lunes, 31 de marzo de 2025

Con solo 12 años, Steve Jobs llamó por teléfono al cofundador de HP para fabricar su propio invento. Lo que sucedió después marcó su vida y la carrera en Apple

La anécdota que cambió la filosofía de Steve Jobs cuando todavía era un niño sin idea de ordenadores.



¿Recuerdas lo que hacías con 12 años? Quizá andabas jugando a la consola, o echando una pachanga futbolera. O quizá los deportes no eran lo tuyo y preferías la simple introspección, matar las horas leyendo cuentos. Lo que está claro es que a los 12, mientras otros chavales se preocupaban por las clases de matemáticas o el examen de la semana siguiente, Steve Jobs tenía la cabeza en otra cosa: construir un contador de frecuencias. Pero le faltaban piezas.

Así bien, en lugar de resignarse, Jobs hizo algo que definiría su vida: buscó en las páginas amarillas el número de Bill Hewlett, cofundador de Hewlett-Packard, y lo llamó directamente para pedirle repuestos.

La llamada que cambió el destino de Steve Jobs

En nuestra cabeza, Steve Jobs siempre será un tipo con barba blanca, jersey de cuello cisne, vaqueros gastados y unas sneakers que ya son míticas. Pero antes del mito estuvo el hombre. O el chaval, mejor dicho. Steve Jobs de 12 años quería construir un contador de frecuencia, pero no podía porque no tenía las piezas. Así que se le ocurrió acudir al mismísimo Bill Hewlett. No quería causarle molestias ante alguien con una agenda tan apretada, pero tampoco se iba a quedar con las ganas.

Contestó él mismo al teléfono. Le dije "hola, me llamo Steve Jobs, tengo 12 años, estudio en el instituto, estoy haciendo un frecuenciómetro y me faltan unas piezas, y me preguntaba si usted tenía piezas de sobra que pudiera utilizar". Rió, me dio las piezas y me ofreció un trabajo de verano montando frecuenciómetros en la cadena de montaje de HP. Estaba en el paraíso.


 "Nunca encontré a nadie que no quisiera ayudarme si se lo pedía", recordaba Jobs en esta entrevista de 1994, archivada por la Silicon Valley Historical Association. Hewlett no solo le dio las piezas, sino que le ofreció un trabajo de verano montando tuercas y tornillos en contadores de frecuencia, dentro de las instalaciones de HP. Ese arrojo le valió toda una historia afiliado a la tecnología más innovadora. Tal y como prosigue:

Yo simplemente preguntaba. Y cuando la gente me llamaba a mí, buscaba siempre ser igual para dar de vuelta esa gratitud. Mucha gente no coge el teléfono, mucha gente decide no preguntar, y eso es lo que separa a la gente que acaba haciendo cosas y la que simplemente desea hacerlas. Tienes que actuar, y tienes que estar dispuesto a fracasar, a estrellarte. Si tienes miedo a fallar no vas a llegar a ninguna parte.

Esto es literal. Tanto él como Tim Cook suelen contestar los correos que reciben de la gente, sean usuarios de Apple o no.

Bill Gates, Warren Buffett y la lección de echarle narices

Steve Jobs De Joven


De hecho, la historia de Jobs no es un caso aislado. Bill Gates también encontró su camino a base de atrevimiento. A los 13 años, se escapaba de casa para pasar noches enteras programando en Computer Center Corp., una empresa local de Seattle. En aquellos días, los ordenadores eran un lujo al que pocos tenían acceso. Así fue como Gates se ganó el derecho a usar esas máquinas, reparando errores de código. "Sin ese golpe de suerte de poder programar gratis, mis primeras 500 horas, las siguientes 9.500 quizás nunca habrían pasado", confesó Gates en su autobiografía. Puedes adquirirla aquí, por cierto:

Y luego está Warren Buffett, el magnate de Berkshire Hathaway, que a los seis años ya vendía chicles en su barrio. Otro de esos casos de éxito que a los 13 se encargaba de repartir periódicos y hasta se desgravó la bicicleta en la declaración de la renta. Pero fue su primer negocio de pinballs lo que puso la primera piedra en su camino hacia el éxito: con solo 25 dólares, montó una pequeña empresa de máquinas recreativas que vendió un año después por más de 1.000 dólares.

