Esta semana tres titulares cuentan la misma historia: los atacantes no solo mejoran el acceso a los sistemas, también sus técnicas de manipulación. Estamos asistiendo a una oleada de intrusiones relacionadas con la ingeniería social, observamos cómo una importante plataforma de distribución confirma una filtración de datos mientras afronta intentos de extorsión y vemos una noticia sobre una gran tecnológica que nos hace replantearnos cómo manejan las apps nuestros datos.
Cada semana, este resumen analiza las noticias sobre fraudes y ciberseguridad y explica cómo funcionan realmente, para que puedas detectar antes los riesgos y evitar caer en las trampas.
Vamos a ello.
Una oleada de ciberataques golpea a Bumble, Match, Panera y CrunchBase
En síntesis: varias grandes marcas se vieron afectadas por incidentes de ciberseguridad relacionados con tácticas de ingeniería social como el phishing y el vishing.
Los hechos: Bloomberg reportó que Bumble, Match Group, Panera Bread y CrunchBase confirmaron sendos incidentes.
Bumble dijo que una cuenta de un contratista se vio comprometida en un incidente de phishing que provocó un breve acceso no autorizado a una pequeña parte de su red. Agregó que no hubo acceso a su base de datos de miembros, cuentas, mensajes y perfiles.
Panera comunicó que un atacante había accedido a una aplicación de software que utilizaba para almacenar datos y que los datos afectados eran información de contacto.
Match manifestó que el incidente afectó a una cantidad limitada de datos de usuarios y que no había indicios de que se hubiera accedido a credenciales de inicio de sesión, información financiera o comunicaciones privadas.
CrunchBase declaró que el incidente afectó a documentos de su red corporativa y que lo había contenido.
Según Bloomberg, la empresa de ciberseguridad Mandiant también advirtió de una campaña de hacking vinculada a un grupo que se hace llamar ShinyHunters. Este grupo utiliza el vishing, es decir, llamadas telefónicas fraudulentas, para engañar a la gente y conseguir que facilite sus datos de acceso. Una vez que los atacantes consiguen los datos de inicio de sesión, pueden acceder a las herramientas en la nube y los sistemas de trabajo online o teletrabajo que las empresas utilizan a diario. El grupo declaró que está detrás de algunos de estos atentados recientes, pero esta información no ha sido confirmada de manera independiente.
Señales de alerta que hay que vigilar:
Llamadas que te presionan para que apruebes un inicio de sesión, restablezcas las credenciales o compartas un código de un solo uso.
Mensajes que se hacen pasar por un servicio de soporte técnico, un proveedor o “seguridad” y que parecen urgentes.
Peticiones de autenticación multifactor que no iniciaste.
Solicitudes de “verificación rápida” que eluden los procesos internos normales.
Cómo funciona: la ingeniería social funciona porque está plenamente integrada en nuestra vida cotidiana. Un mensaje o una llamada convincentes pueden conseguir que accedas a una petición “razonable”, como aprobar una solicitud, leer un código o restablecer el acceso. Con frecuencia esto basta para que el hacker pueda infiltrarse con credenciales legítimas. A partir de ahí, puede dirigirse a las herramientas donde residen los datos de valor.
La actualización de la política de privacidad de TikTok suscita reacciones negativas
Aunque se llama “Las estafas de la semana”, este documento es también un boletín informativo de ciberseguridad. Así que cuando el principal titular sobre tecnología y privacidad de la semana trata de la actualización de la política de privacidad de TikTok, tenemos que hablar de ello.
En síntesis: la actualización de los términos y condiciones y la política de privacidad de TikTok está suscitando nuevas preguntas sobre qué datos se recopilan, especialmente en lo relativo a la ubicación.
Los hechos: TikTok confirmó la semana pasada que, tras su escisión de ByteDance a principios de año, una nueva entidad con sede en EE. UU. controla la app. Ese mismo día, la cadena CBS reportó que TikTok había publicado términos y condiciones actualizadas, así como una nueva política de privacidad, lo que provocó reacciones en las redes sociales.
