Esta web utiliza cookies, puedes ver nuestra la política de cookies aquí. Si continuas navegando estás aceptándola.

  • ¿Hasta qué punto son seguras las tarjetas contactless?

     

    Leer nuestras noticias tiene...

    ¡¡PREMIO!!

    Te acabas de llevar10 ENTRADAS para la feria del RAM de 2019. El PRIMERO que nos diga en la publicación de Facebook que las ha encontrado se las lleva!!¡¡CORRE!! 

    ** Solo se permite un premio por persona **


    Las tarjetas bancarias, ya sea de crédito o débito, son cada vez más utilizadas en nuestros días. Es una forma de pago muy cómodo, seguro y que podemos utilizar cada vez en más lugares. En los últimos años se han popularizado especialmente las tarjetas contactless. En España podemos decir que roza el 100% hoy en día. Sin embargo la seguridad es una cuestión muy importante para los usuarios. En este artículo vamos a explicar cómo funcionan las tarjetas contactless y hasta qué punto son seguras. También vamos a dar algunos consejos para evitar problemas. Ya explicamos cómo pagar con seguridad con tarjeta por Internet.

    TTCS seguridad pagar contactless 2

     

    Cómo funciona una tarjeta contactless

    La forma en la que funciona una tarjeta contactless es muy sencilla. Básicamente consiste en acercar el plástico (o metal, ya que últimamente están apareciendo este tipo de tarjetas) al terminal compatible. De esta forma se genera una conexión entre ambos y podemos realizar el pago.

    Ahora bien, ¿cómo es esto posible? Para ello hay que saber que utilizan NFC. Es la misma tecnología que está presente en muchos teléfonos móviles. Es un medio de transmisión inalámbrica que sirve para identificarnos o realizar pagos, principalmente. En el caso de las tarjetas es justo esto lo necesario.

    Las tarjetas en su interior tienen una pequeña antena NFC. Es algo que no podemos apreciar a simple vista, ya que es muy fina y se encuentra dentro. Esta antena es la que permite conectarse a un TPV para realizar el pago. Un proceso que tarda menos de 1 segundo. No hay que confundir esto con el chip visible que tenemos en la tarjeta (EMV).

    Teóricamente la tecnología NFC puede funcionar a una distancia máxima de entre 10 y 20 centímetros. Sin embargo en la práctica lo normal es que no funcione más allá de los 4 o 5 centímetros. Es esta la distancia a la que tendremos que poner, como máximo, nuestra tarjeta contactless.

    ¿Pueden robarnos con una tarjeta contactless?

    Ahora bien, algo que preocupa a muchos usuarios es el tema de la seguridad. Como sabemos, con una tarjeta contactless podemos pagar sin introducir el PIN. Eso sí, la cantidad máxima suele ser de 20 euros en España. La mayoría de bancos permiten modificar esta cantidad e incluso algunos bloquean temporalmente la tarjeta si hemos realizado muchos pagos sin introducir el PIN en un mismo día.

    Una de las dudas que más preocupa a los usuarios es qué pasaría si pasamos cerca de un TPV y realizamos un pago que no queremos. Incluso si alguien va con un dispositivo por la calle, en lugares muy concurridos, se acerca a nosotros y nos cobra. La realidad es que este proceso es muy complicado. Hay que tener en cuenta que solo se puede cobrar a través de TPV verificados, con un registro previo. En caso de cualquier fraude, siempre podríamos denunciarlo.

    Pero claro, lo cierto es que el riesgo existe. Está claro que es una opción muy remota, pero podrían robarnos hasta el máximo que tengamos configurado en nuestra tarjeta. Esto es algo que podría ser un problema si viajamos a otro país donde todo esto esté menos controlado.

    TTCS seguridad pagar contactless

     

    Consejos de seguridad para nuestras tarjetas contactless

    En nuestra mano tenemos algunas acciones que pueden mejorar la seguridad de nuestras tarjetas contactless. Una de ellas es la de reducir el límite máximo para pagar con este método, si así lo queremos. De esta forma nos pedirían el PIN cuando vayamos a pagar.

    ambién podemos hacer uso de fundas con protección RFID. De esta forma incluso aunque la pongamos pegada al lector TPV no funcionaría. Es una manera muy interesante de proteger la tarjeta.

    Otra cosa que podemos hacer es apagar la tarjeta cuando no vayamos a usarla. Es algo que muchos bancos ofrecen directamente desde la aplicación del móvil. Simplemente con pulsar el botón esa tarjeta estará encendida o apagada. Muy útil si vamos a ir de viaje y llevamos una tarjeta de reserva en la mochila y no queremos ningún tipo de problemas.

     

    Fuente: Redeszone

  • Cómo afectará la nueva ley de copyright aprobada por la Unión Europea?

    El 26 de marzo, portales internacionales dieron a conocer la aprobación del Parlamento Europeo de la nueva ley de copyright. Algunos lo consideraron un "día negro para internet", la catalogaron de "polémica" y hasta ya le dicen adiós a los memes en redes sociales. Pero, ¿de qué se trata esta nueva ley? ¿Por qué tiene en vilo a los internautas? La nueva normativa, conocida como la ley de copyright fue aprobada por el Parlamento Europeo con 348 votos a favor y 274 votos en contra.

    El argumento a favor explica que "con esta nueva legislación, los gigantes de internet dejarán de lucrarse a costa del trabajo de periodistas y artistas que distribuyen sin remunerarles. Las nuevas normas buscan proteger los derechos de los creativos en el entorno digital y afectan a operadores como YouTube, Facebook y Google News".

    Así, los artículos 11 y 13 (artículos 15 y 17 de la nueva ley); el primero afecta a buscadores y productores de noticias, mientras que el segundo se dirige a plataformas de contenido como YouTube. Estas plataformas deberán reforzar sus algoritmos para desarrollar un sistema que impida la publicación de cualquier contenido que contenga recursos con copyright.

    La mayor parte de eurodiputados populares y socialdemócratas, y liberales votaron a favor del texto y destacaron el hecho de que los creadores europeos vayan por fin a recibir remuneración por su trabajo.


    La contraparte: "Internet pierde su esencia"

    El Artículo 11 (ahora 15), sobre usos digitales de las publicaciones de prensa, establece la implementación de una especie de tasa Google o Canon AEDE (Asociación de Editores de Diarios Españoles), dos tipos de impuestos diferentes.

