a Internet inseguras (wifis abiertas o ordenadores de sitios públicos).

¿Qué es el SCAM?

El scam consiste en captar por Internet personas para falsas ofertas de trabajo. Suelen emplear correos electrónicos (ofertas recibidas a modo de spam), anuncios en webs de trabajo, chats, irc, etc, donde empresas ficticias ofrecen trabajar cómodamente desde casa y cobrando unos beneficios muy altos.


Sin saberlo la víctima que acepta estas ofertas, facilita sus datos personales y número de cuenta bancaria, que serán utilizados posteriormente por la organización delictiva como cuentas depósito o intermediarias para sus traspasos de dinero, por ejemplo como intermediario de un phishing. Sin saberlo podemos estar participando en delitos de estafa por Internet y de blanqueo de capitales.

Para dar cierta apariencia de legalidad, incluyen supuestos testimonios de personas que por todo el mundo se están haciendo ricas con este método, siempre con datos de identificación muy genéricos y escuetos. Respecto a la procedencia de los fondos los justifican como parte de pagos de transportes internacionales, envíos de dinero a ONG's, etc.

¿Qué es el RANSOMWARE?

Consiste básicamente en secuestrar el ordenador y pedir un rescate a cambio para su liberación. Los "cibersecuestradores" consiguen instalar en los ordenadores de sus víctimas un tipo de software malintencionado llamado ransomware (ransom: secuestro en inglés) que a modo de un troyano, les permite el control remoto de los terminales infectados.


Una vez instalado, encripta el dispositivo al completo o algunos de sus archivos. De esta forma impiden el acceso a la información y datos. Tras el bloqueo, comienza la extorsión, por lo que piden un pago a modo de “rescate” para desbloquearlo. Existen varios tipos, como ransomware:

- De bloqueo: bloquea el dispositivo o algún componente como el navegador, pidiendo a cambio del desbloqueo el pago del rescate. El más conocido es el conocido como "Virus de la Policía", que para conseguir su propósito hace creer a la víctima que debe pagar una multa tras haber sido identificado por cometer algún delito por Internet, como descarga de material ilegal o pedófilo.
- De cifrado: cifra datos para secuestrar nuestro dispositivo. Su variante más conocida es Cryptolocker.

Vacunas contra el ransomwarre:

  • Hacer copias de seguridad habitualmente. Todos los expertos coinciden en lo mismo como medida fundamental contra el ransomware. Puede que no evite el ataque, pero sí sus nefastas consecuencias.
  • Actualizar todas las aplicaciones que utilices, especialmente sistemas operativos y navegadores.
  • Instalar antivirus adecuados y actualízalos. No tienen que ser de pago, hay gratuitos que cumplen su función.
  • Evitar ejecutar e instalar programas desconocidos, tanto en ordenadores, como dispositivos móviles.
  • No descargar archivos ni pinchar enlaces de fuentes desconocidas. Alerta con los correos electrónicos “sospechosos” que contengan archivos o enlaces desconocidos. Una forma habitual de infección es a través de e-mails que contienen este tipo de archivos malintencionados.
  • NO PAGAR el rescate y buscar ayuda técnica de profesionales ya que existen alternativas, como herramientas de recuperación de archivos cifrados por ransomware. 

LAS FALSAS APPS:

Todo el mundo espía y las apps son útiles para ello. Se calcula que diariamente se descargan 30 millones de aplicaciones en todo el mundo y en España, cada usuario lleva entre 24 y 31 aplicaciones de media en su smartphone o tablet. Descargar ciertas aplicaciones (apps) en smartphones y tablets tiene sus riesgos, ya que pueden ser el disfraz virtual adecuado para obtener nuestros datos personales, infectar nuestro dispositivo con un virus o por ejemplo, para suscribirte a un contrato de telefonía Premium.

Ejemplos de aplicaciones falsas célebres en los últimos años fue la conocida como Whatsapp Spy, que tras instalarla, permitía supuestamente  conocer el contenido de los mensajes emitidos por tus contactos. O “Escáner desnudo” o “Super Jumper X” que permitía ver personas desnudas, y lo que verdaderamente había era suscribirte a servicio de tarificación especial (SMS Premium).


