Cada mes, los lectores comparten con nosotros información sobre tendencias y estadísticas relacionadas a diversos temas que planteamos a través de las encuestas preparadas en ESET Latinoamérica. Este mes el tópico planteado fue cómo los usuarios gestionan las contraseñas, aspecto fundamental para la seguridad de la información y la privacidad de esta. Una misma contraseña que es utilizada para varios servicios podría compararse con una persona que usa la misma llave para su casa, oficina, caja fuerte, bodega, entre otras. El problema radica en que en el caso que un código malicioso robe esa credencial de acceso, o un atacante obtenga la misma mediante fuerza bruta, tendrá acceso total a varios servicios incluyendo redes sociales, correo electrónico, bancos, etc. Del total de los encuestados, un 36,7% afirma utilizar una o pocas contraseñas para todos los servicios que utiliza, situación que como mencionábamos anteriormente, representa un serio riesgo para la seguridad de la información.

Otro aspecto preocupante es que un 42,3% de los usuarios asegura utilizar una palabra o frase real como parte de la contraseña. Aunque esto facilita que la misma sea recordada fácilmente, también permite que sea vulnerada e incluso adivinada en menor tiempo y utilizando pocos recursos. En base a la misma interrogante, el 33,9% de los encuestados asevera emplear datos personales como números de documento, fechas de nacimiento, entre otras cosas, para formar una clave, lo que representa otro problema más para la seguridad. Un atacante con conocimientos mínimos sobre su potencial víctima podría tener una mayor posibilidad de éxito si este tipo de información es utilizada para formar credenciales de acceso. Pese a que el 41,3% de las personas utiliza combinaciones aleatorias para formar contraseñas, este método aunque es más seguro si se implementa correctamente, podría no serlo si el usuario al encontrarse frente a la dificultad de recordarla, anota la clave en un documento o papel.

Ver más… »

Categories: Estadísticas
6 Comments »

Una vez al mes es lanzada la encuesta de ESET Latinoamérica hacia nuestros lectores, en la cual puedan brindarnos sus opiniones acerca de la temática. En esta oportunidad nuestros lectores han respondido acerca del Hacktivismo.

En primera instancia es importante familiarizarnos con el término. El Hacktivismo (acrónimo de hacker y activismo) se trata de la utilización no violenta de herramientas digitales con fines políticos, que acompañen y fomenten al activismo fuera del ámbito de la informática.

Una de las preguntas más importantes presentadas en la encuesta es la siguiente:

¿Cree que este tipo de acciones deberían estar penalizadas?

Tal y como se puede apreciar en el gráfico, un 19.2% del total de los encuestados no cree que estos tipos de ataques deberían ser penalizados. Este es un dato muy interesante, debido a que es la reacción de los cibernautas ante dichos ataques, lo cual conlleva a que el porcentaje anteriormente indicado de la población, podría brindar ayuda a estas organizaciones. A pesar de esto, es indispensable la penalización de todo acto criminal, para así impedir las acciones de estos grupos que atentan contra la propiedad privada de distintas organizaciones. De igual manera que atacan a sitios privados ó públicos, pueden hacerlo también a los usuarios que deciden ayudarlos.

Es por esta razón que es necesaria la creación, renovación y utilización de leyes para contrarrestar el crimen cibernético en todos sus aspectos. Esto, sumado a que un gran número de personas están de acuerdo con el comportamiento de estos grupos Hacktivistas, más precisamente un 17.9% del total encuestado, así también como otro gran porcentaje prestan su ayuda a dichos grupos, arroja como resultado el aumento de estos ataques, tanto en Latinoamérica como a nivel mundial, tal y como el 78.9% de los participantes de nuestra encuesta opinan.

En resumen, es importante recordar que las acciones tomadas por estos grupos Hacktivistas no son mas que un ataque así como lo haría cualquier desarrollador de malware, por ejemplo el preparativo del ataque del grupo Anonymous a Wallstreet, amenazando con generar una “revolución”. Como se ha indicado anteriormente, estos ataques deberían ser penalizados, y no recibir ayuda para cumplir sus fines.

Gonzalo Presa
Analista Jr. de Seguridad

Categories: Estadísticas
2 Comments »

Mes a mes nuestros lectores comparten con nosotros información acerca de sus usos y costumbres. En esta oportunidad, les traemos las respuestas recopiladas a través de la encuesta mensual de ESET Latinoamérica en lo que respecta a de ataques de phishing, sus objetivos, efectividad y cantidades.

