En México, la ciudadanía enfrenta una crisis silenciosa pero cada vez más profunda: el crecimiento acelerado del cibercrimen coincide con una respuesta gubernamental marcada por la opacidad, la negación, la evasión, la minimización de riesgos y la falta de rendición de cuentas. El resultado es un doble impacto que recae, de forma desproporcionada, sobre millones de personas cuyos datos personales, financieros y de salud han quedado expuestos en una cadena de incidentes que revelan fallas estructurales en la protección digital del Estado.

Mientras los ataques informáticos contra dependencias públicas se multiplican y colocan al país entre los más afectados de la región, las consecuencias se traducen en fraudes, suplantación de identidad, extorsiones y violaciones graves a la privacidad, con efectos reales sobre la estabilidad económica y la seguridad personal de la población.

Uno de los episodios más alarmantes salió a la luz a finales de enero de 2026, cuando el grupo cibercriminal Chronus difundió alrededor de 2.3 terabytes de información presuntamente sustraída de al menos 25 instituciones públicas, educativas y políticas. La filtración, considerada por especialistas como una de las más graves en la historia reciente del país, incluiría expedientes clínicos, bases de datos administrativas y registros operativos completos.

Entre las entidades afectadas se mencionan IMSS-Bienestar, con millones de registros de atención médica, y el Servicio de Administración Tributaria, con datos de contribuyentes a gran escala, además de padrones electorales, información universitaria, archivos de gobiernos locales y expedientes judiciales.

La unidad de investigación de SILIKN ha advertido que este volumen de información expuesta no solo evidencia vulnerabilidades técnicas, sino una fragilidad estructural agravada por la digitalización acelerada de datos sensibles sin protocolos de seguridad sólidos y por la dependencia de sistemas heredados o administrados por terceros.

A pesar de ello, autoridades federales han sostenido que no se comprometió la infraestructura central y que parte de la información ya había circulado previamente, una postura que ha sido interpretada como un intento de reducir la gravedad del incidente.

A este panorama se suma el ataque confirmado el 5 de febrero de 2026 contra la Sociedad Hipotecaria Federal (SHF), institución clave en el financiamiento a la vivienda. El grupo de ransomware LockBit 5.0, publicó cerca de 277 gigabytes de datos tras un presunto ataque ocurrido semanas antes, en el que se habrían cifrado sistemas críticos y paralizado procesos operativos. Los archivos filtrados contendrían información personal y financiera detallada de ciudadanos vinculados a créditos hipotecarios, incluyendo identificadores oficiales y domicilios. La difusión de los datos, organizada por instituciones bancarias, expone además la interconexión operativa entre la banca de desarrollo y la banca comercial, ampliando el alcance del riesgo.

La unidad de investigación de SILIKN ha señalado que este tipo de filtraciones facilita fraudes de identidad y campañas de ingeniería social dirigidas contra usuarios y empleados del sistema financiero.

El impacto operativo en la SHF ha sido significativo, con interrupciones en trámites de crédito, avalúos, evaluación de riesgos y acceso pleno a bases de datos estratégicas. Aunque no se ha confirmado públicamente si se pagó un rescate o si los sistemas han sido restaurados en su totalidad, evaluaciones técnicas apuntan a que la institución opera con respaldos parciales y sin recuperar completamente la integridad de sus plataformas. Las posibles consecuencias van desde un aumento de solicitudes fraudulentas de crédito hasta daños reputacionales y efectos en la confianza del mercado hipotecario.

Más allá de los aspectos técnicos de cada caso, lo que se repite es el mismo patrón en la reacción oficial: comunicados breves, negativas tajantes y juegos de lenguaje que evitan llamar filtración a lo que ya lo es, aun cuando la información circula sin control en espacios clandestinos de internet.

Esta postura reduce las posibilidades de que las personas afectadas adopten medidas preventivas y obstaculiza cualquier esfuerzo por exigir rendición de cuentas. De manera reiterada, la unidad de investigación de SILIKN ha advertido sobre la insuficiente inversión en ciberseguridad, la débil coordinación entre instituciones y la carencia de una estrategia nacional integral que asuma la protección de datos como un tema de seguridad pública y de derechos fundamentales.

La combinación de cibercriminales cada vez más sofisticados y un aparato estatal que reacciona tarde o de forma insuficiente ha creado un entorno de vulnerabilidad persistente. Cada nueva filtración erosiona la confianza en las instituciones, profundiza la sensación de indefensión y traslada el costo de la negligencia a la vida cotidiana de millones de personas.

En este contexto, la omisión no es solo un problema técnico, sino también político y ético: al no reconocer plenamente la magnitud de la crisis ni actuar con transparencia y firmeza, las autoridades contribuyen a amplificar el daño de los delitos que dicen combatir, dejando a la ciudadanía atrapada en una guerra digital que no eligió, pero cuyas consecuencias enfrenta todos los días.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.

En los puertos de Tampico, Altamira y Veracruz, el olor a combustible ya no siempre delata una fuga en un ducto. Hoy proviene de buques que descargan miles de litros de diésel amparados por facturas electrónicas falsas y empresas fantasma que operan desde la sombra. El viejo huachicol de los ductos perforados ha mutado: ahora se roba el país desde los servidores.

Lo que antes requería una pipa y una manguera, hoy necesita una red de cibercriminales, contadores y funcionarios corruptos. El llamado huachicol fiscal se ha convertido en un negocio más rentable y menos visible, un fraude aduanal y tecnológico que, según estimaciones oficiales, le cuesta al erario más de 177 mil millones de pesos al año.

El robo de combustible ya no es solo una operación clandestina en campo abierto, sino una estrategia cibernética en la que participan organizaciones criminales como el Cártel Jalisco Nueva Generación (CJNG) y el Cártel del Golfo (CDG). Estas estructuras criminales aprendieron a moverse con soltura en los sistemas digitales del Estado mexicano: suplantan identidades fiscales, falsifican CFDI, manipulan GPS, hackean bases de datos y usan criptomonedas para lavar dinero.

La delincuencia entendió algo que el gobierno apenas comienza a asimilar: la frontera del crimen ya no está en el territorio, sino en la red.

El cierre de ductos por parte de Pemex y la militarización de las zonas huachicoleras desde 2019 no eliminaron el delito, solo lo empujaron hacia el mar y el ciberespacio. Los grupos criminales ahora importan combustible de manera ilegal desde Estados Unidos, Asia o Europa, declarando volúmenes falsos o usando documentación apócrifa para evadir impuestos y aranceles.

En marzo de 2025, la Marina decomisó en Tampico el buque Challenge Procyon, con 10 millones de litros de diésel ilegal respaldados por 555 facturas electrónicas falsas. La operación reveló la dimensión digital del fraude: acceso indebido a los sistemas del SAT, robo de credenciales y manipulación de registros oficiales.

El dinero del huachicol fiscal no se guarda bajo el colchón. Se mueve mediante transferencias SPEI, apps fintech y criptomonedas, con una agilidad que deja atrás a la fiscalización tradicional. En 2024, la OFAC estadounidense sancionó a 26 personas y empresas mexicanas por lavar ganancias del huachicol fiscal. El mensaje fue claro: el crimen organizado mexicano aprendió a usar la banca digital mejor que el propio Estado.

Es un hecho, el CJNG ya no necesita del narcotráfico para sostenerse, pues el huachicol fiscal es su fuente principal de ingresos no relacionados con drogas.

El control del mercado también se ejerce por medios digitales. Gasolineras que se niegan a comprar combustible ilegal reciben amenazas por WhatsApp, doxxing de sus dueños o ataques de ransomware que paralizan sus sistemas. En Jalisco y Veracruz, el CJNG ha usado inteligencia cibernética para identificar rutas de distribución, empresas competidoras y funcionarios susceptibles de soborno o intimidación.