Pedir, actuar y no tener miedo al fracaso


Queda claro que hay un hilo conector entre todas estas historias, entre la inconsciencia de la juventud y la mirada audaz de los adultos que vieron en ellos chispas de genio y confiaron. Pero lo que conecta a estas historias no es la genialidad innata ni la suerte descomunal, sino la voluntad de actuar. Jobs, Gates y Buffett no esperaron a que las oportunidades les cayeran del cielo: las buscaron. Llamaron, pidieron y se arriesgaron a recibir un "no" por respuesta.

El propio Jobs lo resumía mejor que nadie: "Tienes que actuar. Y tienes que estar dispuesto a fallar". Una lección que vale para cualquier ambición, grande o pequeña, y que, en el caso de Jobs, le funcionó de maravilla. Terminó fundando una de las empresas más influyentes del mundo y la más valiosa de la actualidad, y todo comenzó con una llamada.

Fuente | applesfera.com

lunes, 24 de marzo de 2025

Shopify refuerza la seguridad del comercio online con la normativa PCI DSS 4.0



El próximo 31 de marzo de 2025 entrarán en vigor los nuevos requisitos obligatorios de la versión 4.0 del Estándar de Seguridad de Datos para la Industria de Pagos con Tarjeta (PCI DSS v4.0). Entre las actualizaciones más relevantes introducidas por el Consejo de Estándares de Seguridad PCI, liderado por las principales compañías de tarjetas de crédito, se incluyen medidas para prevenir los ataques de skimming digital, una de las mayores amenazas de ciberseguridad. Estos ataques permiten a los ciberdelincuentes robar datos sensibles, como información de tarjetas de crédito, directamente desde las transacciones en línea.

Shopify, empresa global en comercio, ha tomado la iniciativa para simplificar este proceso a sus millones de comercios. “Hemos diseñado la infraestructura de Shopify para estar siempre preparada para el futuro, con soluciones que facilitan el cumplimiento de los requisitos de seguridad, datos y privacidad en constante evolución”, afirma Ilya Grigorik, Distinguished Engineer en Shopify. “Nos involucramos activamente en el desarrollo de estándares y normativas, y nos ocupamos de los detalles técnicos para integrar los componentes adecuados en toda nuestra plataforma. Esto permite que los comercios que operan con Shopify puedan centrarse en hacer crecer su negocio, sin preocuparse por las tareas de cumplimiento normativo”.


Con los ciberataques en aumento y unas pérdidas globales estimadas en más de 15 billones de dólares para 2029*, la nueva normativa busca reforzar la seguridad de las transacciones digitales y aumentar la confianza de los consumidores en el comercio electrónico. Sin embargo, el cumplimiento de PCI DSS v4.0 supone un reto complejo para muchos negocios online.


Para las empresas que no cuentan con una solución integrada como la de Shopify, adaptarse a estos nuevos requisitos puede ser un proceso costoso en tiempo y recursos. Entre las nuevas obligaciones se incluyen una protección más estricta de los datos de pago en las páginas de checkout, auditorías periódicas para detectar manipulaciones en los sitios web, registros más detallados de las medidas de seguridad y tiempos de respuesta más rápidos ante incidentes.


En un entorno de normativas en constante cambio, Shopify ofrece una solución de checkout avanzada y totalmente personalizable, asegurando que los negocios puedan cumplir fácilmente con las nuevas exigencias de seguridad. Su flexibilidad permite a los comercios adaptar su proceso de pago a sus necesidades específicas. Para más información sobre estos cambios y cómo Shopify ayuda a sus comercios a cumplir con la normativa sin esfuerzo, accede aquí.

Fuente: cybersecuritynews.es

lunes, 17 de marzo de 2025

El uso de la IA Generativa y la evolución del ransomware provocarán ciberataques más dirigidos y agresivos en 2025

El uso de la inteligencia artificial generativa ha provocado grandes cambios en el ámbito de la ciberseguridad. Los ciberdelincuentes han hecho uso de esta herramienta para ataques de phishing dirigidos.