    Los editores de publicaciones de prensa podrían gestionar sus derechos de autor, cobrando o no, a quienes les enlacen o les usen de fuente, un importe por hacer uso de dicha información con derechos de autor.

    En tanto el Artículo 13 (ahora 17), sobre la vigilancia de contenidos protegidos por parte de proveedores, obligaría a las plataformas de contenidos a monitorear lo que los usuarios suben para comprobar si se violan o no los derechos de autor.

    Cada servicio tendría que crear un sistema tipo Content ID de YouTube que permitiría detectar violaciones de los derechos de autor. No solo de música, sino de cualquier contenido. Sitios como Wikipedia -una excepción según la UE- o GitHub que abogan por la información compartida, estarían entre los afectados.

    Este artículo señala en su apartado 1 que "los proveedores de servicios de la sociedad de la información que almacenen y faciliten acceso público a grandes cantidades de obras u otras prestaciones cargadas por sus usuarios adoptarán (...) las medidas pertinentes para asegurar el correcto funcionamiento de los acuerdos celebrados con los titulares de derechos para el uso (...) o para impedir que estén disponibles en sus servicios (...)".
     
    Se incluye "el uso de técnicas efectivas de reconocimiento de contenidos". Estas técnicas sugeridas por la propia directiva serán, señala el apartado 3 del artículo, "adecuadas y proporcionadas, teniendo en cuenta en particular, la naturaleza de los servicios, la disponibilidad de las tecnologías y su eficacia a la luz de la evolución tecnológica".

    De esta forma, "los sitios que permitan a los usuarios publicar textos, sonidos, códigos, imágenes fijas o en movimiento u otras obras protegidas por derechos de autor para consumo público tendrán que filtrar todas las contribuciones de sus usuarios mediante una base de datos de obras protegidas por derechos de autor". En esa definición entrarían desde Twitter a Wikipedia, pasando por foros o comunidades.

    Carlos Sánchez Almeida, especializado en delitos informáticos e internet y director legal de la PDLI, considera la propuesta actual como "un agravio comparativo a favor de los titulares de derechos de autor".

    No obstante, el texto aprobado por mayoría en el Parlamento deberá ser adaptado a la legislación de cada uno de los países miembro en un máximo de dos años. Y es precisamente aquí donde cada país decidirá qué partes de la reforma incluye o deja fuera de su normativa nacional.

    #SaveYourInternet

    Los más de cinco millones de firmas en change.org no fueron suficientes para que se detuviera la votación de la nueva ley. Y aunque la normativa ya fue aprobada, las firmas siguen llegando, con miras de alcanzar los seis millones.

     

    TTCS voto ley de copyright

    #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro #leycopyright

    Fuente: todotvnews

     
  • Correos, de nuevo en una campaña de phishing

    Correos, de nuevo en una campaña de phishing

    Lo de Correos con el phishing es, sin duda, una relación de amor-odio. Más concretamente, parece que los ciberdelincuentes adoran a Correos, mientras que la empresa estatal, responsable de prestar el servicio postal universal en España, debe ver cada día con más preocupación y desagrado el modo en el que los cibercriminales llevan a cabo, especialmente estos últimos meses, campañas de engaño empleando su imagen.

    El último caso al respecto ha sido detectado por el Instituto Nacional de Ciberseguridad, INCIBE, que se alertó el jueves sobre esta nueva campaña. Según se deduce de la información facilitada por esta entidad, todo apunta a que se trata de una campaña masiva, puesto que alerta sobre el riesgo de que los mensajes falsos de Correos pueden ser recibidos por trabajadores, autónomos y empresas, algo que nos invita a pensar que los particulares también pueden verse afectados.

    En esta campaña detectada por INCIBE, el correo electrónico detectado tiene como título “envío N° ES/2938456“, no obstante, y como ya es común en este tipo de acciones, es bastante probable que pueda ser identificado con otros títulos distintos. En el mensaje, se informa al receptor de que ha recibido un paquete que no se ha podido entregar. Además, y obviamente, hay un enlace que supuestamente dirige a la página de Correos, para gestionar la segunda entrega.

    Al acceder a dicha página, que suplanta la identidad de Correos, se indica que hay un (corto) plazo límite para gestionar la entrega y recibir el paquete, en caso contrario será eliminado. Recordemos que algo muy común en el phishing y otras técnicas de ciberdelincuencia es urgir al usuario a realizar una acción concreta, intentando motivar que las prisas fuercen a las víctimas a descuidar la seguridad. Desgraciadamente, suele funcionar.

    Así, en esa misma página, la víctima se encontrará un formulario en el que debe introducir los datos de pago, pues el segundo intento de entrega tiene, supuestamente, un coste de 2,99 euros. Tras introducirlos y continuar, el usuario será llevado a una nueva página, en la que se suplanta la identidad de RedSys, y en la que se pide al usuario que introduzca el código de seguridad que habrá recibido mediante un mensaje SMS. Finalizada la operación, el usuario es redirigido a la página (ahora ya sí, la legítima) de Correos.

     

    Phising correos - proteccion de datos correos

     

    De este modo, por ejemplo, los ciberdelincuentes, si son notificados instantáneamente de que un usuario ha introducido los datos de pago en la primera página, podrán llevar a cabo cualquier operación con los mismos. En ese momento, la entidad bancaria remitirá a la víctima el mensaje SMS con el código de verificación. Claro, el problema es que la víctima se lo remitirá a los atacantes en la segunda web, por lo que éstos podrán validar su operación, sea la que sea.

    Una vez más, y como ya es común, no hay que dejar que las prisas nos hagan descuidar la seguridad. Correos no cobra por las segundas entregas, o las realiza sin más, o deja un aviso en la dirección de entrega para que el usuario vaya a recoger el paquete. Y siempre, ante cualquier duda (y mensajes como este deben provocar muchas), lo mejor es contactar con Correos (o con la empresa que esté siendo suplantada) a través de sus canales oficiales, para confirmar si la comunicación es legítima o, como en este y otros muchos casos, se trata de un fraude.