Ya no es necesario llegar con armas; basta con un mensaje cifrado o una intrusión a distancia.

El huachicol fiscal tampoco existiría sin el respaldo —o la omisión— de funcionarios que abren puertas electrónicas al crimen. En mayo de 2025, la Secretaría de Hacienda reconoció que el crecimiento de este fenómeno responde a una “infiltración criminal en instituciones clave”.

La corrupción ha cambiado de forma: el maletín con dinero fue reemplazado por un token de acceso, un usuario y una contraseña.

Los decomisos en Tampico, Altamira, Veracruz, Lázaro Cárdenas y Ensenada muestran la magnitud del problema. Pero mientras las autoridades se concentran en inspeccionar buques, los cárteles ya perfeccionan su dominio sobre las redes logísticas y los sistemas digitales.

El gobierno anunció un plan de vigilancia aduanal digital, con auditorías en tiempo real y el uso de inteligencia artificial para detectar irregularidades. Sin embargo, expertos advierten que la burocracia avanza más lento que la innovación criminal. “Mientras el SAT siga siendo un castillo con puertas abiertas, el huachicol fiscal no solo persistirá: se perfeccionará”, advierte la unidad de investigación de SILIKN.

El huachicol fiscal 2.0 es el retrato de un país que sigue persiguiendo delincuentes en los ductos, cuando el verdadero robo ocurre en la nube. Es el crimen del siglo XXI: físico en su ejecución, digital en su diseño, global en su alcance.México está librando una guerra en dos frentes: en los puertos y en los servidores. Y mientras el Estado busca cerrar válvulas, los cárteles ya aprendieron a navegar —no solo en alta mar, sino también en el ciberespacio.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

**Los comentarios emitidos en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.

En tiempos donde la digitalización avanza a pasos acelerados, también lo hacen las amenazas que comprometen la seguridad de las personas.

A pesar de los esfuerzos de bancos, empresas y gobiernos por reforzar la ciberseguridad, los ciberdelincuentes siguen encontrando nuevas formas de atacar, cada vez más sofisticadas y difíciles de detectar.

Según expertos en seguridad digital, hay señales de advertencia que muchas veces se pasan por alto, pero que podrían evitar una fuerte pérdida económica si se detectan a tiempo.

1. Sin señal repentinamente: posible suplantación de SIM

Una de las señales más críticas —y también una de las más ignoradas— es la pérdida repentina e injustificada de la señal del teléfono móvil. Aunque en muchos casos puede tratarse de un simple fallo del operador, también podría ser síntoma de un ataque conocido como SIM swapping o suplantación de SIM.

Este tipo de ataque ocurre cuando un delincuente logra que el número de teléfono de la víctima sea transferido a una tarjeta SIM en su poder. Esto le permite recibir llamadas, mensajes de texto y, lo más preocupante, los códigos de verificación que envían los bancos para validar el acceso a las cuentas. Con esos datos, el criminal puede iniciar sesión en servicios financieros, cambiar contraseñas e incluso vaciar la cuenta.

Ante esta situación, los especialistas recomiendan contactar inmediatamente al operador móvil para verificar si se ha solicitado algún cambio en la línea. Si se confirma una actividad sospechosa, es fundamental bloquear la tarjeta SIM y notificar a los bancos lo antes posible.

2. Alertas inesperadas: notificaciones que no se deben ignorar

Otra señal de advertencia clave son las notificaciones que informan de intentos de acceso a cuentas bancarias o cambios de contraseña que el usuario no ha solicitado. Estos mensajes suelen llegar por correo electrónico, SMS o a través de las aplicaciones bancarias.

Muchas personas tienden a ignorarlas o descartarlas como errores, pero pueden ser la única advertencia antes de un ataque exitoso. Si llega una notificación de este tipo, lo primero que se debe hacer es verificar si efectivamente ha habido un acceso indebido.

Si es el caso, se debe cambiar inmediatamente la contraseña y contactar con la entidad financiera para tomar medidas preventivas.

3. No poder ingresar a la cuenta bancaria: una señal crítica

Una señal más directa y preocupante es cuando el usuario intenta ingresar a la aplicación de su banco y descubre que sus credenciales ya no funcionan. Esto podría indicar que alguien ha tomado el control de la cuenta, modificando la contraseña u otra información de seguridad para bloquear el acceso legítimo.

En estos casos, se recomienda actuar con urgencia. Si no es posible recuperar la cuenta mediante los medios convencionales, se debe contactar directamente con el banco, explicar la situación y solicitar el bloqueo inmediato de movimientos hasta recuperar el control de la cuenta.

Cómo protegerse

Aunque ningún sistema es completamente infalible, adoptar buenas prácticas puede reducir considerablemente el riesgo de sufrir un ataque. Estas son algunas de las recomendaciones de los expertos:

• Active la autenticación en dos pasos en todas sus cuentas bancarias y aplicaciones financieras. Esta capa adicional de seguridad dificulta el acceso incluso si un atacante consigue su contraseña.
• No comparta información personal por teléfono, mensajes o redes sociales, aunque quien la solicite parezca una persona de confianza o un representante de una entidad oficial.
• Evite usar la misma contraseña para múltiples servicios. Si una se filtra, todas sus cuentas quedan vulnerables.
• Revise con frecuencia los movimientos bancarios, y en caso de detectar una transacción sospechosa, comuníquese de inmediato con su banco.

A pesar de operar uno de los sistemas de videovigilancia más grandes de América Latina, con más de 83,400 cámaras activas y 27,500 botones de auxilio, el Centro de Comando, Control, Cómputo, Comunicaciones y Contacto Ciudadano (C5) de la Ciudad de México enfrenta fuertes cuestionamientos por fallas técnicas, presuntos actos de corrupción, deficiencias en ciberseguridad y un preocupante historial de opacidad.

Desde su transformación en 2015 —tras haber comenzado operaciones como el CAEPCCM en 2009— el C5 ha sido presentado como una herramienta clave para la seguridad pública. Sin embargo, diversos incidentes recientes y pasados evidencian que el sistema dista mucho de operar con la eficiencia, integridad y transparencia que las autoridades afirman.

Fallas en momentos críticos

Uno de los casos más graves ocurrió en mayo de 2025, cuando una cámara del C5, ubicada en la alcaldía Tlalpan, no funcionó correctamente durante un ataque armado contra dos funcionarios encargados de la seguridad del propio C5: Ximena Guzmán y José Muñoz. Las imágenes captadas fueron inservibles por su baja calidad, lo que obligó a las autoridades a recurrir a cámaras privadas para obtener evidencia. Aunque el C5 sostuvo que sus cámaras funcionaban y aportaron datos relevantes, el hecho generó indignación y dudas fundadas sobre la confiabilidad del sistema.

Uso indebido de grabaciones y corrupción interna

Las fallas técnicas no son el único motivo de alarma. En 2021, se denunció que elementos de la policía utilizaron grabaciones del C5 para extorsionar personas o filtrarlas a medios sensacionalistas, particularmente cuando las imágenes beneficiaban a autoridades. Por el contrario, cuando el contenido podía comprometer a agentes públicos, se reportaba que “las cámaras no funcionaban” o “las grabaciones se habían perdido”, lo que sugiere manipulación deliberada de evidencia.

Riesgos de ciberseguridad y posible infiltración criminal

El caso más preocupante se remonta a 2018, cuando el Departamento de Justicia de Estados Unidos reveló que un hacker vinculado al Cártel de Sinaloa presuntamente accedió a cámaras de videovigilancia en la Ciudad de México para rastrear a un funcionario del FBI y asesinar a informantes. Aunque no se confirmó si las cámaras eran del C5 o privadas, la institución negó cualquier intrusión a su sistema central y atribuyó el incidente a administraciones anteriores. Hasta la fecha, no ha habido una investigación pública que esclarezca el alcance real del caso.