Esta metodología de ataque se centra en el robo de información personal del usuario, principalmente información bancaria, a través de la falsificación de un ente de confianza. De esta manera, mediante el uso de Ingeniería Social, un atacante incrementa la posibilidad de que un usuario caiga en la trampa y sus datos personales sean comprometidos. Pero, ¿a dónde apuntan los ataques de phishing?

Para sorpresa de muchos, de todos los sitios mencionados, la mayor parte de los usuarios respondió que las redes sociales son el principal objetivo de estas amenazas. Con un total de 108 votos, lidera especialmente debido a la gran cantidad de usuarios que disponen estos servicios. En este tipo de situaciones, una vez que la cuenta ha sido comprometida se suele utilizar para la propagación de códigos maliciosos de diferente índole.

No muy lejos del primer puesto, nos encontramos con los sitios de compras en línea y los bancos. En estas entidades, el principal objetivo de un atacante son las claves de acceso a estas cuentas. Una vez que el atacante tenga acceso a ellas, se encuentra en condiciones de acceder a la información del usuario cómo así también a sus cuentas financieras.

En la siguiente imagen se puede apreciar en detalle cuáles son los principales objetivos de los correos falsos:

Vale recordar que las características más comunes de un correo de phishing son las siguientes:

• Uso de nombres de reconocidas organizaciones.
• El correo electrónico del remitente simula ser de la compañía en cuestión.
• El cuerpo del correo, presenta el logotipo de la compañía u organización que firma el mensaje.
• El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto remitente ya posee.
• El mensaje incluye un enlace.

Mediante el análisis de todos estos datos un usuario podría reconocer si un correo es falso o no. Sobre este aspecto, el 40,0% de los encuestados mencionó poder reconocer un correo de esta índole. Esto resalta la educación de los mismos y la atención que prestan a los correos recibidos.

Que un usuario pueda reconocer un correo de phishing es un punto importante, como así también lo es qué acción toman una vez que esto sucede. Lamentablemente solo el 36,8% de los usuarios realiza el reporte a las entidades pertinentes, la gran mayoría simplemente borra el correo.

A pesar de que la gran mayoría de los usuarios indica poder reconocer un correo de phishing, los datos indican que ataques de esta índole aún tienen tienen alta efectividad. Un claro ejemplo de esto es un phishing bancario que capturo 35 tarjetas de crédito en 5 horas y que fue reportado hace unas semanas en este mismo espacio. Es por ello que remarcamos la importancia de contar con una buena educación por parte de los usuarios y el uso de una solución antivirus con capacidad de detección proactiva, que pueda identificar estos sitios maliciosos.

Finalizando, para participar en el sorteo de licencias de ESET NOD32 Antivirus de este mes, los invitamos a participar en la nueva encuesta acerca de redes hogareñas. Para encontrar los resultados de la próxima encuesta los invitamos a visitar nuestro blog cuando el mes que viene publiquemos el análisis de los mismos.

Pablo Ramos
Especialista de Awareness & Research

Categories: Estadísticas, Phishing
4 Comments »

Ya cerca de dar comienzo a la Gira Antivirus 2010 (estén atentos, en los próximos días habrá novedades),  nos pareció oportuno aprovechar para compartir con los lectores algunos datos sobre la Gira Antivirus 2009, en la que hemos brindado más de 70 charlas en más de 25 ciudades en 13 países distintos de la región. Como muchos de los asistentes sabrán, en aquellos seminarios que brindamos en Universidades de todo América Latina, los asistentes tienen la oportunidad de llenar una encuesta que nos permite conocer más al estudiante.

Luego de recopilar y analizar la información de más de 2.500 alumnos durante los seminarios el año anterior, compartimos con ustedes algunas de las respuestas de los jóvenes de la región.

Un primer dato interesante respecto a los asistentes a los seminarios, es que el 45,75% de estos manifestó trabajar en tareas relacionadas a sistemas o afines, mientras que sólo un 11,39% de los asistentes a los seminarios posee trabajos no relacionados a sus estudios. El resto de los estudiantes aún no trabaja.

Principales preocupaciones en la materia

Ante la consulta sobre cuáles consideraban las principales preocupaciones en materia de seguridad informática, se muestra a continuación el porcentaje de alumnos que seleccionó cada una de las alternativas:

¿Cuáles considera las principales preocupaciones en materia de Seguridad de la Información?

• Pérdida de Datos / Fuga de Información: 76,85%
• Fraudes y/o Estafas: 73,72%
• Malware: 64,10%
• Vulnerabilidades de software y sistemas: 52,21
• Concientización de usuarios: 24,72%
• Software no licenciado: 17.45%
• Otro: 0,64%

Como se puede observar, los fraudes y estafas y la pérdida de datos o fuga de información son los temas manifestados de mayor gravedad por los estudiantes, siendo seleccionados por más del 70% de estos. Posteriormente se ubican los códigos maliciosos (64,10%) y las vulnerabilidades de software y sistemas (52,21%), ambas problemáticas relacionadas a los sistemas informáticos y computadoras en forma directa.