    #phising #phisingcorreos #fraudecorreos #robodeinformacion #protecciondedatos #usoniapropiadodeinformacion #ciberseguridad #ciberataque

    Fuente: Muyseguridad

  • Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

    Datos de 17.000 españoles, robados a una empresa de camisetas y vendidos en la “dark web”

     

    “22 millones de registros en total, de los cuales 1.060.000 son afectados de la Unión Europea y unos 17.792 de España”: son datos de un incidente de seguridad informática que afectó a Cafepress, una empresa dedicada a la venta de camisetas personalizadas en todo el mundo.

    Confidencial Digital ha consultado una resolución reciente de la Agencia Española de Protección de Datos, con la que se archivan las actuaciones referentes al ese incidente en el que fueron sustraídos, para ser puestos a la venta, datos personales de varios miles de españoles.

    Datos de clientes a la venta en la “dark web”

    Todo comenzó el 6 de agosto de 2019. Ese día Cafepress (que tiene su sede en Shelbyville Road, Lousville, Kentucky, Estados Unidos) descubrió que dos conjuntos de registros de datos de clientes estaban disponibles a la venta en la “dark web”.

    Se denomina “dark web” aquella parte parte de la “deep web” o Internet profunda que está intencionalmente oculta a los motores de búsqueda, con direcciones IP enmascaradas y accesibles sólo con un navegador web especial.

    En estas redes de “dark web” se llevan a cabo transacciones ilegales: drogas, armas, pornografía infantil, órganos humanos... se venden a través de él.

    Notificación a Protección de Datos

    La Agencia Española de Protección de Datos recibió un escrito de notificación de quiebra de seguridad remitido por Jones Day, un bufete de abogados que representaba a Cafepress INC.

    En el escrito se le informaba de que por fuentes externas habían tenido conocimiento de que Cafepress se había enterado “por fuentes externas que su base de datos de clientes había sido puesta a la venta en la ‘dark web’, un conjunto de un total de 22 millones de registros. Tras investigar el caso determinaron que una tercera persona no identificada obtuvo, sin autorización, la base de datos de clientes de Cafepress”.

    De esos 22 millones de registros por todo el mundo, más de un millón pertenecían a ciudadanos de la Unión Europea, y a su vez 17.792 eran de España.

    Al comprobar que había clientes de la empresa afectados, Cafepress notificó los hechos a la Agencia Española de Protección de Datos, que puso a la Subdirección General de Inspección de Datos a realizar unas actuaciones previas de investigación para el esclarecimiento de los hechos.

    Contraseñas, tarjetas de crédito...

    Uno de los problemas iniciales fue que tras recibir las notificaciones, algunas autoridades de control europeas se consideraron interesadas en el asunto. Pero otras, como la del Reino Unido, consideró que no había nada que investigar ya que Cafepress no cuenta con una sede física en la Unión Europea.

    En principio, sobre los datos robados a esta web de personalización de camisetas y puestos a la venta en la “dark web” la Agencia Española de Protección de Datos indica que “las categorías de datos afectados por la brecha son datos básicos y de contacto, datos identificativos como nombres de usuario y contraseñas y, solo en algunos casos, datos económico-financieros tales como información de tarjetas de crédito (cuatro últimos números y fecha de caducidad)”.

    Sí que hubo unos 15 afectados de la Unión Europea que vieron comprometidos datos más sensibles, como números de identificación fiscal o equivalentes, pero ninguno de ellos de España.

    La empresa cuyos datos fueron sustraídos recibió unas 80 solicitudes de información de afectados de la Unión Europea relacionadas con el caso, pero ninguna en la que se manifieste haber sufrido daños por el incidente. Y concluyó que “la probabilidad de que los afectados experimenten consecuencias significativas es neutral para las 15 personas cuyos identificadores fiscales se vieron comprometidos, e improbable para el resto”.

    Análisis forense

    En su resolución, la Agencia Española de Protección de Datos analiza las medidas adoptadas por Cafepress. Entre las barreras que tenía antes de la “brecha” señala que “constaban medidas de seguridad como Hashing para las contraseñas de los usuarios, segmentación de red, cifrado de credenciales en tránsito, política de claves robustas para empleados, firewalls perimetrales, controles de acceso físicos, formación anual en seguridad para los empleados, y protección con software antivirus. Existe otro grupo de medidas adicionales implementadas para mitigar riesgos relacionadas la mayoría con la migración a otros servidores en julio de 2019 de las tablas de registros de clientes”.

    Tras el robo de datos, Cafepress comunicó el suceso al Reino Unido (donde había una gran concentración de afectados) y al resto de las autoridades de control de la Unión Europea cuando determinó el número de afectados de cada país.

    Esta empresa estadounidense inició sus propios análisis, con expertos forenses externos. Éstos no pudieron confirmar realmente si la información de los clientes había sido obtenida de su base de datos, “ya que los logs que registran el tráfico en tiempo real no reflejan el incidente”.

    Ayuda del FBI

    Además, denunció los hechos y comenzó a cooperar con el FBI de Estados Unidos (el país de su sede), y notificó el problema a todos los afectados mediante correo electrónico.

    “En el presente caso, consta una quiebra de seguridad de datos personales en las circunstancias arriba indicadas, categorizada como una posible brecha de confidencialidad, como consecuencia del acceso indebido por terceros ajenos a la base de datos del sistema de información de Cafepress”, establece la Agencia Española de Protección de Datos.

    También concluye que la empresa “disponía de razonables medidas técnicas y organizativas preventivas a fin de evitar este tipo de incidencias y acordes con el nivel de riesgo”, así como de “protocolos de actuación para afrontar un incidente como el ahora analizado, lo que ha permitido de forma diligente la identificación, análisis y clasificación del supuesto incidente de seguridad de datos personales así como la diligente reacción ante la misma al objeto de notificar, minimizar el impacto e implementar nuevas medias razonables y oportunas para evitar que se repita la supuesta incidencia en el futuro a través de la puesta en marcha y ejecución efectiva de un plan de actuación”.

    Como recomendación, Protección de Datos pide a Cafepress que realice un informe final sobre el incidente, que supondría “una valiosa fuente de información con la que debe alimentarse el análisis y la gestión de riesgos y servirá para prevenir la reiteración de una brecha de similares características como la analizada causada previsiblemente por un error puntual”.