¿Modernización o dependencia tecnológica?

Actualmente, el C5 opera 83,414 cámaras distribuidas por toda la ciudad y proyecta instalar 40,200 más en 2025, con el objetivo de llegar a 124,000 unidades para el Mundial de Futbol 2026. Sin embargo, este crecimiento no ha venido acompañado de una estrategia integral de seguridad cibernética y mantenimiento efectivo.

Más del 70% de los reportes de cámaras inoperantes están relacionados con problemas de conectividad eléctrica o digital. Algunas cámaras han superado su vida útil, especialmente aquellas instaladas hace más de una década, sin ser renovadas. Para 2025, el C5 prevé reemplazar poco más de 6,000 unidades, aunque la cifra sigue siendo insuficiente frente a la magnitud del sistema.

Opacidad en adquisiciones y falta de controles

Las licitaciones públicas del C5, emitidas aproximadamente cada año, presentan especificaciones técnicas generales pero omiten deliberadamente marcas, modelos y configuraciones de los dispositivos. Documentos como las licitaciones LPN-004-2025, LPN-005-2024, LPN-003-2024 y LPN-002-2024 permiten conocer criterios mínimos de operación, como resolución 4K o visión nocturna, pero evitan identificar a los fabricantes. Esta práctica, aunque promovida como estrategia de libre competencia, impide conocer con certeza qué tecnología se está utilizando y qué tan segura es.

Especialistas en ciberseguridad advierten que esta opacidad puede ser aprovechada por cibercriminales. A través de información técnica genérica y el uso de bases de datos públicas de contraseñas predeterminadas —como las disponibles en cirt.net, a1securitycameras.com o datarecovery.com—, un atacante con conocimientos puede vulnerar dispositivos si estos no están debidamente configurados. A la fecha, no hay constancia pública de que el C5 aplique políticas obligatorias como el cambio de contraseñas por defecto, la actualización periódica de firmware o la autenticación multifactor en todos sus dispositivos.

Integración de cámaras privadas: una amenaza latente

El programa “Más Ojos para la Seguridad”, impulsado por el Gobierno capitalino, busca integrar cámaras privadas al sistema de monitoreo público. No obstante, esta colaboración puede introducir graves vulnerabilidades si no se garantizan los mismos estándares de seguridad para los dispositivos externos. La falta de controles técnicos sobre estas integraciones podría convertirse en una puerta de entrada para ciberataques y espionaje por parte de grupos delictivos.

Tecnología extranjera, sin garantía de soberanía

Gran parte del sistema de videovigilancia está compuesto por equipos de origen extranjero, incluyendo marcas como Hikvision, Dahua, Axis, Hanwha, Samsung, Pelco o Huawei. La dependencia de esta tecnología importada no solo expone al país a riesgos en la cadena de suministro, sino que también limita la capacidad de respuesta ante amenazas globales. No hay certeza sobre qué fabricantes están detrás del sistema actual, lo que deja un vacío preocupante en términos de soberanía tecnológica y rendición de cuentas.

El crimen organizado va un paso adelante

La evidencia muestra que los cárteles han adoptado tecnologías avanzadas como drones, redes encriptadas y software de vigilancia para monitorear a sus adversarios, incluyendo a autoridades. En contraste, el C5 enfrenta limitaciones operativas, tecnológicas y burocráticas que disminuyen su capacidad de respuesta. Esto plantea una paradoja alarmante: mientras el crimen organizado avanza en sus capacidades digitales, el aparato de seguridad pública aún batalla con fallas básicas de mantenimiento, opacidad en adquisiciones y protocolos de seguridad incompletos.

Las autoridades capitalinas presentan al C5 como una estructura sólida para proteger a la ciudadanía, pero los hechos contradicen ese discurso. Las fallas técnicas, la opacidad en licitaciones, los antecedentes de corrupción interna y la falta de controles cibernéticos robustos muestran un sistema que podría estar comprometido desde adentro y desde fuera.

Frente a este panorama, se exige mayor transparencia, auditorías externas, fortalecimiento de las políticas de ciberseguridad y una rendición de cuentas clara sobre los recursos públicos invertidos en videovigilancia. La seguridad de millones de ciudadanos no puede seguir dependiendo de un sistema que, pese a su magnitud, opera entre sombras.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599

**Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.

Los cibercriminales están utilizando millones de dispositivos Android conectados como equipos de 'streaming' de televisión, marcos digitales, proyectores y sistemas de infoentretenimiento de vehículos para conectarse a la red doméstica y utilizarla en actividades delictivas.

BadBox es un 'malware' integrado en Android y presente en miles de dispositivos conectados. Estos, generalmente económicos, utilizan la versión abierta y gratuita del sistema operativo, Android Open Source Project y no están certificados para el programa de seguridad nativo Play Protect.

La primera gran oleada de esta amenaza identificó el 'malware' en unos 74.000 dispositivos fabricados en China y distribuidos por todo el mundo, en los que actúa como una puerta trasera que da acceso a los cibercriminales para facilitarles la ejecución de actividades ilícitas al incluir los dispositivos en una 'botnet'.

Una nueva campaña, denominada BadBox 2.0, se desarticuló en marzo del presente año con el apoyo de Google, TrendMicro y la firma de ciberseguridad Human Security. Esta última llegó a decir que era "la botnet más grande de dispositivos de TV conectados infectados jamás descubierta".

La amenaza de BadBox 2.0, sin embargo, no se frenó ahí, ya que el FBI ha advertido recientemente de la existencia de millones de dispositivos conectados, entre televisores inteligentes, proyectores digitales, unidades de infoentretenimiento para vehículos, marcos de fotos digitales y otros dispositivos del Internet de las Cosas (IoT), que están infectados por este 'malware'.

A través de la puerta trasera, los cibercriminales "explotan vendiendo o proporcionando acceso gratuito a redes domésticas infectadas para su uso en diversas actividades delictivas", como ataques de denegación de servicio (DDoS), toma de control de cuentas, distribución de malware o robo de contraseñas de un solo uso, como explican en un comunicado.

También han identificado una serie de indicadores que pueden "ayudar a detectar dispositivos maliciosos", aunque matizan que "un indicador por sí solo no determina con precisión si existe actividad cibernética maliciosa o un delito".

Estos indicadores son la presencia de mercados sospechosos donde se descargan aplicaciones, la protección de Play Protect deshabilitada, la promoción de los dispositivos de 'streaming' de TV como desbloqueados o que dan acceso a contenido gratuito, el tráfico de internet inexplicable o sospechos. A ello se une que los dispositivos IoT sean de marcas irreconocibles y que no estén certificados para Play Protect.

Apple ha cancelado más de 146.000 cuentas de desarrollador y eliminado más de 37.000 aplicaciones por actividad fraudulenta en 2024, como parte de los trabajos de seguridad con los que protege a los usuarios de App Store, que en los últimos cinco años han ayudado a evitar transacciones fraudulentas por valor de más de 9.000 millones de dólares.

Apple ha destacado la seguridad de su tienda de aplicaciones, App Store, en la que asegura que "emplea un enfoque integral para combatir el fraude", que coordina distintos equipos de la compañía para "detectar, investigar y prevenir actividades maliciosas".

"Estas amenazas abarcan desde aplicaciones engañosas diseñadas para robar información personal hasta esquemas de pago fraudulentos que intentan explotar a los usuarios", explican desde Apple en una nota de prensa.