Según los últimos estudios, más del 80% de las empresas a nivel global están utilizando o explorando el uso de la IA. Las organizaciones han incorporado la IA generativa en sus procesos con la intención de ser más productivas, pero ese hecho ha aumentado también su exposición ante posibles ataques.

Para tener un control sobre la IA, este año se han producido importantes avances en su regulación, con especial relevancia de la Directiva NIS2. “Esta legislación ha despertado la atención de las compañías, preocupadas por su implementación. Es una norma bien planteada que busca imponer requisitos y ayudar a las organizaciones a establecer marcos de gobernanza y control en ciberseguridad. También están en marcha regulaciones como DORA y la Ley de Ciberresiliencia (CRA), pero NIS2 es la que más está impactando”, asegura Francisco Valencia, director general de Secure&IT.

Ante esta situación, se está creando un nuevo marco normativo muy exigente que va a obligar a las compañías a acuñar el término de “ciberresiliencia”, lo que conlleva a aplicar la ciberseguridad al máximo nivel. “Este ha sido un año de inflexión. Se está viendo una mayor preocupación en las empresas por la ciberseguridad, y parece que ya se están dando cuenta de que esto va más allá de cumplir con la Protección de Datos. Es un paso más en la dirección correcta”, aseguran desde Secure&IT, compañía española referente en el ámbito de la seguridad de la información.



¿CÓMO VAN A EVOLUCIONAR LAS CIBERAMENAZAS EN 2025?


La inteligencia artificial generativa está transformando la forma en la que operan los ciberdelincuentes, y este va a ser un factor clave en la evolución de las ciberamenazas. Se prevé un incremento en ataques más dirigidos como el spear phishing, una modalidad de phishing orientada a un objetivo específico.

Según Francisco Valencia, para los ciberdelincuentes ya no tiene sentido enviar correos genéricos a miles de empresas: “Con la ayuda de la inteligencia artificial, los atacantes podrán identificar objetivos específicos, personalizar los mensajes y hacerlos mucho más convincentes. La propia IA generativa se encargará de redactar correos que parezcan reales, lo que hará que estos ataques sean mucho más efectivos”, explica.

El ransomware seguirá siendo otra de las principales amenazas. En la actualidad, los ciberdelincuentes están diversificando sus métodos de chantaje, ahora suman estrategias más personales y agresivas. “Están apuntando directamente a altos cargos de empresas, exponiéndolos públicamente. Este tipo de presión busca afectar a la empresa y a su reputación personal”, comenta Valencia.

Otra táctica que ha ganado peso a lo largo de 2024, y que llegará con más fuerza en 2025, es la denuncia del ataque por parte de los ciberdelincuentes. Los propios atacantes reportan el incidente a las autoridades competentes para aumentar la presión sobre la víctima.

“A todo esto se suma otra tendencia preocupante: amenazas a clientes de las empresas atacadas. Los ciberdelincuentes amenazan a las compañías con comprometerlas publicando los datos robados en caso de que no convenzan a su proveedor de que pague el rescate”, aseguran desde Secure&IT.

LA INFLUENCIA DE LA IA GENERATIVA


La inteligencia artificial generativa se está utilizando, principalmente, para ayudar a las organizaciones a comprender mejor los ataques que enfrentan. Según los últimos estudios, el 56% de los dueños de negocios usan la IA para tareas de servicio al cliente, y el 51% para ciberseguridad y prevención de fraudes.

La IA generativa explica, por ejemplo, qué tipo de virus ha entrado, el peligro, dónde y cuándo se detectó por primera vez, o cómo ha evolucionado. Esto es útil para los analistas en los Centros de Operaciones de Seguridad, porque les permite ser más eficientes en la respuesta ante incidentes.

“Las empresas apuestan por la IA generativa porque funciona como un asistente que contextualiza lo que está sucediendo en caso de un ciberataque. El riesgo está en que, al igual que la IA generativa puede mejorar las defensas, también puede ser usada por los atacantes para desarrollar campañas más sofisticadas, como phishing dirigido o malware adaptativo. Esto plantea un reto constante de innovación, tanto para quienes defienden como para quienes atacan”, indica Valencia.

Se espera que el mercado global de la inteligencia artificial alcance para dentro de 5 años los 1,85 billones de dólares.