Según la CBS, uno de los principales puntos de preocupación es el texto que afirma que TikTok puede recopilar información precisa sobre la ubicación si los usuarios activan los servicios de localización en la configuración del dispositivo. Todo indica que esto supone un cambio con respecto a la política anterior. TikTok manifestó que tiene previsto presentar a los usuarios de EE. UU. un mensaje para que acepten o rechacen las funciones de localización precisa.
Siempre según la CBS, a algunos usuarios también les preocupa que la nueva política de privacidad permita a TikTok compartir más fácilmente sus datos privados con la administración federal y local estadounidense.
Ese temor se basa en un cambio del texto de esa política que estipula que TikTok “procesa dicha información personal confidencial de acuerdo con la legislación aplicable”.
Conclusión rápida y práctica: esto nos sirve como recordatorio de que las preocupaciones sobre políticas de privacidad suelen limitarse a algo que es fácil controlar: los permisos que otorgas a tu app.
Qué hacer (en general en cuanto a privacidad):
Comprueba la configuración del teléfono para TikTok y confirma si el acceso a la ubicación está desactivado, activado mientras se usa la app o permitido siempre.
Si tu dispositivo lo admite, puedes desactivar la opción sobre precisión de la ubicación para las apps que realmente no la necesiten.
Verifica rápidamente los permisos de las apps de redes sociales: ubicación, contactos, fotos, micrófono, cámara y Bluetooth.
Asegúrate de que tu cuenta esté protegida con una contraseña fuerte y única, y usa autenticación de dos factores.
Nota: no se trata de una recomendación sobre si mantener o eliminar una aplicación concreta; es un recordatorio de que la configuración de tu dispositivo es importantes y merece la pena revisarla.
Grubhub confirma una filtración de datos en medio de denuncias de extorsión
En síntesis: aunque una empresa asegure que los datos de pago no se vieron afectados, una filtración puede entrañar riesgos, ya que los datos robados suelen reutilizarse para phishing.
Los hechos: según BleepingComputer, Grubhub confirmó que personas no autorizadas habían descargado datos de ciertos sistemas y que investigó, neutralizó el problema y está tomando medidas para reforzar la seguridad. Según las fuentes de BleepingComputer, la empresa se enfrenta a intentos de extorsión relacionados con los datos robados. Grubhub manifestó que el incidente no afectó información confidencial, como datos financieros e historial de pedidos. La empresa no proporcionó más detalles sobre el momento o la envergadura del problema.
Señales de alerta que hay que vigilar: las noticias acerca de filtraciones de datos suelen ir seguidas de oleadas de estafas. Presta especial atención a:
Emails sobre reembolsos o problemas con un pedido, que no hayas solicitado.
Mensajes falsos de soporte al cliente que te piden que verifiques los datos de la cuenta.
Mensajes para restablecer la contraseña cuando tú no has iniciado el proceso.
Enlaces para “verificar tu cuenta” que no proceden de un dominio oficial conocido.
Cómo funciona: los sistemas de soporte al cliente pueden contener datos personales que hacen que las estafas parezcan reales. Los nombres, direcciones de email y notas de las cuentas suelen bastar para que los atacantes elaboren mensajes que parezcan de ayuda legítima, sobre todo cuando se trata de una marca que ya es noticia. 
Falsas extensiones de Chrome se apoderan silenciosamente de las cuentas
En síntesis: algunas extensiones del navegador que parecen herramientas normales de trabajo están diseñadas en realidad para secuestrar cuentas e impedir a los usuarios el acceso a sus propios controles de seguridad.
Los hechos: investigadores de seguridad reportaron a Fox News que habían descubierto una campaña de extensiones de Google Chrome maliciosas que suplantan a conocidas plataformas empresariales y de recursos humanos, incluidas herramientas utilizadas habitualmente para la administración de nóminas, prestaciones y acceso al lugar de trabajo.