El gran volumen de desarrollo y lanzamiento de apps a nivel mundial, contribuye a que los supervisores de los dos mercados más importantes a nivel mundial, Google Play y Apple Store, no puedan verificar con total eficacia cada una de las aplicaciones que finalmente logra acceder a sus mercados para ser posteriormente vendidas.
Por otra parte nos encontramos los problemas de privacidad que suponen algunas apps, que al instalarlas nos solicitan acceso a nuestra geolocalización, fotografías y agenda de contactos.

Vacunas que evitan sufrir “la gripe de las aplicaciones falsas”:
  • Una aplicación gratuita para los ordenadores de mesa también lo es para nuestros smartphones o tablets. Si Facebook, Twiter, Skype, Instagram, Tuenti,… han decidido que su aplicación sea gratuita para nuestros PC, no creas a aquellas que bajo la misma denominación y apariencia que las anteriores, nos piden una cantidad para adquirirla.
  • Verificar el nombre de las aplicaciones es vital para que no nos den gato por liebre. Asegúrate de la tipografía exacta (consulta su web previamente) y no te dejes llevar por un nombre similar. No es lo mismo descargarse la aplicación de Angry Birds que Angry Apes.
  • Leer con atención los comentarios que han hecho los anteriores usuarios de la aplicación y en caso de no existir. Al igual que existe el estafador, también existe el buen samaritano digital. Y en el caso de que sea tarde y hayas sido tú una víctima de ello, no lo dudes, deja tu opinión y tu experiencia a fin de evitar que otros sufran lo que tú.
  • Ojo avizor a los permisos que la aplicación nos solicita. ¿Es necesario que el juego de Candy Crush conozca nuestro teléfono móvil?

¿Qué métodos de pago son más seguros?  

La seguridad total en Internet no existe. Aún así hay formas de garantizar los pagos y de reducir los riesgos en las transacciones por internet, por ejemplo utilizando plataformas como Paypal.


Para empezar una política de prevención de riesgos tecnológicos, deberíamos buscar siempre páginas web o apps que utilicen protocolos de cifrado de información en sus operaciones, es decir webs con el famoso candado cerrado y con certificados actualizados HTTPS. En caso contrario, deberíamos en principio desconfiar e intentar verificar quien es el destinatario y quien gestiona a web intermediaria.

¿Qué es el bitcoin o moneda virtual? ¿Es una forma de pago segura?

El bitcoin o criptomoneda, es la moneda virtual que se emplea como medio de pago en la deep web o web profunda. Está fuera del alcance cualquier banco, país u organismo. Según dicen algunos, su aceptación es tan grande en las transacciones de esa cara oculta de internet, que ya y cajeros que dispensan bitcoin en monederos virtuales y acabará siendo aceptada de manera institucional. Tienen su equivalencia en euros y al ser la moneda de pago de la deep web hace muy difícil su seguimiento.


Es una forma de pago segura, en el sentido de que no es posible falsificarla o duplicarla porque se halla protegida con un complejo sistema criptográfico.

¿Cuándo podemos dar nuestro número de tarjeta de banco?

Siempre que sea necesario para compras por Internet pero bajo vigilando que sean páginas web seguras con protocolos hpps que garanticen el cifrado de la información que reciben. Pero cuidado, no es suficiente, ya que a pesar de que la web esté protegida y cifre sus comunicaciones, debemos tener en cuenta que son nuestros propios dispositivos los que podrían estar infectados por algún malware.

Enlaces relacionados:




sábado, 16 de enero de 2016

Pharming: cómo engañar a la máquina


Se habla mucho del phishing, de las técnicas de ingeniería social que emplean para captar credenciales por todo el mundo y de los millones de euros de beneficio ilegal que obtienen los phishers, pero no se habla tanto del pharming, siendo un tipo de fraude que por sus características técnicas, pasa más desapercibido a los usuarios que el phishing.

Con el pharming no se engaña a la persona bajo técnicas de ingeniería social para que proporcione sus credenciales de acceso a algún servicio web, si no a la máquina.

 Es decir, al DNS (Sistema de Nombres de Dominio o Domain Name Server). De este modo los ciberdelincuentes consiguen desviar el tráfico de peticiones de acceso a una página web lícita, hasta otra web ficticia creada al efecto y alojada en un servidor diferente dominado por los "ciberamigos de lo ajeno".

Imagen explicando pharming extraída de Wikipedia.