    Al considerar que Cafepress no había infringido la normativa sobre protección de datos personales, la autoridad española ha terminado archivando las actuaciones sobre este robo de información que afectó a más de 17.000 españoles.

     

    not. 16.07.20

    #robodeinformacion  #usoinapropiadodeinformacion #ventadeinformacionprivada #AEPD #agenciaespañoladeprotecciondedatos #protecciondedatos

    Fuente: Elconfidencialdigital

  • Detectadas más de 1.200 tiendas online afectadas por un skimmer

    Detectadas más de 1.200 tiendas online afectadas por un skimmer

    Conseguir «colar» un skimmer en una tienda online es, sin duda, uno de los objetivos más perseguidos por ciberdelincuentes y organizaciones dedicadas a la robo en Internet. Es algo lógico, ya que obtener los datos de pago de todos los clientes que pasen por la misma es, todavía en bastantes casos, una puerta abierta a la cuenta corriente o a la línea de crédito de las víctimas. Y es por ello que hay algunos grupos que se especializan en este tipo de ataques,

    El investigador de seguridad Max Kersten acaba de publicar, en su web, los resultados sobre datos que ha recopilado sobre un ataque de este tipo. Y ,a conclusión es, sin duda, preocupante, porque habla de de más de 1.200 tiendas comprometidas. Una acción que, aunque Kersten no lo confirma, sí que apunta a que tendría detrás al peligroso grupo MageCart. Un actor al que ya conocemos de anteriores acciones, en ataques muy sonados, como los sufridos por Brithish Airways o Ticket Master, entre otros.

    robo de datos - compras online - skimmer

    Según el investigados los skimmers son, técnicamente hablando, bastante sencillos y semejantes entre sí. La captura de datos se realiza obteniendo todos los formularios o todos los campos de entrada, obteniendo el dominio actual, codificando los datos y enviando posteriormente los datos al servidor del atacante. Esto, por norma general, suele hacer más complejo averiguar quién se encuentra tras los ataques que con otro tipo de patógenos más complejos.

    En el caso de la operativa habitual de MageCart, los skimmers a menudo se alojan en sitios web haciendo uso de una biblioteca JavaScript de terceros que se ha visto comprometida, o mediante una biblioteca JavaScript que solo contiene skimmer y que se encuentra en un dominio que es propiedad de la organización. Los datos introducidos en el formulario de pago (incluidos los de la tarjeta de crédito) se copian y se envían a un servidor controlado por el atacante justo antes de que sean remitidos al sistema de pago online.

    Parte de las tiendas recogidas por Kersten en su informe ya habían sido documentadas por otros investigadores previamente. Según afirma en el mismo informe, en el que cita explícitamente a esas personas y entidades, ha sido agregar toda esa información, más la recopilada por él mismo, en un único punto, que facilite la localización de todos los sitios afectados por el skimmer. Algo especialmente útil para los usuarios, que en una sola página podrán revisar si alguna de las tiendas online que han empleado se encuentra en la lista.

    Para cada sitio afectado se muestra el periodo de tiempo en el que se realizaron las pruebas. Algunas datan de 2018, mientras que otras son de las últimas semanas. A más antigüedad, más posibilidades de que el problema haya sido solventando, pero esto no es una garantía. Hemos revisado algunas de ellas y, por su diseño, pese a que se mantienen operativas, no parecen haber experimentado cambios (al menos en su diseño) desde hace bastante tiempo. El skimmer podría seguir ahí.

    robo de datos - compras online - skimmer 2

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos #skimmer #phising #robotiendasonline

    Fuente: Muyseguridad

     

  • Detectan una estafa a través de Bizum en la que los delincuentes se hacen pasar por Hacienda

    Detectan una estafa a través de Bizum en la que los delincuentes se hacen pasar por Hacienda

    Panda Security ha detectado a varias personas que han sido víctimas de una nueva estafa a través de Bizum, en virtud de la cual los delincuentes se hacen pasar por Hacienda. La Policía Nacional ya estaría al tanto de este intento de 'phising'.

    El engaño consiste en que una supuesta funcionaria de la Tesorería General de la Seguridad Social llama a sus víctimas para indicarles que tienen pendiente la devolución de unas tasas por la escolarización de sus hijos.

    La falsa trabajadora de Hacienda les indica que se trata de una ayuda del Estado para hacer frente a la crisis del Covid-19, ofreciendo incluso algo de información sobre el número de hijos y sus edades.

    not.16.09.2020

    Los estafadores envían un SMS cuyo remitente es «TGSS» (siglas de la Tesorería General de la Seguridad Social) en el que aparece un supuesto código de validación que se debe firmar.

    En caso de que la víctima caiga en el engaño, los ciberdelincuentes consiguen los datos de la cuenta bancaria y asocian su tarjeta de crédito o su cuenta bancaria a Bizum. «Lo más preocupante de esta estafa es que la banda organizada de cibercriminales se está sirviendo de la ingeniería social para que su engaño sea casi perfecto», ha advertido la directora global de operaciones de consumo de Panda Security, Hervé Lambert.

    Análisis de sus víctimas

    La empresa tecnológica ha asegurado que los atacantes analizan las redes sociales de sus víctimas, ven las fotos de sus hijos e incluso adivinan sus nombres y apellidos. A partir de ahí, hacen una búsqueda en Internet para saber su dirección postal o incluso su DNI.

    «Este ejemplo nos debe recordar que es imperativo que la sociedad se conciencie de que todo lo que hacemos público en las redes sociales es una información valiosísima para los cibercriminales», ha señalado Lambert.

    En este sentido, ha pedido ser «escrupulosamente cautos» a la hora de gestionar la privacidad de los perfiles sociales y de todos los dispositivos conectados.

    Investigacion policial estafa bizum

    #phisingmallorca #ataquecibernetico #bizum #usoinapropiadodeinformacion #robodedatos #robodeinformacion #estafabizum

    Fuente: Ultimahora

  • El falso técnico de Microsoft, al acecho

    El falso técnico de Microsoft, al acecho

    En las últimas fechas se ha detectado un aumento de damnificados por un nuevo tipo de estafa: un falso técnico de Microsoft se pone en contacto informando de un problema o la infección de un virus, aunque en realidad se persigue defraudar a la víctima.