Educación en seguridad

Seis de cada diez usuarios manifestaron que la educación en seguridad informática es esencial, siendo inferior al 5% aquellos que la consideraron de media, baja o nula importancia.

Respecto a la propia capacitación de los estudiantes, casi la mitad de ellos (45,40%) manifestaron informarse en la materia sólo esporádicamente, siendo sólo uno de cada diez los universitarios que mencionaron leer información relacionada a la seguridad diariamente.

Uso y mal uso del sistema operativo

Sin grandes sorpresas, las tasas de uso de los sistemas operativos es la siguiente (los datos superan el 100% porque hay estudiantes que utilizan más de un sistema operativo):

• Windows: 97,01%
• Linux: 21,73%
• MAC OS: 0,86%

Es interesante destacar que claramente el público universitario no representa los mismos porcentajes de uso que el mercado global. A pesar de que Microsoft Windows es claramente el dominador del mercado, los estudiantes poseen una tasa de uso de Linux mayor a la de MAC OS, en contrario con lo que indican los estudios globales de mercado, como NetMarketShare (ubicando por encima del 5% a MAC OS y cercano al 1% a Linux) o los variados estudios que se citan en la Wikipedia (con valores similares a los anteriores).

Sin embargo, y lamentablemente, los estudiantes sí se parecen al resto de los usuarios en cómo utilizan el sistema operativo. Ante la consulta de cada cúanto actualizan sus sistemas operativos y actualizaciones, podemos observar que casi un 15% de los usuarios no actualiza nunca su software (¿será el mismo porcentaje de usuarios que sigue infectado con Conficker?):

¿Cada cuánto actualiza su Sistema Operativo?

• Semanalmente: 23,00%
• Mensualmente: 21,07%
• Cuando se lanzan: 40,04%
• Nunca: 15,89%

Consultando a este selecto grupo sobre cuál es el motivo por el que no se aplican los parches de seguridad, las respuestas son variadas (y algunas preocupantes). Casi uno de cada diez usuarios manifestó que “las actualizaciones no brindan ninguna ventaja“. Un 22% de los usuarios indicó que no actualiza el sistema operativo por no contar con las licencias correspondientes, y el 32,37% indicó que “desconoce” qué son las actualizaciones. Este último dato refuerza la importancia de la concientización en seguridad, ya que un usuario educado sabrá mejor cómo proteger sus sistemas.

En resumen, esperamos que la información haya sido de interés. Como les mencionaba al comenzar, en las próximas semanas estaremos dando comienzo a la Gira Antivirus 2010 (estén atentos los de más al norte), y esperamos poder encontarnos con ustedes en los distintos países que vayamos visitando, y continuar con el compromiso con la educación en seguridad.

Sebastián Bortnik
Analista de Seguridad

Categories: Educación, Estadísticas
3 Comments »

Continuamos compartiendo con ustedes algunos de los resultados de la Encuesta sobre cibercrimen que realizó ESET en Estados Unidos. En esta ocasión, vamos a ver qué ocurre con la banca en línea y el phishing.

En primer lugar, un dato realmente preocupante es el conocimiento del público ante la problemática del phishing. Lamentablemente la gran mayoría de los usuarios desconoce que esta amenaza se trata simplemente de un engaño para robar información confidencial a las víctimas. Sólo el 47% de los encuestados pudo determinar de qué se trata el phishing. Es difícil protegerse de algo que se desconoce.

Respecto a la banca en línea, se desprende del informe que a mayor cantidad de ingresos económicos, mayor predisposición a utilizar servicios de home banking. Si se analiza cuál es la percepción de la seguridad de este servicio, y se compara con las redes sociales, se observa cómo los usuarios perciben que las redes sociales son mucho más peligrosas que la banca en línea, a pesar de que en este último servicio se pone en juego el dinero de los usuarios.

A pesar de esto, si se consulta a los 327 usuarios que contestaron no utilizar home banking en absoluto, el 57% de estos alegó como principal motivo diversas razones de seguridad (privacidad y amenazas).

Para aprender más sobre protección ante este tipo de amenazas, los usuarios pueden acceder a nuestra Plataforma Educativa, dónde podrán encontrar el curso “Seguridad en las transacciones comerciales en línea”.

Sebastián Bortnik
Analista de Seguridad

Categories: Estadísticas, Gestión, Informes
1 Comment »