El trabajo realizado ha evitado en los últimos cinco años transacciones fraudulentas por valor de más de 9.000 millones de dólares, como se recoge en el último informe de Apple sobre acciones contra el fraude en App Store, una plataforma que registra 813 millones de visitantes semanales.

FRAUDE DE CUENTA

Una parte de los esfuerzos de la compañía se destinan a identificar cuentas maliciosas de desarrolladores, para evitar que puedan publicar sus aplicaciones en App Store. En 2024 Apple canceló más de 146.000 cuentas de desarrollador y rechazó 139.000 inscripciones.

En lo que respecta a las cuentas de clientes, desde las que los cibercriminales aprovechan para realizar actividades maliciosas, como el spam o la manipulación de calificaciones, reseñas, gráficos y resultados de búsqueda, Apple asegura que el año pasado rechazó más de 711 millones de creaciones de cuentas de clientes y desactivó casi 129 millones.

Apple también detectó y bloqueó más de 10.000 aplicaciones ilegítimas en tiendas piratas, incluyendo malware, aplicaciones de pornografía, aplicaciones de juegos de azar y versiones pirateadas de aplicaciones legítimas de la App Store.

Y durante el último mes, detuvo casi 4,6 millones de intentos de instalar o ejecutar aplicaciones distribuidas ilícitamente fuera de la App Store o de mercados de terceros aprobados.

REVISIÓN DE APLICACIONES

Para poder publicarse en la App Store, las aplicaciones pasan un proceso de revisión para asegurarse de que "cumplan con los estándares de calidad y seguridad de Apple", en el que intervienen tanto personal humano como sistemas automatizados.

A la semana, el proceso de revisión atiende unas 150.000 aplicaciones de media. El todo el año pasado se revisaron 7,7 millones de 'apps', de las que más de 1,9 fueron rechazadas y eliminó más de 37.000 aplicaciones por actividad fraudulenta.

La compañía ha repasado los intentos que hacen los cibercriminales para publicar sus aplicaciones fraudulentas y maliciosas en la App Store que incluye la ocultación de funciones y características y hacer pasar por aplicaciones inofensivas programas potencialmente peligrosos.

FRAUDE DE DESCUBRIMIENTO

El fraude de descubrimiento abarca desde las aplicaciones que manipulan los sistemas de la App Store para mejorar su posición hasta los servicios automatizados o de pago que inflan artificialmente el número de descargas de una aplicación o publican reseñas falsas.

En este sentido, Apple procesó el año pasado 1.200 millones de calificaciones y reseñas y eliminó 143 millones de calificaciones y reseñas fraudulentas. También retiró 7.400 aplicaciones potencialmente fraudulentas de las listas de la App Store y 9.500 aplicaciones engañosas de los resultados de búsqueda.

FRAUDE DE PAGOS Y DE TARJETA BANCARIA

Por último, en lo que respecta al fraude de pagos y de tarjeta bancaria, solo en 2024 las medidas de seguridad de la App Store evitaron más de 2.000 millones en transacciones fraudulentas.

También impidieron que se usaran 4,7 millones de tarjetas bancarias robadas y se bloqueó la posibilidad de realizar transacciones en más de 1,6 millones de cuentas.

Wangiri, también conocido como estafa de la llamada perdida desde el extranjero, procede de una palabra japonesa Wankiri, que significa un corte, precisamente lo que caracteriza a esta modalidad de fraude, como explican en DIGI.

Los cibercriminales utilizan un sistema automatizado para realizar muchas llamadas desde números internacionales que se cortan al instante para dejar el registro en el teléfono pero no dar tiempo a al potencial víctima a responder.

Esta táctica busca que la víctima devuelva la llamada, pero si lo hace, repercutirá directamente en su factura, ya que se trata de números internacionales o de tarificación especial, que tienen un coste por minuto elevado.

Albania (+355), Bosnia (+387), Costa de Marfil (+225), Estonia (+372), Ghana (+233), India (+91), Mali (+223), Marruecos (+212), Nigeria (+234), Papua Nueva Guinea (+675), Túnez (+216), Samoa (+685), Sierra Leona (+231), Sri Lanka (+94), Uganda (+256) y República Centroafricana (+236), son los prefijos más comunes en este tipo de llamadas, según recogen en Telefónica.

Para evitar caer en esta estafa, se recomienda no devolver la llamada inmediatamente y en lugar, comprobar el número de teléfono. Una búsqueda en internet mostrará el origen del prefijo.

Tanto Android como iOS cuenta con un herramientas que detectan las llamadas sospechosas procedentes de números no registrados en la agenda, para bloquearlas o silenciarlas y evitar que el usuario llegue a verlas.

Coinbase ha revelado que el robo de información ha afectado a más de 69.000 usuarios como consecuencia de una brecha de seguridad de sus sistemas que ha estado activa durante meses.

La compañía tecnológica reconoció recientemente un acceso no autorizado a sus sistemas que resultó en el robo de datos de los usuarios de su plataforma de criptomonedas, pero que no afectó a credenciales, claves privadas ni fondos.

La brecha de seguridad se identificó el pasado 11 de mayo, aunque la investigación que ha realizado la compañía ha determinado que comenzó el 26 de diciembre del año pasado, lo que significa que los cibercriminales tuvieron acceso a los sistemas durante meses.

En ese tiempo, lograron extraer información de 69.461 usuarios, como se desprende de la notificación de violación de datos presentada por Coinbase en la Oficina del Fiscal General de Maine (Estados Unidos).

Los cibercriminales consiguieron acceder a los sistemas de Coinbase mediante técnicas de ingeniería inversa, con las que lograron la cooperación de una serie de contratistas y empleados de fuera de Estados Unidos, con acceso a las herramientas de atención al cliente.

Los datos que obtuvieron incluyen nombre, dirección, teléfono y correo electrónico de los usuarios, pero también los últimos cuatro dígitos de su número de la seguridad Social enmascarado, números de cuentas bancarias enmascarados y algunos identificadores de cuentas bancarias, imágenes de documentos de identificación oficial como carnets de conducir y pasaportes y datos de la cuenta y corporativos.

Según Coinbase, los cibercriminales no lograron acceder a credenciales de inicio de sesiòn ni a las claves privadas. Tampoco a capacidades que les permitieran mover fondos entre cuentas. Las cuentas Prime y las billeteras calientes o frías de Coinbase también quedaron fuera del robo de información.

Coinbase ya afirmó que esta brecha de seguridad había afectado a menos del 1 por ciento de su base de usuarios, que se estima en 9,7 millones de clientes mensuales.

Coinbase ha reconocido un acceso no autorizado a sus sistemas que ha resultado en el robo de datos de los usuarios, pero que no ha afectado a credenciales, claves privadas ni fondos.

La empresa ha informado de un intento de extorsión, por el que un grupo de cibercriminales solicita el pago de 20 millones de dólares para encubrir el robo de información de usuarios de su plataforma de intercambio de criptomonedas.

Este robo es resultado de un acceso no autorizado a los sistemas de Coinbase, que los cibercriminales consiguieron mediante técnicas de ingeniería inversa, con las que lograron la cooperación de una serie de contratistas y empleados de fuera de Estados Unidos, con acceso a las herramientas de atención al cliente.

"Su objetivo era recopilar una lista de clientes con los que pudieran contactar haciéndose pasar por Coinbase, engañando a la gente para que les entregara sus criptomonedas", ha explicado la compañía en un comunicado.

Los datos que obtuvieron incluyen nombre, dirección, teléfono y correo electrónico de los usuarios, pero también los últimos cuatro dígitos de su número de la seguridad Social enmascarado, números de cuentas bancarias enmascarados y algunos identificadores de cuentas bancarias, imágenes de documentos de identificación oficial como carnets de conducir y pasaportes y datos de la cuenta y corporativos.