    ¿Cómo funciona este tipo de timo? Los Mossos d'Esquadra han elaborado un completo material para advertir a la ciudadanía sobre esta práctica.

    Para empezar se recibe una llamada o un mensaje, de texto o por correo electrónico, de alguien que simula ser del servicio de soporte técnico de Microsoft o de una empresa de seguridad informática, e intentan engañar y hacer creer al usuario que solucionarán su problema si sigue las indicaciones.

    Ello puede ir acompañado de un aviso del sistema en el navegador web u otra ventana emergente. El defraudador proporciona un número de teléfono para contactar con el falso servicio técnico de Microsoft, que le solucionará el problema; si es posible, intentarán conseguir su teléfono para contactar directamente. También le pueden indicar que visite una página web en concreto, le hacen introducir datos, un código que le proporcionan o le piden que descargue algún archivo o programa.

    De este modo puede darse el caso de que consigan acceder en remoto a su PC y entonces instalan un programa espía (spyware) o cualquier otro tipo de software malicioso. También le pueden pedir un pago para el soporte técnico y que facilite sus datos bancarios o la tarjeta de crédito.

    El objetivo final, como en otras prácticas asociadas del estilo phishing, es conseguir mediante la estafa dinero de las víctimas, o en su caso acceso a la información que hay almacena el ordenador, tales como documentos, fotografías, o las contraseñas almacenadas.

    La policía catalana resume como claves para darse cuenta de que se está a punto de caer en las redes de los cacos digitales varios indicadores; entre ellos que se solicite una acción urgente, o se exija dinero para resolver el problema. Además, Microsoft precisa que sus mensajes de error y aviso jamás incluyen números de teléfono.

    Si quieres saber más acerca de este tipo de prácticas fraudulentas, el Instituto Nacional de Ciberseguridad (INCIBE) aporta materiales útiles e interesantes para prevenir a los usuarios.

    Ciberseguridad Microsoft robo información

    #ciberseguridad #ciberataque #ciberdelincuente #protecciondedatos #usofraudulentodedatos #incibe #phising #roboporinternet

     

    Fuente: Ultimahora

     

  • Las llamadas de spam crecieron un 18% en 2019 ¿Cómo prevenir comunicaciones no deseadas, estafas y fraudes?

    Las llamadas de spam crecieron un 18% en 2019 ¿Cómo prevenir comunicaciones no deseadas, estafas y fraudes?

    El volumen de llamadas de spam a nivel mundial creció un 18% de enero a octubre de 2019 frente al año anterior, de acuerdo con el informe anual de la firma con sede en Estocolmo, Truecaller.

    Las llamadas de spam no solo son una auténtica molestia que termina por hacernos perder la paciencia ante las horas intempestivas y la insistencia de una oferta comercial que no deseamos, sino que en muchas ocasiones están destinadas a estafas, fraudes o acoso al receptor. Truecaller estima que se realizaron 26.000 millones de estas llamadas en los primeros nueve meses de año.

    Además del incremento en su número, una de las conclusiones del informe es cuán complejo es comprender la naturaleza de estas llamadas de spam. No hay un hilo común detrás de estas llamadas y por ejemplo Brasil, que encabeza el listado un año más, los culpables son los propios operadores de telecomunicaciones y proveedores de servicios de Internet, que en el último año han pasado de 32 al 48%. Las estafas han subido al 26% del total.

     

    TTCS Llamadas spam estadistica

    En otros países como Sudáfrica (que ocupa el sexto lugar en el informe), los spammers realizan principalmente llamadas de soporte técnico fraudulento y estafas de ofertas de trabajo. En otros mercados como Chile (séptimo lugar en el informe), los cobradores de deudas realizan el 72% de todas las llamadas de spam.

    En Perú, los usuarios recibieron más de 30 llamadas de spam mensuales de media. La mayoría de estas llamadas fueron realizadas por servicios financieros que buscan aumentar las ventas de tarjetas de crédito y préstamos. En los Emiratos Árabes Unidos, en el puesto 12 del informe, los operadores de telecomunicaciones fueron los que hicieron la mayoría de estas molestas llamadas.

    En otros países como Sudáfrica (que ocupa el sexto lugar en el informe), los spammers realizan principalmente llamadas de soporte técnico fraudulento y estafas de ofertas de trabajo. En otros mercados como Chile (séptimo lugar en el informe), los cobradores de deudas realizan el 72% de todas las llamadas de spam.

    En Perú, los usuarios recibieron más de 30 llamadas de spam mensuales de media. La mayoría de estas llamadas fueron realizadas por servicios financieros que buscan aumentar las ventas de tarjetas de crédito y préstamos. En los Emiratos Árabes Unidos, en el puesto 12 del informe, los operadores de telecomunicaciones fueron los que hicieron la mayoría de estas molestas llamadas.

    En Indonesia, el volumen de llamadas no deseadas se ha duplicado en un año. A medida que el país atraviesa tiempos difíciles, los estafadores han tratado de aprovecharlo, según el informe. “Una de las estafas más comunes es la llamada falsa de un hospital donde alguien llama y dice que un miembro de su familia está hospitalizado y necesita tratamiento inmediato, y debe enviarles dinero para que puedan tratar el paciente». 

    Un arco variado de estafas y fraudes que para países como Estados Unidos (octavo del listado) tienen cifras: 43 millones de usuarios afectados por estafas con un volumen de pérdidas que se eleva a 10.500 millones de dólares.

    El informe de Truecaller también señaló que los usuarios de todo el mundo recibieron más de 8.600 millones de mensajes de spam este año, con el siguiente cuadro de países afectados:

    Cómo bloquear las llamadas de spam

    La mayoría de este tipo de llamadas son de ámbito comercial y los empleados obligados a realizar este marketing telefónico son los segundos en sufrirlas. No seas duro con ellos. A duras penas llegan al salario mínimo después de interminables jornadas de trabajo y de ser los primeros frustados ante un tipo de telemarketing que reduce su efecto de ventas al impedir el contacto visual y llega a poner de los nervios al usuario más tranquilo.

    La responsabilidad es de las empresas (seguros, financieras, telecomunicaciones…) que no respetan a sus potenciales clientes y de los organismos reguladores que siempre y en toda ocasión las defienden por encima de los que les pagan, los consumidores, en vez de optar por multas ejemplares para acabar con el telemarketing no deseado.