LOS SECTORES MÁS ATACADOS


Los sectores más atacados hasta este 2024 han sido la administración pública, la industria y la sanidadesto se debe a que son los más propensos a ceder ante extorsiones y pagar rescates.

“En 2025, estos sectores seguirán siendo los principales objetivos, pero es probable que veamos un aumento en los ataques derivados de las tensiones geopolíticas. Las empresas que operan en mercados marcados por conflictos entre países, diferencias ideológicas, religiosas o culturales, podrían convertirse en el blanco de ciberataques”, asegura el director general de Secure&IT.

Además, factores como el cambio político en Estados Unidos, podrían polarizar aún más el panorama geopolítico y activar a grupos de cibercrimen interesados en atacar empresas asociadas a ciertos sectores o mercados económicos específicos.

“Aunque sanidad, industria y administración pública seguirán siendo los sectores más vulnerables, la geopolítica añadirá una capa de complejidad que hará que prácticamente cualquier empresa que opere en mercados sensibles esté en riesgo”, concluye Valencia.

Fuente: cybersecuritynews.es



lunes, 10 de marzo de 2025

Cómo la inteligencia artificial está facilitando los fraude de identificación

El fraude por deepfake, las identidades sintéticas y las estafas impulsadas por IA hacen que el robo de identidad sea más difícil de detectar y prevenir: así es cómo contraatacar.


La inteligencia artificial (IA) está transformando nuestro mundo de formas esperadas e imprevistas. Para los consumidores, la tecnología significa contenidos digitales personalizados con mayor precisión, mejores diagnósticos médicos, traducción de idiomas en tiempo real para ayudar durantes las vacaciones y asistentes generativos de IA para mejorar la productividad en el trabajo. Pero la IA también se utiliza para ayudar a los ciberdelincuentes a ser más productivos, especialmente cuando se trata de fraude de identidad, el tipo de fraude más común hoy en día.

Más de un tercio de los líderes de riesgo e innovación bancaria en el Reino Unido, España y Estados Unidos consideran que el aumento del fraude generado por IA y deepfakes es su mayor desafío actual , convirtiéndolo en la respuesta número uno. Entonces, ¿cómo funciona el fraude generado por IA y qué puedes hacer para mantenerte a salvo?

¿Cómo funciona el fraude de identidad generado por IA?

El fraude de identidad se refiere al uso de su información de identificación personal (PII) para cometer un delito, como acumular una deuda de tarjeta de crédito en su nombre o acceder a una cuenta bancaria o de otro tipo. Según una estimación, el fraude inducido por la IA representa actualmente más de dos quintas partes (43%) de todos los intentos de fraude registrados por el sector financiero y de pagos. Se cree que casi un tercio (29%) de esos intentos tienen éxito. ¿Cómo está ayudando la IA a los ciberdelincuentes?

Podemos destacar varias tácticas diferentes:

  • Apropiación fraudulenta de cuentas (ATO) y creación de cuentas: Los estafadores utilizan imitaciones de audio y vídeo de usuarios legítimos para eludir las comprobaciones de Conozca a su cliente (KYC) que utilizan las empresas de servicios financieros para verificar que los clientes son quienes dicen ser. Se extrae una imagen o un vídeo suyo de la web y se introduce en una herramienta de deepfake o IA generativa. A continuación, se inserta en el flujo de datos entre el usuario y el proveedor de servicios en los llamados ataques de inyección diseñados para engañar a los sistemas de autenticación. Un informe afirma que los deepfakes representan ya una cuarta parte (24%) de los intentos fraudulentos de pasar controles biométricos basados en el movimiento y el 5% de los controles estáticos basados en selfies.
  • Falsificación de documentos: Hubo un tiempo en que los estafadores utilizaban falsificaciones de documentos físicos, como páginas de pasaporte falsificadas, para abrir nuevas cuentas a nombre de víctimas desprevenidas. Sin embargo, hoy es más probable que lo hagan digitalmente. Según este informe, las falsificaciones digitales representan más del 57% de todos los fraudes documentales, lo que supone un aumento anual del 244%. Los estafadores suelen acceder a plantillas de documentos en línea o descargan imágenes de documentos robados en filtraciones de datos y luego alteran los detalles en Photoshop. Las herramientas de IA generativa (GenAI) les ayudan a hacerlo a gran velocidad y escala.
  • Fraude sintético: En este caso, los estafadores crean nuevas identidades combinando datos personales reales (robados) e inventados para formar una identidad completamente nueva (sintética), o crean una nueva identidad utilizando únicamente datos inventados. Esto se utiliza, por ejemplo, para abrir nuevas cuentas en bancos y empresas de tarjetas de crédito. Las falsificaciones de documentos y las falsificaciones profundas pueden combinarse con estas identidades para aumentar las posibilidades de éxito de los estafadores. Según un informe, el 76% de los profesionales estadounidenses del fraude y el riesgo creen que su organización tiene clientes sintéticos. Estiman que este tipo de fraude ha aumentado un 17% anual.
  • Deepfakes que engañan a amigos y familiares: A veces, se pueden utilizar vídeos o audios falsos en estafas que engañan incluso a seres queridos. Una táctica es el secuestro virtual, en el que los familiares reciben una llamada telefónica de un actor de amenazas que afirma haberle secuestrado. Reproducen un audio deepfake de tu voz como prueba y luego piden un rescate. GenAI también se puede utilizar en estos esfuerzos para ayudar a los estafadores a encontrar una víctima probable. El asesor de seguridad global de ESET Jake Moore dio una muestra de lo que es posible actualmente aquí y aquí.
  • Relleno de credenciales (para ATO): El relleno de credenciales implica el uso de inicios de sesión robados en intentos automatizados de acceder a otras cuentas para las que puede haber utilizado el mismo nombre de usuario y contraseña. Las herramientas basadas en IA podrían generar rápidamente estas listas de credenciales a partir de múltiples fuentes de datos, lo que ayudaría a escalar los ataques. Y también podrían utilizarse para imitar con precisión el comportamiento humano al iniciar sesión, con el fin de engañar a los filtros defensivos.

¿Cuál es el impacto del fraude basado en IA?

El fraude dista mucho de ser un delito sin víctimas. De hecho, el fraude basado en IA puede

  • Causar una gran angustia emocional a la persona estafada. Un informe afirma que el 16% de las víctimas contemplaron el suicidio como resultado de un delito de identidad.
  • Aumentar las probabilidades de éxito de las estafas, reduciendo los beneficios, lo que obliga a las empresas a subir los precios para todos.
  • Repercuten en la economía nacional. Menos beneficios significa menos ingresos fiscales, lo que a su vez significa menos dinero para gastar en servicios públicos.
  • Minan la confianza de los ciudadanos en el Estado de Derecho e incluso en la democracia.
  • Minan la confianza de las empresas, lo que puede reducir los niveles de inversión en el país.

Cómo mantener su identidad a salvo del fraude impulsado por la IA

Para combatir el uso ofensivo de la IA en su contra, las organizaciones recurren cada vez más a herramientas defensivas de IA para detectar los signos reveladores del fraude. Pero, ¿qué puede hacer usted? Tal vez la estrategia más efectiva sea minimizar las oportunidades para que los actores de amenazas obtengan su PII y datos de audio / video en primer lugar. Esto significa

  • No comparta información en exceso en las redes sociales y restrinja su configuración de privacidad.
  • Sea consciente del phishing: compruebe los dominios del remitente, busque errores tipográficos y gramaticales, y nunca haga clic en enlaces o abra archivos adjuntos en correos electrónicos no solicitados.
  • Active la autenticación multifactor (MFA) en todas las cuentas.
  • Utilice siempre contraseñas seguras y únicas almacenadas en un gestor de contraseñas.
  • Mantener el software actualizado en todos los portátiles y dispositivos móviles.
  • Vigilar de cerca las cuentas bancarias y de tarjetas, comprobando regularmente si hay actividad sospechosa y congelando las cuentas inmediatamente si algo no parece correcto
  • Instalar software de seguridad multicapa de un proveedor acreditado en todos los dispositivos

También considere mantenerse al tanto de las últimas tácticas de fraude impulsadas por IA y educar a amigos y familiares sobre deepfakes y fraude de IA.

Los ataques de fraude impulsados por IA solo seguirán creciendo a medida que la tecnología se vuelva más barata y más eficaz. A medida que esta nueva carrera de armas cibernéticas se desarrolla entre los defensores de la red corporativa y sus adversarios, son los consumidores los que se verán atrapados en el medio. Asegúrese de no ser el siguiente.

Fuente: welivesecurity.com

jueves, 6 de marzo de 2025

Phishing laboral: la estafa que intenta hacerte creer que estás despedido para robarte información

Menos conocidas que las estafas de falsas promesas de empleo, las estafas por despido usan el miedo a perder el trabajo para robar información personal.


La mayoría de nosotros trabaja o busca trabajo. O ambas cosas. Esa es en gran medida la razón por la que las estafas de empleo y trabajo desde casa son tan populares entre los ciberdelincuentes. Suelen atraer al usuario ofreciéndole increíbles oportunidades de trabajo o empleo ocasional. Pero en realidad, lo único que suelen querer los estafadores es su información personal y financiera. En algunos casos, las víctimas pueden incluso acabar recibiendo y reenviando involuntariamente bienes robados, o permitiendo que sus cuentas bancarias se utilicen para blanquear dinero.

Sin embargo, menos conocida es la estafa por despido. En este caso, se da la vuelta a la idea: se utiliza la amenaza de perder el empleo, en lugar del señuelo de conseguir uno nuevo, para captar su atención. ¿Qué aspecto tienen y cómo puede mantenerse a salvo?

¿Cómo son las estafas por despido?

En su forma más simple, las estafas de despido son un tipo de ataque de phishing diseñado para engañarle y hacerle entregar su información personal y financiera, o hacer clic en un enlace malicioso que podría desencadenar la descarga de malware. Las tácticas de ingeniería social utilizadas en el phishing pretenden crear una sensación de urgencia en la víctima, para que actúe sin pensárselo antes. Y no puede haber nada más urgente que un aviso informándole de que ha sido despedido.

Puede llegar en forma de correo electrónico de RR.HH. o de una tercera parte autorizada ajena a la empresa. Puede decirle que sus servicios ya no son necesarios. O puede pretender incluir detalles sobre tus colegas que son demasiado difíciles de resistirse a leer. El objetivo final es persuadirle para que haga clic en un enlace malicioso o abra un archivo adjunto, tal vez alegando que incluye detalles sobre indemnizaciones y fechas de despido.

Una vez que haga clic o abra el archivo adjunto, es posible que descubra que:

  • Se activa una instalación encubierta de malware
  • Te pide que introduzcas tus datos de acceso en una página de phishing falsa

Con sus datos de acceso al trabajo, los adversarios podrían secuestrar su correo electrónico u otras cuentas para acceder a datos y redes corporativos confidenciales con fines de robo y extorsión. Y si reutiliza esos nombres de usuario en varias cuentas, podrían incluso llevar a cabo campañas de relleno de credenciales para desbloquear también esas cuentas.

¿Por qué funcionan tan bien?

Las estafas de cancelación son eficaces porque explotan la credulidad de los seres humanos, creando una sensación de pavor entre la víctima e inculcándole la necesidad urgente de actuar. Sería difícil encontrar a un empleado que no quisiera saber más sobre su propio despido, o detalles potencialmente artificiales de una supuesta mala conducta.

No es casualidad que el phishing siga siendo una de las tres principales tácticas de acceso inicial para los autores de ransomware y que haya contribuido a una cuarta parte (25%) de los ciberincidentes con motivación financiera de los últimos dos años.

In the wild

Se han observado varias versiones de esta estafa circulando in the wild. Entre ellas se incluyen:

  • Un correo electrónico que se hace pasar por el Servicio de Tribunales y Juzgados del Reino Unido y que supuestamente contiene un enlace a un documento de despido. Al hacer clic, se carga un sitio web falso con el logotipo de Microsoft diseñado para persuadir a la víctima de que lo abra en un dispositivo Windows. Se activa la descarga del troyano bancario Casbaneiro (también conocido como Metamorfo).
  • Un correo electrónico que supuestamente procede del departamento de recursos humanos de la víctima y que dice contener una lista de despidos y detalles sobre nuevos puestos. Al abrir el falso PDF se activa un falso formulario de inicio de sesión de DocuSign en el que se solicita a la víctima que introduzca su dirección de correo electrónico y contraseña para acceder.
job termination scam
Fuente: PCrisk

Cómo detectar una estafa de despido

Como ocurre con cualquier ataque de phishing, hay algunas señales de advertencia que deberían parpadear en rojo si un correo de este tipo acaba en tu bandeja de entrada. Respire hondo y esté atento a indicios como:

  • Una dirección de remitente inusual que no coincide con el remitente declarado. Pasa el ratón por encima de la dirección del remitente para ver qué aparece. Puede ser algo completamente diferente, o podría ser un intento de imitar el dominio de la empresa suplantada, utilizando errores tipográficos y otros caracteres (por ejemplo, m1crosoft.com, @microsfot.com)
  • Un saludo genérico (por ejemplo, "estimado empleado/usuario"), que desde luego no es el tono que adoptaría una carta de despido legítima.
  • Enlaces incrustados en el correo electrónico o archivos adjuntos para abrir. Suelen ser un signo revelador de un intento de phishing. Si pasa el ratón por encima del enlace y no parece correcto, razón de más para no hacer clic.
  • Enlaces o archivos adjuntos que no se abren inmediatamente, pero que te piden que introduzcas datos de acceso. Nunca lo hagas en respuesta a un mensaje no solicitado.
  • Lenguaje urgente. Los mensajes de phishing siempre intentarán precipitarle para que tome una decisión precipitada.
  • Errores ortográficos, gramaticales o de otro tipo en la carta. Cada vez son menos frecuentes a medida que los ciberdelincuentes adoptan herramientas de IA generativa para redactar sus mensajes de phishing, pero aún así merece la pena prestarles atención.
  • En el futuro, manténgase alerta ante los esquemas asistidos por IA en los que los estafadores podrían utilizar imitaciones de audio y vídeo de personas reales (como su jefe, por ejemplo) para engañarle y conseguir que facilite información corporativa confidencial.

Mantenerse a salvo

Para asegurarte de que no caes en la trampa de las estafas por despido, conoce las señales de advertencia enumeradas anteriormente. Y tenga también en cuenta lo siguiente:

  • Utiliza contraseñas seguras y únicas para cada cuenta, preferiblemente almacenadas en un gestor de contraseñas
  • Asegúrate de activar la autenticación de dos factores (2FA) para una capa adicional de seguridad en el acceso
  • Asegúrate de que todos tus dispositivos personales y de trabajo estén actualizados y parcheados con regularidad
  • Si su departamento informático se lo ofrece, participe en ejercicios periódicos de simulación de phishing para saber a qué debe prestar atención
  • Si recibe un mensaje sospechoso, nunca haga clic en los enlaces incrustados ni abra el archivo adjunto
  • Si estás preocupado, ponte en contacto con el remitente a través de otros canales, pero no respondiendo al correo electrónico ni utilizando los datos de contacto que aparecen en él
  • Informa al departamento informático de tu empresa de cualquier mensaje sospechoso
  • Comprueba si algún compañero ha recibido el mismo mensaje

Las estafas por despido existen desde hace tiempo. Pero si siguen circulando, deben de seguir funcionando. Desconfíe siempre de todo lo que llegue a su bandeja de entrada.

Fuente: welivesecurity.com




lunes, 24 de febrero de 2025

Los riesgos de seguridad provocados por los comportamientos cotidianos de los empleados

 CyberArk, compañía de Seguridad de las Identidades, ha anunciado los resultados de una nueva investigación que destaca la necesidad de cambiar a un modelo en el que el acceso de la fuerza laboral no solo esté gestionado sino que, también, sea seguro. Impulsado por el trabajo híbrido y las tendencias de acceso flexible, este informe revela cómo determinados comportamientos de acceso a datos confidenciales y privilegiados de los empleados (ya sean deliberados o accidentales), ponen en riesgo a las organizaciones. Paralelamente, una nueva investigación de CyberArk Labs muestra cómo el historial digital de una persona puede ser una amenaza tanto para los empresarios como para la vida personal.


Cuatro hallazgos clave: Comportamientos nocivos de los empleados

  1. La mayoría tiene acceso a información confidencial: el 80% accede a las aplicaciones del trabajo, que a menudo contienen datos críticos para la empresa, desde dispositivos personales que, con frecuencia, carecen de controles de seguridad adecuados. La encuesta confirma que el acceso privilegiado ya no se limita a los administradores de TI. El 40% de los encuestados indicó que habitualmente descarga datos de clientes; un tercio es capaz de alterar datos críticos o confidenciales; y tres de cada 10 pueden aprobar grandes transacciones financieras.
  2. La reutilización de contraseñas es algo habitual: el informe destaca varios hábitos preocupantes. Por ejemplo, el 49% de los empleados encuestados utiliza las mismas credenciales de inicio de sesión para varias aplicaciones relacionadas con el trabajo, mientras que el 36% utiliza las mismas credenciales tanto para aplicaciones personales como laborales. A su vez, el 52% de los encuestados ha compartido información confidencial específica del lugar de trabajo con terceros. Estas prácticas aumentan significativamente el riesgo de fugas y brechas de seguridad.
  3. La mayoría de los empleados elude las políticas de ciberseguridad: el 65% de los empleados suele eludir las políticas de ciberseguridad para no complicarse la vida. Las soluciones alternativas más comunes incluyen el uso de dispositivos personales como puntos de acceso wifi y el reenvío de correos electrónicos corporativos a cuentas personales.
  4. La adopción de la IA genera más retos de seguridad: el informe también arroja luz sobre el creciente uso de herramientas de IA en el puesto de trabajo. Más del 72% de los empleados utilizan herramientas de IA que pueden introducir nuevas vulnerabilidades cuando, por ejemplo, se introducen en ellas datos confidenciales. Más de un tercio (38%) de los empleados «solo a veces» o «nunca» cumplen las directrices sobre el manejo de información confidencial en el uso de herramientas de IA.

El informe está basado en una encuesta (1) realizada a 14.000 empleados Estados Unidos, Reino Unido, Francia, Alemania, Australia y Singapur.

Nueva investigación de CyberArk Labs: “FAANG blanca”

«White FAANG: Devouring Your Personal Data» es una nueva investigación de CyberArk Labs que muestra cómo el historial de navegación y de Internet de cada empleado puede presentar problemas cibernéticos para sus empleadores, así como para la vida personal. El estudio detalla cómo los datos del historial de navegación individual, descargados de gigantes tecnológicos como Apple y Meta, se roban fácilmente y muestra cómo un atacante podría utilizar ese extenso conjunto de información para que sirva, por ejemplo, como un vector de ataque a las organizaciones de los empleadores.

La combinación de acciones poco seguras por parte de los empleados y la capacidad de los atacantes para robar y aprovechar el historial de navegación y el uso de Internet aumenta el riesgo para las organizaciones. Al implementar un programa de seguridad de identidad sólido con controles de privilegios dinámicos en cada punto de control de usuario, los equipos de seguridad pueden evitar que los atacantes obtengan acceso a información confidencial y privilegiada sin agregar fricciones no deseadas a los procesos del lugar de trabajo.

«Durante demasiado tiempo, el enfoque estándar para la seguridad del acceso de la fuerza laboral se ha centrado en controles básicos como la autenticación a través de un inicio de sesión único. Esto ignora la realidad del trabajador moderno y la naturaleza cambiante de la identidad: el empleado promedio puede ser un usuario ocasional de la fuerza laboral y, al momento siguiente, una cuenta privilegiada», afirmó Matt Cohen, CEO de CyberArk. “Estos hallazgos muestran que el acceso de alto riesgo está disperso en todos los puestos de trabajo y abundan los malos comportamientos, lo que crea graves problemas de seguridad para las organizaciones y resalta la necesidad apremiante de reimaginar la seguridad de la identidad de la fuerza laboral, protegiendo a cada usuario con el nivel adecuado de controles de privilegios».

Con solo 12 años, Steve Jobs llamó por teléfono al cofundador de HP para fabricar su propio invento. Lo que sucedió después marcó su vida y la carrera en Apple

La anécdota que cambió la filosofía de Steve Jobs cuando todavía era un niño sin idea de ordenadores. ¿Recuerdas lo que hacías con 12 años? ...