Los investigadores identificaron varias extensiones falsas que se comercializaban como herramientas de productividad o seguridad. Una vez instaladas, se ejecutaban silenciosamente en segundo plano sin mostrar signos de alerta evidentes. Según Fox News, Google declaró que las extensiones se han eliminado de Chrome Web Store, sin embargo algunas siguen circulando en sitios de descargas de terceros.
Cómo funciona realmente la estafa: en lugar de robar contraseñas directamente, las extensiones capturaban sesiones abiertas con un inicio de sesión. Cuando inicias sesión en un sitio web, tu navegador almacena pequeños archivos que mantienen la sesión abierta. Si los atacantes consiguen acceder a esos archivos, pueden entrar en una cuenta sin necesidad de conocer la contraseña.
Algunas extensiones fueron un paso más allá, interfiriendo en los ajustes de seguridad. Las víctimas no podían cambiar las contraseñas, revisar el historial de inicio de sesión ni acceder a los controles de la cuenta. Eso hacía más difícil detectar la intrusión y aun más difícil recuperar el acceso una vez que se detectaba algo anormal.
Por qué es importante: este tipo de ataque anula los mecanismos de seguridad en los que confiamos cuando las cuentas se ven comprometidas. Los procedimientos para restablecer la contraseña y la autenticación de dos factores solo son útiles si puedes ponerlos en práctica. Al cortar el acceso a esas herramientas, los atacantes consiguen mantener el control durante más tiempo y moverse por los sistemas conectados con menos resistencia.
Qué hay que vigilar:
Extensiones del navegador que no recuerdas haber instalado.
Complementos o módulos que supuestamente sirven para la gestión de RR. HH, nóminas o el acceso interno a la empresa.
Si faltan configuraciones de seguridad en las cuentas o no se puede acceder a ellas.
Inicios de sesión en cuentas que no has abierto recientemente.
Una rápida comprobación de seguridad: dedica unos minutos a revisar las extensiones de tu navegador. Retira todo lo que no conozcas o sea innecesario, especialmente las herramientas vinculadas a las plataformas de trabajo. Las extensiones tienen acceso profundo a tu navegador, lo que significa que merecen el mismo escrutinio que cualquier otro software que instales.
Consejos de seguridad de McAfee para esta semana
Desconfía de las herramientas “útiles”. Las extensiones del navegador, los complementos o add-ons para el trabajo y las herramientas de productividad pueden tener un acceso profundo a tus cuentas. Instala solo lo que realmente necesites y elimina todo lo que no te resulte familiar.
Trata con precaución las llamadas y mensajes que recibas. Las solicitudes de inicio de sesión inesperadas, los mensajes para que apruebes la autenticación multifactor o las peticiones de soporte técnico son puntos de entrada habituales en ingeniería social. Si no has iniciado tú el proceso, para y verifícalo.
Revisa los permisos de las apps y el navegador. Tómate unos minutos para comprobar qué apps y extensiones pueden acceder a tu ubicación, tus cuentas y tus datos. Pequeños cambios en estas configuraciones pueden reducir significativamente el riesgo.
Protege primero tus inicios de sesión. Utiliza contraseñas seguras y únicas y activa la autenticación de dos factores en tus cuentas de email y de trabajo. Si los atacantes consiguen tu email, pueden restablecer casi todo lo demás. El gestor de contraseñas de McAfee puede ayudarte a crear y almacenar contraseñas únicas para todas tus cuentas.
Tras los titulares, llegan las estafas. Detrás de las noticias de filtraciones de datos o cambios de política aparecen los estafadores con sus mensajes de phishing sobre el tema. Una mayor dosis de escepticismo en los días y semanas posteriores a la publicación de una noticia puede evitar problemas mayores más adelante.
Mantente al día
Síguenos para mantenerte al día de las novedades de McAfee y estar al tanto de las amenazas de seguridad más recientes para particulares y dispositivos móviles.