    Como podemos esperar sentados a que los reguladores hagan su trabajo y las empresas tengan un «ataque de responsabilidad», hoy vamos a revisar soluciones conocidas poniendo el foco en la plataforma móvil de Google, la más extendida del mercado.

    A partir de Android 6.0, Google implementó un sistema para facilitar la tarea mediante un par de clics, pulsando la función de bloqueo a un número determinado en los contactos. Un método simple, sencillo y efectivo, pero que tiene un problema, solo funciona en versiones de Android «puro» stock. Como todos los fabricantes usan capas propias a modo de interfaz de usuario, no existe un método único para bloquear llamadas en Android.

    Aunque no todos están tan a la vista como fuera deseable, la buena noticia es que el acceso al bloqueo de números se realiza casi de la misma manera en todos ellos. Por ejemplo, el fabricante que más vende, Samsung, lo coloca en el menú de los contactos/llamadas > configuración (pulsar sobre los tres puntos) > bloqueo de llamadas. Ahí puedes escribir el número que quieres bloquear o añadir el contacto al que corresponde dicho número. Es casi lo mismo en terminales de Huawei, LG, HTC o Sony.

     

    TTCS Llamadas spam

    #protecciondedatos #usofraudulentodedatos #llamadasspam #phishing

    Fuente: Muyseguridad

     

  • Los ladrones ya no quieren copiar tu tarjeta en el cajero, ahora lo hacen por Internet

    Los ladrones ya no quieren copiar tu tarjeta en el cajero, ahora lo hacen por Internet

    El robo de tarjetas bancarias es una de las principales amenazas con las que tienen que lidiar los bancos. Al año, en todo el mundo, esto genera billones de euros en dinero robado que acaba en manos de delincuentes, y que por suerte los bancos devuelven al usuario afectado por la estafa. Una manera típica de copiar tarjetas es en los cajeros, pero ahora se están robando cada vez más tarjetas por Internet cuando se usan para realizar pagos.

    El E-skimming no para de crecer en todo el mundo

    Ha sido el FBI el que ha alertado de un aumento del E-skimming. El skimming clásico de tarjetas se hace en los cajeros, pero el e-skimming se hace a través de Internet mediante la inyección de código malicioso y scripts en las pasarelas de pago de las tiendas online, los cuales registran los datos que los usuarios introducen en la web. Una vez un hacker tiene los datos, o los vende en la Dark Web, o los utiliza él mismo para realizar compras fraudulentas. La primera técnica suele ser la más común, ya que es otra persona la que va a cometer el delito de realizar el robo de dinero, y el hacker no deja huella en el proceso.

    Entre las recomendaciones que el FBI recomienda seguir a empresas y negocios se encuentran:

    • Actualizar y parchear sus sistemas a la última versión de software, además de tener antivirus y firewall

    • Cambiar las credenciales por defecto y tener contraseñas únicas y seguras

    • Tener autenticación en dos o más pasos

    • Educar a los trabajadores en la importancia de la ciberseguridad, y evitar que hagan click en enlaces de phishing

    • Segmentar los sistemas de red para evitar que los criminales puedan acceder a la red completa al hackear una parte.

    También se pueden activar elementos como el Content Security Policy que sólo permite ejecutar elementos JavaScript de un listado de dominios fiables que tenga en la base de datos. Ese es uno de los principales vectores de entrada, donde también los enlaces de phishing que reciben los trabajadores suelen hacer que los hackers se hagan muy fácilmente con las contraseñas. Otro elemento que se puede activar es el Subresource Integrity, que evita que se cargue código JavaScript modificado y cuenta con verificación mediante hashes. Los usuarios son los que menos opciones tienen a sus disposición más allá del sentido común.

    Billones de dólares anuales se pierden por el crimen en la red

    El grupo Magecart es uno de los más prolíficos de los últimos años en esta actividad de robo online de tarjetas. Sus operaciones llevan teniendo gran éxito desde 2015, aunque llevan operando desde 2010, cuando lo hacían a menor escala. Tanto es así, que por cada ataque que realizan que llega a los medios, se han detectado miles que no se publican, y que afectan a plataformas de pago de terceros.

    En total, se estima que han robado datos bancarios de millones de usuarios, con más de 2 millones de detecciones en los últimos años donde se han infiltrado en más de 1.000 plataformas de pago, incluyendo tiendas como Newegg. De hecho, tienen un script que automáticamente roba los datos de 57 pasarelas de pago y que puede implementarse en casi cualquier sistema de pago de una web.

    No hay cifras aproximadas de cuánto dinero han podido llegar a robar, pero a nivel mundial se estima que el crimen cibernético es responsable de más de 5 billones de dólares anuales; más de tres veces el PIB de España.

     

    TTCS Robo tarjetas webb

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Adslzone

  • Nueva estafa via SMS a usuarios de Bankia

    Cuidado con el SMS de Bankia del 610928472: es una estafa

     

    Una nueva oleada de SMS está distribuyéndose a gran escala a través del número 610928472 (+34610928472 para residentes fuera de España). A pesar de que los primeros reportes nos llevan hasta noviembre de 2019, lo cierto es que el envío de mensajes no ha cesado desde entonces. El mensaje en cuestión se limita a anunciar la suspensión temporal del usuario de Bankia por motivos de seguridad a todos aquellos usuarios que son clientes de la mencionada banca online. La realidad es que nos encontramos ante un nuevo tipo de estafa telefónica que ya ha sido puesta en mano de las autoridades.

    No pinches en el link del SMS de Bankia: podrían robar tus datos

    Así lo confirmaba FACUA el pasado mes de noviembre, y así lo hemos podido comprobar tras acceder al enlace que se adjunta con el supuesto mensaje de Bankia. El SMS suele rezar lo siguiente:

    ** “Bankia-ES”: Usuario deshabilitado por razones de seguridad. www.bit.do/clientesapp-6544c activar ahora **

    La página enlazada imita a la perfección la pasarela de acceso que Bankia proporciona a los clientes de la banca online. Basta con echar un vistazo al dominio de la web para comprobar que nos encontramos ante un caso de phising, o lo que es lo mismo, suplantación de identidad.

    TTCS Robo datos sms bankia

    Aspecto de la página web enlazada. El propio navegador da un aviso de seguridad “El dominio no es seguro”.

    El objetivo de la web no es más que el de hacerse con los datos de los clientes del banco español para realizar extracciones fraudulentas de efectivo. Como podemos apreciar en la imagen, el formulario solicitará a los clientes el DNI, NIF o número de pasaporte junto con la clave de acceso, datos imprescindibles para acceder a la web de Bankia. Desde tuexperto.com recomendamos desechar el SMS cuanto antes para evitar acceder al enlace adjunto.

    Cómo bloquear los SMS del +34610928472 y otros números spam

    En Android y iOS bloquear un SMS es tan sencillo como acceder al mensaje en cuestión y acto seguido pulsar sobre las Opciones de SMS, que usualmente vienen representadas por tres puntos.

    TTCS Robo datos sms bankia 2

     

    Acto seguido pulsaremos sobre la opción Bloquear número. Automáticamente se bloqueará la recepción de cualquier SMS procedente de todos aquellos números que hayamos bloqueado previamente. Algunas capas de personalización permiten incluso crear listas de exclusión donde podemos agregar distintos números de teléfono. Lo ideal es crear una lista para las siguientes numeraciones:

        • 610928470
        • 610928471
        • 610928472
        • 610928473
        • 610928474
        • 610928475
        • 610928476
        • 610928477
        • 610928478
        • 610928479

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Tuexpertomovil

  • Nuevo phising a Bankia: Cuidado con los mensajes que recibes

    Ojo si recibes este falso correo del banco: es un "fraude" para quedarse con tu dinero

    bankia phising robo de informacion

    El Instituto Nacional de Ciberseguridad (Incibe) ha alertado sobre una campaña de correos electrónicos fraudulentos que tratan de suplantar a entidades financieras para robar las claves de acceso de los clientes a la banca electrónica y poder operar desde sus cuentas. En concreto, durante las últimas horas se han detectado envíos cuyos remitentes se hacen pasar por Bankia o Santander y utilizan un mensaje genérico a modo de asunto: "Notificarte un nuevo mensaje".

    En el cuerpo del mensaje, dirigido a cualquier empleado, autónomo o empresa que realice habitualmente gestiones con la compañía, se indica al usuario que se ha realizado una actualización de la cuenta y que debe finalizar la solicitud para darle de alta las nuevas mejoras en materia de seguridad. Para finalizar dicho trámite, deberá acceder a su bandeja de entrada a través del enlace web que figura en el correo y, haciendo clic allí, accederá a una página que copia la imagen corporativa de las entidades.

    Si el cliente pica e introduce tanto su DNI como clave de acceso, se simulará la operación de entrada la cuenta y será redirigido a la página legítima del banco, pero en realidad el proceso habrá sido una tapadera para entregarle los datos a un ciberdelincuente. Es lo que se conoce como 'phishing', un conjunto de técnicas que consisten en ganarse la confianza de una persona, haciéndose pasar por alguien de confianza, una empresa o un organismo público, para sustraerle sus datos o su dinero.

     

    bankia phising

     

    "Si tú o cualquier empleado de tu empresa ha recibido un correo con estas características, ignoradlo. Se trata de un intento de fraude", explica Incibe. Asimismo, el organismo dependiente del Ministerio de Asuntos Económicos y Transformación Digital recomienda: "Si recibes un correo de una entidad bancaria u otra compañía, nunca debes acceder desde el enlace que figura en el correo. Para ello, hazlo directamente a través del área de clientes".

    Durante los últimos meses se ha detectado una oleada de suplantaciones. Así por ejemplo, la Oficina de Seguridad del Internauta (OSI) alertó hace unos días de una presunta estafa consistente en llamadas haciéndose pasar por la Seguridad Social para realizar cargos a determinados usuarios a través del servicio de pagos electrónicos Bizum. El Ministerio de Trabajo o la Dirección General de Tráfico (DGT) han sido otros de los organismos públicos suplantados recientemente, aunque los ciberdelincuentes también se han cebado a costa de empresas como Vodafone.

     

    ¿Qué hago si caigo en la trampa?

    Para detectar una estafa mediante 'phising' es imprescindible fijarse en los detalles. Así, por ejemplo, si la dirección no es la habitual, si la gramática y la ortografía son incorrectas o si se reclama alguna acción de forma urgente, huele a chamusquina. Ante la sospecha de un posible caso, la OSI aconseja:

    1. No facilitar la información que se solicita ni contestar en ningún caso a estos mensajes. En caso de duda, consultar directamente a la empresa o servicio que supuestamente representan.
    2. No acceder a los enlaces facilitados en el mensaje ni descargar ningún tipo de documento adjunto que pueda contener.
    3. Eliminarlo en la mayor brevedad posible y alertar sobre el fraude.

    "Si habéis accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberéis modificar lo antes posible la contraseña de acceso a la banca 'online', así como contactar con la entidad bancaria para informarles de la situación", ahonda Incibe. Además, pide modificar la contraseña de todos aquellos servicios en los que se utilice la misma clave. Por otra parte, lo ideal es pensar con cabeza fría y recopilar todas las pruebas de las que se disponga (correos, capturas de conversaciones mediante mensajería electrónica y documentación enviada) antes de contactar con las Fuerzas y Cuerpos de Seguridad del Estado para interponer una denuncia.

    #phising #phisingbankia #fraudebankia #robodeinformacion #protecciondedatos #usoniapropiadodeinformacion #ciberseguridad #ciberataque

    Fuente: Elconfidencial

  • Tallado de tarjetas: ¿en qué consiste esta forma de robo?

    Tallado de tarjetas: ¿en qué consiste esta forma de robo?

    Cada vez son más los casos registrados por intento de fraude y de haber sido víctima de ello. Es curioso que todos los días nos enteremos sobre alguna estafa que afecta las finanzas personales de distintas personas.

    Lo interesante sobre esta acción es el modo de operar de los delincuentes. Hay que señalar que los fraudes pueden ocurrir de muchas formas, una de ellas son los fraudes o robos a tarjetahabientes, esto puede pasar con tarjetas de débito o ahorro como con las de crédito.

    Por ejemplo, los delitos para que las personas pierdan su dinero pueden ser con las ya conocidas llamadas telefónicas, en las que se hacen pasar por un asesor de tu banco o de alguna otra dependencia conocida para que les otorgues información confidencial.

    Sin embargo, hay otras en las que el fraude o crimen ocurre de manera física. Es el caso del denominado tallado de tarjetas. De acuerdo con la condusef, a diferencia de las llamadas telefónicas este acto se realiza en cajeros automáticos.

    robo tarjetas de credito cajeros

    ¿Cuál es la forma de operar?

    En primer lugar, tienes que saber que los delicuentes alteran la ranura de la máquina donde insertas tu tarjeta, por lo que al introducirla no será reconocida por el cajero. Además, debes saber que normalmente es más de una persona quien comete este tipo fraude, haciéndose pasar por cuentahabientes, como si fueran al cajero para hacer una operación común o retiro.

    Cuando estés en el cajero, y empieces a ver que tu tarjeta no responde, uno de ellos te dirá lo siguiente:

            1. Que el cajero automático no está funcionando. Al decirte que está fallando, tomará tu tarjeta argumentando que debes limpiarla o tallarla para que se pueda leer.

            2. Cuando tienen tu tarjeta, la reemplazan. Cuando les entregas tu tarjeta para que la 'limpien', aprovechan para cambiarla por otra, una falsa, por lo que se llevarán la tuya.

           3. Otro delincuente observará. Una vez que tu tarjeta fue cambiada, intentarás hacer tu operación en el cajero poniendo tu NIP, por lo que otro cómplice estará viéndote para saber tu número confidencial.

    Cuando tu ya te diste cuenta que tu tarjeta no funciona, los delincuentes ya tienen tu tarjeta original y además el NIP.

    Entonces, la recomendación es que cuando vayas al cajero y te llegues a encontrar en esta situación, al momento que se te acerquen para ayudarte sugiriéndote el tallado de tu tarjeta, en ese instante te debes retirar y después con mucho más calma puedes revisarla.

    Puede ser que si te pasa esto al estar en el cajero, creas a los delincuentes porque es una situación común: a veces tratas de pagar algo en el super y si limpias el chip o la banda magnética del plástico, normalmente funciona después. Sin embargo, cuando se trata de tus tarjetas, lo más adecuado es que nadie las manipule si no eres tú.

    Asi que debes tener mucho cuidado con tus tarjetas y datos confidenciales, pues cada vez surgen más mecanismos de operar por parte de estos delincuentes. 

    Fuente: Mibolsillo

     

  • Twitter afirma que podría haber usado datos de usuarios para anuncios sin su permiso

    Twitter afirma que podría haber usado datos de usuarios para anuncios sin su permiso

     

    La red social Twitter ha informado este martes de que podría haber utilizado datos para anuncios personalizados sin el permiso de sus usuarios debido a problemas con la configuración de la página web. La compañía ha señalado que ha descubierto esos problemas recientemente y que han sido solucionados este lunes, aunque no ha detallado quién podría haberse visto afectado.

    Los datos del consumidor son una fuerte herramienta que las empresas usan para decidir dónde colocar sus anuncios, qué contenido mostrar y qué consumidores podrían estar interesados en el producto. Las grandes empresas tecnológicas han estado bajo el escrutinio de los reguladores de todo el mundo sobre sus prácticas de intercambio de datos. Los datos que Twitter ha afirmado que podría haber utilizado incluyen el código de país, los detalles de su compromiso con un anuncio en particular y las inferencias hechas sobre los dispositivos que usan. La empresa se ha disculpado a través de su página web y ha prometido tomar medidas para no repetir el «error».

     

    TTCS Twitter datoss

     

    #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

    Fuente: Ultimahora

  • Un error en la Cámara de Google permitía que hackers espiaran a través de los dispositivos Android

    Un error en la Cámara de Google permitía que hackers espiaran a través de los dispositivos Android

     

    Un error de software en la Cámara de Google podía permitir que hackers controlasen las cámaras de los smartphones Android, así como tomar fotos y grabar vídeos incluso estando bloqueados, según un estudio de la compañía de seguridad Checkmarx.

    El equipo de Investigación de Seguridad de la compañía halló varias vulnerabilidades de la Cámara de Google al analizar un Google Pixel 2 XL y Pixel 3, derivadas de "problemas de omisión de permisos", como explican en el comunicado.

    Entre otras cosas, Checkmarx descubrió que un hacker podía controlar la aplicación para tomar fotos y grabar vídeos sin necesidad de exigir permisos concretos, incluso si el teléfono está bloqueado, la pantalla apagada o cuando el usuario está en medio de una llamada.

    La compañía ha explicado además que durante la investigación descubrió que estas vulnerabilidades de la Cámara de Google también afectan a otros proveedores de 'smartphones' con el sistema operativo Android, como Samsung, lo que "implica a cientos de millones de usuarios de smartphones".

    Asimismo, Checkmarx creó un escenario de ataque para eludir la política de permisos y descubrió que los hackers podrían tener acceso a vídeos y fotos almacenadas en los dispositivos, así como los metadatos de GPS asociados a ellos.

    Tras descubrir estos 'bugs', la empresa de seguridad notificó a Google, que confirmó que las vulnerabilidades no eran específicas de productos Pixel.

    "Google informó a nuestro equipo de investigación que el impacto fue mucho mayor y que se extendió a una parte de Android más amplia, con otros proveedores como Samsung que han reconocido que estos defectos también afectan a sus aplicaciones de cámara y han comenzado a tomar medidas", explica Checkmarx.

    Por su parte, Google agradeció a la compañía de seguridad por informarle sobre estas vulnerabilidades y afirmó que el problema se solucionó en sus dispositivos afectados mediante una actualización en Play Store de la Cámara de Google en julio de 2019. También distribuyó entre los fabricantes afectados.

    Checkmarx ha recomendado a los usuarios que se aseguren de que todas las aplicaciones de sus 'smartphones' estén actualizadas para una "mitigación adecuada y como práctica recomendada".

     

    TTCS Android google

    #agenciaespañoladeprotecciondedatos #protecciondedatos #usofraudulentodedatos #proteccioneninternet #internetseguro

     

    Fuente: Lavanguardia