Según Coinbase, los cibercriminales no lograron acceder a credenciales de inicio de sesiòn ni a las claves privadas. Tampoco a capacidades que les permitieran mover fondos entre cuentas. Las cuentas Prime y las billeteras calientes o frías de Coinbase también quedaron fuera del robo de información.

Esta brecha de seguridad ha afectado a menos del 1 por ciento de su base de usuarios, que se estima en e sus 9,7 millones de clientes mensuales.

Un artículo publicado en la web oficial de esta organización, responsable de las reuniones anuales de líderes mundiales en Davos (Suiza), recuerda que ya en su último informe sobre ciberseguridad en enero advirtió que "la tecnología moderna depende enormemente de un gran consumo de energía, lo que convierte las redes energéticas en atractivos objetivos de cibercriminales".

"La transición global hacia la energía renovable además crea nuevas vulnerabilidades", así como más oportunidades de que esos criminales cibernéticos causen perturbaciones en su propio beneficio, advierte WEF.

El informe subraya que la operadora española Red Eléctrica ha desestimado en sus primeras investigaciones la posibilidad de que haya habido una intrusión en su sistema, pero también recuerda que el presidente español, Pedro Sánchez, aseguró que no se ha eliminado ninguna hipótesis, mientras la Audiencia Nacional ha abierto una investigación sobre un posible sabotaje informático.

También indica que en el pasado sí ha habido con seguridad intentos de ciberataque sobre el suministro eléctrico de todo un país, como el lanzado en 2015 contra Ucrania por parte de piratas informáticos en una ofensiva que muchos atribuyeron a Rusia.

WEF recuerda, citando su informe de enero en relación con el uso de energías renovables, que "existe el riesgo de introducir vulnerabilidades que podrían socavar la fiabilidad de esta nueva infraestructura energética, con consecuencias de gran alcance para la economía y la sociedad".

Ante ello el organizador del Foro de Davos recomienda prácticas como "supervisar la actividad de la red en busca de tráfico inusual o sospechoso, mantener las redes actualizadas, evaluar cuidadosamente a los proveedores externos para limitar la exposición y reportar intrusiones cibernéticas a las autoridades competentes". EFE

Triada se identificó por primera vez en 2016 como un troyano para Android que instalaba aplicaciones adicionales en los dispositivos, para funciones de 'spam' y engañar a las estadísticas. Posteriormente, evolucionó hasta convertirse en una puerta trasera.

Investigadores de Kaspersky han identificado una nueva versión oculta en el 'firmware' de 'smartphones' Android falsificados. "Se infiltra a nivel de 'firmware', antes incluso de que el dispositivo llegue al usuario, lo que apunta a un compromiso en la cadena de suministro", señala el analista de malware en Kaspersky Threat Research, Dmitry Kalinin, en una nota de prensa.

A estar embebido en el sistema de 'firmware' -el software que controla el funcionamiento de un dispositivo-, puede operar sin ser detectado y otorga a los atacantes control total sobre los dispositivos infectados, facilitando el robo de criptomonedas, la redirección de llamadas y el secuestro de cuentas en redes sociales.

Triada se ha identificado en más de 2.600 dispositivos en todo el mundo, presuntamente vendidos a través de distribuidores no autorizados, lo que, según los expertos de Kaspersky, apunta a una grave brecha en la cadena de suministro tecnológica.

No es la primera vez que se identifica a Triada en presinstalado en dispositivos Android. En 2023, TrendMicro alertó de una campaña que aprovecha la distribución global de los dispositivos Android infectados para recoger datos de la actividad del usuario y venderlos con fines publicitarios.

La compañía tecnológica trabaja en una nueva función para detectar las llamadas de fraude bancario, aquellas que simulan proceder del equipo de atención al cliente de un banco.

Estas llamadas suelen pedir al usuario que dé acceso remoto a su equipo con una aplicación que permita compartir pantalla, como puede ser TeamViewer, para posteriormente solicitar que acceda a la 'app' del banco, para proceder a solucionar el supuesto problema.

Para evitar que los cibercriminales logren engañar a sus víctimas y vaciar sus cuentas bancarias, Google trabaja en una nueva función que se activará cuando detecte una llamada que no está registrada en la lista de contactos.

En ella, tendrá en cuenta si se abre en primer plano la aplicación del banco durante la llamada y si se activa la función que permite compartir pantalla. Estas dos acciones harán que salte una alerta, como explican en Android Authority.

La función se ha identificado en la beta de Servicios de Google Play (25.18.31) con el nombre de 'BankScamCallDetectionService'. En ella, las líneas de código indican también que tendrá un registro de entidades bancarias para supervisarlas.

La beta de Servicios de Google Play también recoge otra función que detectará intrusiones y que se previsiblemente llegará con su nuevo sistema operativo móvil, Android 16.

Barcelona, 20 ene (EFE).- La Policía Nacional ha detenido a doce personas, que ya han ingresado en prisión preventiva, acusadas de una ciberestafa con 760 víctimas a las que defraudaron supuestamente 1,9 millones de euros con el envío masivo de mensajes sms haciéndose pasar por su banco y con el método del 'hijo en apuros'.

Según ha informado este lunes la Policía, los miembros de la red, radicada en Sabadell (Barcelona), enviaban hasta 1.000 mensajes sms por minuto a potenciales víctimas y contaban con la colaboración de 660 personas que actuaban como 'mulas' que, a cambio de una pequeña contraprestación económica, acudían a los cajeros automáticos a retirar en efectivo el dinero que habían estafado.

La Policía se puso tras la pista de esta supuesta organización criminal cuando a partir de enero de 2023 empezó a recibir numerosas denuncias de víctimas de estafas en Sabadell.

Según los investigadores, la organización enviaba hasta 1.000 sms por minuto a una lista de víctimas potenciales, que tenían cargada en un programa informático, a las que alertaban de que su cuenta bancaria estaba bloqueada y que tenían que acceder a ella para volverla a activar.

Sin embargo, cuando la víctima accedía al enlace que le habían enviado los detenidos, se abría una pantalla que simulaba ser la de su banco y, al poner su clave y contraseña, daban acceso a ella a los ciberestafadores.

Los detenidos llamaban entonces telefónicamente a las víctimas, haciéndose pasar por un gestor del banco, para pedirle los códigos de doble verificación, con lo que podían realizar las transferencias, bízums o reintegros en cajeros, que iban a sacar las 'mulas', en su mayoría residentes en Cataluña.

La red disponía de un grupo de personas, denominados 'droppers', que se encargaban de captar a las 'mulas', a cambio de entre 50 o 100 euros y, en algunos casos, también con una comisión de entre el 5 y el 10 % del beneficio defraudado.

Una vez obtenido el dinero, la red lo reenviaba a varias cuentas para evitar su seguimiento y finalmente lo transformaba en efectivo o en criptomonedas.

Según la Policía, la red también estafó a algunas de sus víctimas mediante el sistema del 'hijo en apuros', en el que se hacían pasar por su hijo mediante llamadas telefónicas para pedirles dinero.

En el marco de la investigación, la Policía ha analizado más de 700 líneas telefónicas, 2.455 teléfonos móviles, 3.000 cuentas bancarias y 86 de correo electrónico con las que supuestamente operaban los detenidos, entre los que figuran los máximos responsables de la organización. EFE

París, 18 ene (EFE).- El fundador de Telegram, Pável Dúrov, se defendió ante los jueces franceses que lo interrogaron el mes pasado de ser permisivo con los delitos que se cometen en su red social y puso el acento en las medidas que ha puesto en marcha, en particular desde que está imputado.