El término pharming, si atendemos a la wikipedia, deriva de las palabras “phising” y “farm”, granja en inglés. Tiene su explicación en el hecho de que una vez que el atacante ha tomado el control del servidor DNS, puede aprovecharse de nuestros recursos a su gusto, como si de una granja se tratase.

Piensa que todo ordenador y toda página web tiene asignada una dirección IP única (un conjunto de cuatro números que van del o al 255 separados por puntos, por ejemplo 111.111.111.111). La dirección IP de una web es el equivalente al DNI de una persona, el cual le identifica de forma única en relación al resto de ciudadanos.

IANA: organismo responsable de la coordinación a nivel global de los DNS,  redireccionamiento IP y otros recursos de protocolo de Internet.
Recordar números separados por puntos es más difícil que recordar palabras, por lo que se diseñó el Sistema de Nombres de Dominio (el citado DNS), que traduce dichas direcciones IP (números separados por puntos) a palabras (dominios como “google.es”), simplificando en gran medida a los usuarios el acceso a una web en concreto. Aunque tecleando dichos números separados por puntos en el navegador, también accedes a la web en concreto.

Google.es tiene dirección IP 173.194.202.94

En el caso de ataques por pharming, para obtener credenciales bancarias, tras la manipulación realizada en el DNS, si un usuario quiere conectarse a la página web de su banco, será redireccionado por su propio ordenador, a una web idéntica en cuanto a su apariencia, aunque ficticia, donde la dirección IP habrá variado -lo que acredita que es una web diferente-, pero su nombre no.

¿Pero quien sabe la dirección IP de las páginas web que consulta? Ni siquiera de las que más habitualmente se consultan. De ahí que la gran mayoría de los usuarios pasen tan desapercibidos este tipo de ataques por pharming, especialmente si se ha realizado a ordenadores de uso particular.

Existen gusanos y troyanos que realizan esta función de manipulación del DNS, donde el usuario queda verdaderamente desprotegido y no se percata de nada hasta que comienzan a vaciar su cuenta bancaria. Las formas de entrada de este malware son muy variadas, aunque habitualmente se produce a través de correos electrónicos con archivos ejecutables adjuntos que contienen el “veneno”, descargas por Internet o por el uso de memorias USB sin las precauciones debidas.

En resumen, el pharming consigue desviar el tráfico de Internet de un sitio web lícito –por ejemplo la web de una entidad bancaria, aunque también puede ocurrir con las páginas web de Ebay, Facebook, Twitter, Paypal–, hacia otro sitio de apariencia similar creado al efecto para captar credenciales y posteriormente cometer fraudes. Esta web estará alojada en servidores de países extranjeros, con escasa legislación sobre este tema y controlado por ciberdelincuentes. La finalidad es engañar a los usuarios quienes desconocen que están accediendo a una página web ficticia, y así obtener sus nombres y contraseñas de acceso a la banca on line. Tras introducir sus claves, el usuario verá que la web le da algún tipo de error y que no puede acceder a pesar de haber tecleado sus credenciales correctamente, las cuales habrán quedado registradas en la base de datos del sitio falso e inevitablemente a disposición de los ciberdelincuentes.








                                                Definición de pharming en el glosario de INCIBE


Vacunas disponibles contra el pharming:

    - Está dicho hasta la saciedad, pero: NO ABRAS correos electrónicos de origen desconocido.
    - NO descargues archivos procedentes de este tipo de correos.
    - VERIFICAR que la página en la que introducimos contraseñas sea HTTPS.
    - NO introducir contraseñas ni datos personales en web que no tengan los certificados de seguridad actualizados y reconocidos.
    - CONFIRMAR con nuestro banco cualquier mail recibido que nos solicite datos personales.
    - DESCONFÍA si la web de tu banco cambia de apariencia.    - ACTUALIZA tu antivirus y sistema operativo para evitar el mayor número de vulnerabilidades posible.
   - PROTEGE tus DISPOSITIVOS utilizando buenos antivirus (lo que no quiere decir de pago) y cortafuegos (firewalls).
   - Instala software ANTI SPYWARE y ANTIPHARMING.
   - NO te conectes a la banca on line desde conexiones a Internet inseguras (wifis abiertas o ordenadores de sitios públicos).


Entradas relacionadas: