Saltar al contenido
Noticias de tecnologia

Cisco explica las 7 debilidades mortales de los usuarios de redes sociales y más en el informe de seguridad

Cisco explica las 7 debilidades mortales de los usuarios de redes sociales y más en el informe de seguridad

Cisco publicó ayer su Informe Anual de Seguridad 2010. El informe cubre el lento cambio de los delincuentes de apuntar a PC con Windows a otros sistemas operativos y dispositivos, la importancia de explotar la confianza de los usuarios en sus amigos de las redes sociales y el aumento de las vulnerabilidades de Java, y más.

Redes sociales

Según Cisco, los delincuentes apuntan a los usuarios de las redes sociales de forma más agresiva. En particular, los delincuentes están dedicando más tiempo y esfuerzo a intentar robar las credenciales de las redes sociales de los usuarios, ya que eso permite explotar la confianza de todos los amigos de los usuarios.

Aunque la explotación de la confianza es fundamental, Cisco predice una disminución de las estafas simples de phishing y redes sociales. En cambio, la compañía espera un aumento de exploits similares al troyano Zeus, que roba credenciales bancarias y se propaga en redes sociales, dispositivos móviles y más.

Ingeniería social

Cisco advierte sobre las “siete debilidades mortales” explotadas por los ingenieros sociales:

  • Atracción sexual
  • Codicia
  • vanidad
  • Confianza
  • Perezoso
  • Compasión
  • Urgencia

Incluso los usuarios más expertos pueden ser víctimas de la ingeniería social. Por ejemplo, Thomas Ryan de Provide Security creó una identidad falsa llamada “Robin Sage”. Ryan logró que cientos de funcionarios gubernamentales y profesionales de la seguridad se hicieran amigos de esta persona imaginaria en los sitios de redes sociales y, como resultado, compartieran información personal con Ryan.

Según el informe:

Las tasas de clics para la mayoría de incidentes de malware o spam se mantienen constantemente en alrededor del 3 por ciento, según los datos de Cisco ScanSafe. Si bien el 3 por ciento puede no parecer alto, imagine el impacto de las repetidas oleadas de spam a las que el 3 por ciento de los trabajadores responden constantemente y hacen clic en él. Incluso este pequeño porcentaje equivale a tener un agujero enorme en el firewall de la red que no se puede cerrar. En lugar de intentar cambiar el comportamiento humano, los investigadores de seguridad están explorando la posibilidad de cambiar la forma en que usamos el software para reducir los riesgos.

Java: el nuevo objetivo número uno

Tanto Java como PDF se explotan con frecuencia, pero según Cisco, las vulnerabilidades de Java aumentaron el año pasado y las de PDF disminuyeron. Java superó al PDF como la tecnología más explotada.

Ciberdelincuencia en la era posterior a la PC

Según el informe, Windows ha sido tan frecuente y tan fácil de explotar que no había necesidad de que los delincuentes intentaran explotar otros sistemas. Sin embargo, la proliferación de otros dispositivos y sistemas operativos junto con la seguridad mejorada en Windows 7 ha cambiado eso.

Sin embargo, este movimiento está sucediendo lentamente. Un informe de Forrester sobre la seguridad en la era posterior a las PC señala que los sistemas operativos de los dispositivos móviles son intrínsecamente más seguros que los sistemas operativos de escritorio debido al sandboxing. Esto significa que incluso los iPhones con jailbreak y los teléfonos Android rooteados serán más difíciles de comprometer que las PC con Windows más antiguas. Sin embargo, los ingenieros sociales pueden atacar a cualquiera, independientemente del dispositivo que estén usando.

La nube: ¿amiga o enemiga?

El informe cita que la nube tiene ventajas e inconvenientes para la seguridad. El inconveniente es que los datos se pueden interceptar mientras viajan entre un servidor y los dispositivos que acceden a él. La ventaja es que tener datos almacenados fuera del dispositivo dificulta la extracción de información confidencial de dispositivos perdidos o robados.

Mulas de dinero

El informe tiene una sección interesante sobre “mulas de dinero”. Una vez que un delincuente ha robado la información de la cuenta bancaria de una víctima, necesita una forma de ingresar el dinero en sus propias cuentas sin que lo atrapen. Las mulas de dinero son personas que transfieren dinero de la cuenta bancaria de una víctima a un delincuente. Una forma de hacer esto es transferir dinero a la cuenta de la mula, luego hacer que la mula lo transfiera a través de Western Union a los criminales en el extranjero. Es posible que el destinatario de la transferencia de Western Union no tenga que proporcionar la información de la cuenta bancaria para recibir el dinero, lo que dificulta su rastreo.

Algunas mulas son delincuentes de bajo nivel que participan por dinero. Otros son engañados por anuncios de trabajo desde casa. Los estudiantes y las personas con grandes deudas suelen ser objetivos.

Sin embargo, hay escasez de mulas. “Actualmente, la relación entre las credenciales de cuentas robadas y la capacidad disponible de la mula podría llegar a ser de 10.000 a 1”, dice el informe.

Ganadores del Cybercrime Showcase

Cisco destaca a dos ganadores en el “Cybercrime Showcase” de este año: un ganador “bueno” y un ganador “malvado”.

El ganador de Good es Thorsten Holz de la firma de seguridad LastLine. Holz identificó los 30 servidores principales que la botnet Pushdo / Cutwail utilizó para enviar spam. Holz logró que los ISP apagaran esos servidores y, como resultado, la tasa de spam disminuyó de 350 mil millones de mensajes por día a 300 mil millones por día.

El ganador de Evil es Stuxnet, que hemos cubierto con frecuencia.

¿Qué, sin publicidad maliciosa?

Sorprendentemente, no se habla de publicidad maliciosa en el informe. Puede leer nuestra publicación “Lo que necesita saber sobre publicidad maliciosa” para obtener más información sobre esta amenaza.