"Telegram no se creó para ser una plataforma para los criminales", afirmó Dúrov el 6 de diciembre, en una declaración de diez horas en la que estuvo con tres de sus abogados, y de la que la emisora France Info ha difundido su contenido.

Dúrov fue arrestado el pasado 24 de agosto al aterrizar en París y quedó en libertad bajo control judicial (debe fichar dos veces por semana en comisaría), después de pagar una fianza de cinco millones de euros, acusado de ser cómplice en la comisión de diversos delitos que utilizan esa red social por el anonimato y las posibilidades de eludir la acción de la justicia.

A preguntas sobre los contenidos ilícitos que circulan por Telegram y sobre canales que facilitan las transacciones de droga o el intercambio de imágenes pederastas, el empresario ruso -que tiene también nacionalidad francesa y de los Emiratos Árabes Unidos- insistió en que se han mejorado los "procedimientos de moderación".

Explicó que cada semana se suprimen "entre 15 y 20 millones de cuentas de usuarios por haber infringido la ley, e hizo notar que Telegram no es la única red social que tiene ese tipo de problemas.

En concreto sobre los contenidos de pornografía infantil, aseguró que se retiran el mismo día que se detectan.

Subrayó que los cíberdelincuentes son "nefastos para los negocios y la reputación de Telegram" y que en los últimos seis meses ha colaborado con las fuerzas del orden y ha transmitido los datos de 10.000 usuarios a las autoridades de diferentes países del mundo.

Cuando los jueces le hicieron notar que esas iniciativas se han puesto en marcha después de su arresto el pasado mes de agosto a su llegada a París, Dúrov reconoció que fue entonces cuando tuvo "conocimiento de la gravedad de todos esos hechos".

Según France Info, desde su inculpación y finales de septiembre, Telegram respondió a todas las solicitudes que recibió del servicio de protección de menores de la policía francesa (OFMIN), en total un centenar.

Una situación que contrasta con lo que ocurría hasta entonces, cuando los requerimientos habían quedado sistemáticamente sin respuesta.

Pese a la supresión de cuentas alegada por el empresario, los magistrados señalaron que las cifras muestran que los delincuentes no sólo no han dejado de utilizar Telegram, sino que parece que cada vez lo hacen más.

La Gendarmería francesa había abierto 808 procedimientos en el año 2023 y sólo en los cinco primeros meses de 2024 la cifra ya se elevaba a 535.

La plataforma oficial francesa para denunciar contenidos o prácticas ilícitas en línea Pharos contabilizó 2.700 en 2023, sobre todo vinculados con el tráfico de drogas, la difusión de contenidos pederastas, las estafas, el terrorismo o el tráfico de armas.

Málaga, 16 ene (EFE).- La Guardia Civil ha desarticulado una red criminal dedicada a realizar estafas de forma telemáticas por el método del ´hijo en apuros´, operación que se ha saldado con la investigación de 32 personas en distintas provincias españolas.

Los investigados han sido localizados en Madrid, Barcelona, Girona, Valencia, Huesca, Sevilla y Málaga, así como se han realizado gestiones con autoridades italianas y de Países Bajos para la localización de otras personas que también podrían estar relacionadas, según ha informado la Policía este jueves.

La investigación se inició tras recibir varias denuncias en las que las víctimas manifestaban haber sido estafadas mediante dicha estafa en la que los ciberdelincuentes suplantan la identidad de los hijos de las víctimas mediante mensajes de texto.

En estos casos simulan tener problemas con su línea telefónica y aportan una nueva para comunicarse, a continuación solicitan a los estafados que realizasen transferencias de dinero, aduciendo no poder acceder a sus aplicaciones bancarias.

Tras numerosas gestiones, han sido esclarecidas un total de 17 denuncias cometidas en Rincón de la Victoria (Málaga) entre los años 2023 y 2024, por un montante total de 76.889 euros. En una de las denuncias recibidas a la víctima le fueron estafados más de 16.000 euros

Estas personas están acusadas de participar activamente en las estafas o de actuar como "mulas financieras", que eran utilizadas para recibir y transferir fondos fraudulentos, ocultando el origen ilícito de los mismos y dificultar así la labor policial.

Por todo ello, se les investiga por los delitos de estafa y pertenencia a organización criminal.

Esta investigación ha sido desarrollada por efectivos del Puesto Principal de Rincón de la Victoria de la Comandancia de la Guardia Civil de Málaga. EFE

Un grupo de cibercriminales se está aprovechando de una interfaz de programación de aplicaciones (API, por sus siglas en inglés) de la aplicación DocuSign para enviar facturas aparentemente legítimas a gran escala y utilizar las firmas de las víctimas para autorizar pagos futuros.

DocuSign es un servicio que permite introducir la firma electrónica en diferentes documentos, que después se pueden enviar por correo electrónico al remitente y facilita el guardado de una copia de ellos para consultas posteriores.

Esta aplicación dispone de una interfaz denominada Envelopes, que facilita la automatización legítima y permite crear, enviar y administrar plantillas de documentos, conocer su estado -si se han firmado o no- y recuperarlos una vez se hayan firmado.

Investigadores de Wallarm han advertido que los cibercriminales se están aprovechando de la API de esta aplicación para enviar facturas falsas aparentemente legítimas y para las que están utilizando cuentas y plantillas con las que se hacen pasar por empresas de confianza.

Una vez se hacen con el control de la interfaz, los ciberdelincuentes pueden utilizarla para diseñar documentos falsos que se asemejen a los que diseñan otras entidades conocidas para sumar víctimas y ejecutar actividades maliciosas a gran escala.

En primer lugar, los atacantes crean una cuenta legítima y de pago de DocuSign, un formato que les permite intercambiar las plantillas de los documentos y utilizar la API de la aplicación directamente.

Así, emplean una plantilla especialmente diseñada que imita las solicitudes de firma electrónica de documentos de marcas conocidas. En su mayoría, de empresas de 'software', como Norton Antivirus, tal y como apunta la firma de ciberseguridad.

Para parecer auténticas, estas facturas fraudulentas pueden contener precios exactos de los productos, así como cargos adicionales, como tarifas de activación. También es posible que incluyan órdenes de compra o instrucciones para ejecutar transferencias directas.

En otros casos, se han advertido facturas con diferentes conceptos siguiendo el mismo patrón, esto es, conseguir firmas para que después se puedan autorizar pagos destinados a las cuentas bancarias de los atacantes.

Debido a que estas facturas se envían directamente a través de la plataforma de DocuSign, parecen legítimas a los servicios de correo electróinico y a los filtros de 'spam/phishing'. Eso, porque no hay archivos maliciosos adjuntos, ya que "el peligro reside en la propia solicitud", tal y como apuntan los expertos de Wallarm.

La firma también señala que los usuarios afectados por esta campaña han aumentado "notablemente" en los último cinco meses, como también han crecido los comentarios relacionados con actividades fraudulentas en los fotos de la comunidad de DocuSign.

Según los expertos, estos informes "resaltan una metodología preocupante" debido a que los ciberdelincuentes no solo se hacen pasar por empresas, sino que logran introducirse en canales de comunicación legítimos para difundir sus campañas maliciosas.

DocuSign se ha puesto en contacto con BleepingComputer, a quien ha confirmado que está "al tanto" de estos incidentes y que sus equipos técnicos ya están trabajando "para ayudar a prevenir el uso indebido" de sus servicios.

Esto es lo que ha indicado un portavoz de la plataforma, que ha confirmado que monitoriza "continuamente" varias capas de sus sistemas para identificar comportamientos asociados con fraudes y actividades ilegales.

Los investigadores de la firma de seguridad Zimperium han advertido una variante del 'malware' para Android conocido como FakeCall, diseñado para engañar a las víctimas mediante llamadas fraudulentas.

FakeCall es una amenaza que se distribuye principalmente mediante 'phishing', es decir, correos electrónicos que fingen proceder de un remitente legítimo, con los que engañan a la víctima para que descargue un archivo.

Este, una vez está en el teléfono Android, instala una carga maliciosa para conectar con un servidor de comando y control gestionado por los cibercriminales.

De esta forma, consiguen tomar el control del dispositivo, facilitando la realización de acciones en él. En el caso de la variante analizada, puede camuflar el número de una llamada fraudulenta e interceptar las llamadas que recibe o hace el usuario para redirigirlo a un número fraudulento, como informan en su blog oficial.

En ambos casos, el objetivo es engañarlo para que dé datos personas y sensibles, como el número de la tarjeta o de la cuenta bancaria o credenciales de acceso a determinados servicios digitales.

La investigación de Zimperium ha identificado 13 aplicaciones y dos archivos dex asociados con la campaña FakeCall.

Las estafas que utilizan a las celebridades para atraer a sus víctimas no son nuevas y se mueven en un contexto en el que las propias figuras públicas protagonizan anuncios legítimos, lo que dificulta a los sistemas de revisión discernir entre los reales de los engañosos.

Para combatir este tipo de estafas, Meta ha anunciado que empleará la tecnología de reconocimiento facial para identificar los anuncios engañosos, que habitualmente llevan al usuario a webs maliciosas desde donde les roban datos o dinero.

Esta tecnología complementará a los sistemas automáticos que actualmente revisan " los millones de anuncios que se publican en las plataformas Meta todos los días". En concreto, si se sospecha que el anuncio es fraudulento, se realizará una comparación de los rostros de los anuncios con las fotografías de perfil de Facebook e Instagram de la figura pública, y si se detecta que es una estafa, se bloqueará automáticamente.

Se trata de una característica opcional para las celebridades, y la información que se genera de esta comparación se elimina "de inmediato", asegura la compañía en la publicación de su blog oficial.

Esta tecnología también se utilizará en la detección de cuentas que suplantan la identidad de los famosos, con las que los cibercriminales buscan "engañar a las personas para que interactúen con contenido fraudulento o envíen dinero".

TrickMo es un troyano diseñado para acceder sin autorización a las cuentas bancarias y transacciones financieras de sus víctimas, con el objetivo de robar su dinero. Para ello, es capaz de grabar la pantalla, interceptar los códigos de un solo uso (OTP, por sus siglas en inglés) y conceder permisos de manera automática en las notificaciones emergentes.

El troyano tiene múltiples variantes, como han identificado las firmas de seguridad Cleafy y Zimperium. Esta última, además, ha compartido nuevas capacidades encontradas en las variantes que ha analizado, que apuntan al control del dispositivo móvil incluso cuando está bloqueado.

En concreto, algunas muestran tenían la capacidad de robar el PIN o patrón de desbloqueo con una interfaz falsa que simula ser la del dispositivo móvil. De esta forma, de manera inadvertida, la víctima introduce su información de desbloqueo y esta se transmite a los cibercriminales.

El análisis de Zimperium ha permitido ubicar a las víctimas principalmente en Canadá, Emiratos Árabes Unidos, Turquía y Alemania, aunque su principal objetivo son las credenciales de las cuentas bancarias, no es el único, puesto que también se dirige contras las que dan acceso a recursos empresariales, como las VPN.

Los cibercriminales utilizan el modelo de lenguaje grande GPT, de OpenAI, para crear 'sotfware' malicioso con el apoyo de la inteligencia artificial (IA), pese a las limitaciones integradas por la compañía tecnológica, así como para crear y difundir contenidos en redes sociales.

OpenAI ha interrumpido más de 20 operaciones maliciosas y redes dedicadas al engaño que han intentado utilizar sus modelos. A ello se unen actividades como la redacción de publicaciones para redes sociales y depurar 'malware', y que la compañía recoge en la actualización del informe 'Influencia y operaciones cibernéticas'.

Con este análisis, OpenAI pretende comprender las distintas formas en que los actores maliciosos utilizan los modelos avanzados de IA con fines peligrosos, para anticiparse y planificar adecuadamente las medidas de aplicación de la ley.

En este contexto, y a fecha de octubre de 2024, la compañía ha comprobado que los cibercriminales usan los modelos de IA "para realizar tareas en una fase específica e intermedia de actividad", esto es, después de haber adquirido herramientas básicas como cuentas de redes sociales y correos electrónicos, pero antes de "desplegar productos acabados", como pueden ser las publicaciones de redes sociales y los programas maliciosos.

En cualquier caso, OpenAI indica que aunque los actores maliciosos usan sus modelos, no han detectado que este uso se haya traducido en importantes capacidades para explotar vulnerabilidades en el mundo real, esto es, que no ha derivado en "la creación sustancial de nuevo malware ni en la creación de audiencias virales".

Sí han detectado actividad engañosa en redes sociales que alcanza una audiencia de gran tamaño, pero en estos casos, matiza, "el interés fue un engaño sobre el uso de la IA, no el uso de la IA en sí".

Uno de los casos analizados es el de SweetSpect, un grupo de amenazas de origen chino que utilizó los modelos de OpenAI "para respaldar sus operaciones cibernéticas ofensivas y al mismo tiempo realizar ataques de phishing" que dirigió contra los empleados de la compañía tecnológica, haciéndose pasar por un usuario de ChatGPT que buscaba ayuda del sorporte técnico, para infectar sus equipos y controlarlos.

Por su parte, el actor iraní STORM-0817 utilizó los modelos de IA para depurar código y obtener asistencia en la programación de un nuevo 'malware' para Android todavía en desarrollo y "relativamente rudimentario", con capacidades estándar de vigilancia. También uso ChatGPT para implementar la infraestructura de comando y control.

OpenAI también ha asegurado que, en un año en que más de 2.000 millones de personas están llamadas a participar en procesos electorales en 50 países de todo el mundo, no han observado "ningún caso de operaciones de influencia relacionadas con las elecciones que atraigan participación viral o construyan audiencias sostenidas" con el uso de sus modelos de IA.

Toledo, 8 oct (EFE).- La Guardia Civil ha detenido a 31 personas e investigado a otras 63 por ser los presuntos responsables de estafas a través de llamadas y SMS falsos de entidades bancarias, un método con el que perpetraron 133 estafas en la provincia de Ciudad Real y con el que obtuvieron casi 300.000 euros.

Esta operación, denominada 'Funic' y que ha llevado a cabo el equipo @ de Ciudad Real, ha concluido tras dos años de investigación y gracias a las numerosas denuncias interpuestas por las víctimas en esta provincia.

Según ha informado el instituto armado en una nota de prensa, las víctimas relataron ante los agentes que tras haber recibido una supuesta llamada o un SMS de su entidad bancaria, les solicitaban de manera urgente datos y credenciales para poder impedir un acceso no autorizado a sus cuentas bancarias que se estaba intentando llevar a cabo.

En concreto, los autores realizaban llamadas masivas haciéndose pasar por la entidad bancaria de la víctima, para lo que conseguían que apareciera el propio teléfono de la entidad en el móvil de la víctima, con lo que daban apariencia de legitimidad.

En estas llamadas, los ciberdelincuentes advertían de un acceso o transferencia no consentido a través de su banca 'online', para lo que necesitaban sus credenciales de acceso y, de esta forma, los presuntos estafadores accedían a las cuentas bancarias de las víctimas y realizaban transferencias a las mulas económicas.

Esta organización también empleaba este método mediante SMS, en el que una vez que las víctimas accedían al link del mensaje en el que informaban del intento de acceso a su cuenta bancaria, obtenían sus credenciales y de esta forma accedían al dinero depositado.

Tras diversas gestiones, la Guardia Civil consiguió recuperar diferentes cantidades económicas de los afectados, así como la identificación de 94 personas a las que se les atribuyen delitos de estafa bancaria, usurpación de estado civil y blanqueo de capitales.

En total han sido 31 las personas detenidas y 63 las investigadas por estos hechos en todo el territorio nacional y se han esclarecido 133 delitos de estafa en la provincia de Ciudad Real.

Algunos de los implicados en estas ciberestafas ya poseían numerosos antecedentes policiales y judiciales por los mismos hechos. EFE

Hace algunos años, los ciberatacantes actuaban principalmente en solitario, buscando reconocimiento en la comunidad y llevando a cabo acciones relativamente inofensivas. Hoy en día, el panorama ha cambiado drásticamente: los actores de amenazas operan dentro de organizaciones bien estructuradas que generan millones de dólares al año, ya sea atacando directamente a las organizaciones u ofreciendo sus servicios a adversarios menos capacitados.

Esta evolución hacia un cibercrimen motivado por el lucro ha llevado a una notable transformación en la dinámica de los grupos de atacantes, que ahora son mucho más grandes, organizados y eficientes. Comprender cómo funcionan estas organizaciones cibercriminales es esencial para los equipos de seguridad, ya que permite anticipar sus tácticas y mejorar la protección de las organizaciones frente a estas amenazas cada vez más sofisticadas.

En este sentido, el cibercrimen ha sido impulsado por diferentes factores, como:

• Una superficie de ataque digital más extensa: Los grupos de hackers ahora cuentan con múltiples métodos para comprometer a una empresa. Pueden dirigirse a los empleados mediante técnicas de ingeniería social o phishing, atacar a proveedores externos más vulnerables, o aprovechar credenciales filtradas para acceder a sistemas.

• La aparición de mercados en la dark web: La evolución de estos mercados ha convertido los ciberataques en productos comercializables, poniendo un valor tangible a los datos filtrados y aumentando el incentivo para llevar a cabo ataques que resulten en violaciones de seguridad.
• Las violaciones de datos: Los datos robados pueden ser comprados o sustraídos nuevamente y reutilizados para atacar a otras organizaciones que presentan brechas de seguridad o cuyos empleados reutilizan contraseñas.
• Plataformas de comunicación privadas: Los cibercriminales se están beneficiando del anonimato como nunca antes. La proliferación de plataformas de comunicación cifrada como WhatsApp, Signal y Telegram ha facilitado su actividad, ya que el contenido de sus comunicaciones está protegido, permitiendo a los grupos coordinar ataques, violaciones de seguridad y estrategias.
• Criptomonedas: Las criptomonedas han facilitado la ocultación de rastros, la ejecución de ataques de ransomware y las transacciones en la dark web. Además, se ha descubierto que se utilizan para el lavado de dinero a través de intercambios de criptomonedas.
• Pagos cada vez más elevados: El cibercrimen se ha convertido en una industria de $28,418 millones de pesos mexicanos anuales, y cada ataque exitoso incentiva aún más a los actores de amenazas con fines de lucro. Esto es especialmente evidente en los ataques de ransomware, donde los pagos y la frecuencia de estos han aumentado significativamente. Recientemente, en agosto de 2024, se dio a conocer que a principios de 2024 una empresa de la lista Fortune 50 pagó un rescate récord de 75 millones de dólares a la banda de ransomware Dark Angels.

Como lo mencionamos, hoy en día, las organizaciones cibercriminales se asemejan mucho a las empresas legítimas, en gran parte debido a la drástica expansión de su alcance operativo. Los grupos cibercriminales más grandes ofrecen sus servicios a otras organizaciones, Estados-nación y diversos adversarios.

Al igual que las empresas modernas, las organizaciones de cibercrimen varían considerablemente en tamaño y escala y, por lo general, muestran la siguiente disposición:

• Independientes: Estos pueden ser individuos o pequeños grupos que realizan ataques de bajo nivel o con poca sofisticación. Debido a que las fuerzas de seguridad son menos propensas a perseguir a estos criminales menores, pueden cometer algunos ataques al año y aún así obtener una cantidad considerable de dinero.
• Pequeños y medianos: Son los grupos más comunes en el mercado del cibercrimen, que se dedican a vender sus servicios a otros atacantes. Los grupos más grandes dentro de esta categoría tienden a estar mejor organizados y suelen emplear personal a tiempo completo o parcial para manejar solicitudes de soporte, atender a clientes y procesar pedidos de servicios.
• Grandes: Al igual que las grandes empresas legítimas, algunas organizaciones de cibercrimen operan a gran escala. Ejemplos conocidos como LockBit encajan en esta categoría. Estos grupos, que pueden contar con más de 50 empleados, están divididos en departamentos, tienen salarios y hasta están sujetos a evaluaciones de desempeño.

En México, varios grupos de ciberatacantes nacionales han logrado comprometer empresas y entidades gubernamentales. Ejemplos notables incluyen a Manipulated Caiman, que ha atacado a 4,000 usuarios de la banca del país; Neo_Net, responsables de delitos electrónicos dirigidos a importantes bancos en México, España y Chile. Otros grupos destacados son Bandidos Revolution Team, conocidos por robar millones de bancos nacionales, y Mexican Mafia, un grupo multidisciplinario originario de tierras mexicanas. Estos cibercriminales generan ingresos mediante la venta de kits para explotar vulnerabilidades, comercialización de datos robados, distribución de malware y ransomware, venta de acceso a organizaciones comprometidas y oferta de servicios como ciberatacantes.

Es importante señalar que el mundo del cibercrimen ha diversificado sus tácticas y servicios más allá del ransomware. Entre los elementos clave se encuentran las mulas de dinero, que mueven fondos robados para facilitar el lavado de dinero; los servicios de spam y phishing, que proporcionan herramientas para campañas masivas de fraude y robo de información; los proxies de alquiler permiten a los cibercriminales ocultar su origen y lanzar ataques como DDoS, mientras que los operadores de criptomonedas facilitan transacciones anónimas para actividades ilícitas. Los servicios de alojamiento en la dark web brindan anonimato para sitios ilegales y servidores de malware, y los servicios de depósito en garantía aseguran transacciones en mercados clandestinos. Además, los grupos de amenazas persistentes avanzadas (APT) y entidades patrocinadas por Estados-nación enmascaran sus métodos de espionaje, complicando la atribución y subrayando la necesidad de medidas de ciberseguridad sofisticadas.

Investigaciones recientes han revelado patrones alarmantes en los grupos de ciberdelincuencia, mostrando una coordinación avanzada y una adaptabilidad notable a los cambios. Entre estos patrones se incluyen las granjas de estafadores, que secuestran y explotan a personas en fábricas de estafas digitales; el intercambio de información entre ciberdelincuentes para evitar detección, similar a cómo se comparte información en ciberseguridad, y el uso de inteligencia artificial para mejorar la eficiencia de los estafadores, elevando su sofisticación y aumentando la amenaza en el panorama del cibercrimen.

No hay una solución única para proteger a las organizaciones de estos grupos bien organizados. Sin embargo, al entender su funcionamiento, motivaciones y métodos de ataque, se pueden tomar decisiones más informadas al desarrollar una estrategia integral de resiliencia cibernética.

En general, estos ciberdelincuentes siguen buscando aprovechar las oportunidades más sencillas y atacar a organizaciones con debilidades en su seguridad. Al comprender estas dinámicas, las organizaciones pueden fortalecer su preparación y protección de sus datos, gestionar sus activos y minimizar el riesgo asociado a sus empleados.

* Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599