Redacción DEM ADMIN

Etiqueta: ESET

  • Alertan sobre llamadas falsas con IA que atacan empresas

    Alertan sobre llamadas falsas con IA que atacan empresas

    Las llamadas falsas generadas con inteligencia artificial se han convertido en una nueva amenaza para las empresas, según advirtió la compañía de ciberseguridad ESET, que alerta sobre el uso de clonación de voz y audios deepfake para cometer fraudes financieros o secuestrar cuentas corporativas.

    La expansión de la inteligencia artificial generativa facilitó la creación de audios y videos falsos con gran realismo. De acuerdo con ESET, ahora es posible fabricar un clip falso con apenas unos segundos de audio de una persona, lo que permite a los ciberdelincuentes hacerse pasar por ejecutivos o proveedores para engañar a empleados dentro de las organizaciones.

    Datos citados por el Gobierno británico indican que el año pasado se compartieron hasta 8 millones de clips falsos, una cifra muy superior a los 500,000 difundidos en 2023. Los expertos consideran que el número real podría ser incluso mayor y advierten que muchas empresas aún subestiman el riesgo.

    Según ESET, los ataques suelen iniciar cuando un delincuente selecciona a la persona que desea suplantar, como un director ejecutivo o un responsable financiero. Luego obtiene una breve muestra de audio disponible en internet —por ejemplo en entrevistas, redes sociales o conferencias— y utiliza herramientas de inteligencia artificial para generar una voz sintética con la que realiza llamadas a empleados de la empresa.

    “Este tipo de ataque es cada vez más barato, sencillo y convincente. Algunas herramientas son capaces incluso de insertar ruido de fondo, pausas y tartamudeos para que la voz suplantada resulte más creíble. Cada vez imitan mejor los ritmos, las inflexiones y los tics verbales propios de cada orador. Y cuando un ataque se lanza por teléfono, los fallos relacionados con la IA pueden ser más difíciles de detectar para quien atiende”, advirtió Macio Micucci, investigador de Seguridad Informática de ESET Latinoamérica.

    Los atacantes también recurren a técnicas de ingeniería social para presionar a las víctimas con solicitudes urgentes, como transferencias bancarias o cambios en contraseñas.

    Uno de los casos más conocidos ocurrió en 2020, cuando un empleado de una empresa en Emiratos Árabes Unidos transfirió $35 millones tras recibir una llamada que simulaba la voz de su director solicitando fondos para una supuesta operación empresarial.

    Para reducir estos riesgos, ESET recomienda reforzar la capacitación de los empleados, verificar por canales alternativos cualquier solicitud telefónica relacionada con dinero o datos sensibles, y establecer protocolos internos como la aprobación de dos personas para transferencias importantes o el uso de contraseñas acordadas previamente para confirmar la identidad de ejecutivos.

    “Las falsificaciones son sencillas y su producción cuesta poco. Dadas las enormes sumas que pueden obtener los estafadores, es poco probable que veamos pronto el final de las estafas de clonación de voz. Por lo tanto, la mejor opción que tiene una organización para mitigar el riesgo es un triple enfoque basado en las personas, los procesos y la tecnología. Para que se adapte a medida que avanza la innovación en IA, es importante que sea revisado periódicamente. El nuevo panorama del ciberfraude exige una atención constante”, concluyó Micucci.

     

  • Alertan sobre fraudes digitales en Black Friday y cómo identificarlos

    Alertan sobre fraudes digitales en Black Friday y cómo identificarlos

    En el marco del Black Friday y el Cyber Monday, la empresa de ciberseguridad ESET emitió una alerta para los usuarios de El Salvador y Centroamérica sobre el aumento de estafas digitales durante estas fechas, donde la urgencia por aprovechar descuentos puede convertirse en el anzuelo perfecto para los ciberdelincuentes.

    “La ansiedad por no perder una promoción lleva a las personas a tomar decisiones impulsivas. En ese contexto, los atacantes simulan ser marcas reconocidas para robar datos personales o bancarios”, explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

    Entre los métodos más utilizados destacan los correos promocionales falsos, sitios web clonados, anuncios engañosos en Google y mensajes de WhatsApp que aparentan ser de tiendas populares. Estas estrategias buscan llevar al usuario a páginas falsas para capturar información sensible.

    Uno de los canales más frecuentes son los anuncios patrocinados en Gmail, que se camuflan como promociones legítimas. ESET detectó campañas que simulaban ser de tiendas como StockCenter o Mercado Libre. Para evitar caer en este tipo de engaños, recomiendan verificar siempre la dirección del remitente y no hacer clic en enlaces sospechosos.

    Otro de los fraudes frecuentes se da en los resultados de búsqueda de Google, donde páginas falsas aparecen como patrocinadas. Aunque Google ha mejorado su sistema para diferenciar los anuncios, los estafadores siguen aprovechando los espacios publicitarios para engañar. ESET sugiere confirmar siempre que el sitio tenga un certificado SSL (candado en la barra) y desconfiar de precios exageradamente bajos.

    También es común encontrar clones de sitios web con nombres que imitan a marcas oficiales, como “marca-hotsale.com” o “marca-descuentos.com”. Estas páginas copian el diseño original para parecer confiables y ofrecer productos con precios absurdamente bajos, con el objetivo de captar datos bancarios.

    Otra modalidad muy utilizada es la de mensajes falsos enviados por WhatsApp que prometen sorteos, premios o descuentos increíbles a nombre de marcas como Amazon o Mercado Libre. Estos mensajes dirigen a formularios falsos o a descargas de aplicaciones maliciosas. ESET aconseja evitar hacer clic en estos enlaces y verificar siempre en el sitio oficial.

    “Si una oferta suena demasiado buena para ser cierta, probablemente lo sea. Siempre hay que comprobar que el dominio sea el correcto y nunca ingresar datos financieros en sitios que generen dudas”, agregó Gutiérrez Amaya.

    ESET también recomienda no buscar sitios oficiales directamente desde Google en estas fechas, ya que los resultados podrían estar manipulados. En lugar de eso, es más seguro escribir la URL completa en el navegador.

    Finalmente, si se detecta un sitio fraudulento o se recibe un mensaje engañoso, es fundamental reportarlo. “Denunciar estos contenidos ayuda a cortar la cadena del engaño y proteger a otros usuarios”, concluyó ESET.

     

  • Advierten de falso sitio web de empresa de equipos de audio que roba datos bancarios con descuentos falsos

    Advierten de falso sitio web de empresa de equipos de audio que roba datos bancarios con descuentos falsos

    La compañía de ciberseguridad ESET advirtió este lunes sobre un sitio fraudulento que simula ser la página oficial de JBL, fabricante de equipos de audio, con el objetivo de robar información personal y financiera de usuarios en América Latina.

    Según el análisis del laboratorio de ESET Latinoamérica, esta campaña de suplantación utiliza URLs que imitan promociones reales, como “hotsale” o “descuento”, para generar confianza y atraer clics. Aunque algunas de estas páginas ya han sido dadas de baja, los investigadores insisten en que este tipo de prácticas siguen activas.

    La técnica conocida como phishing dinámico permite que un mismo enlace malicioso muestre distintos contenidos según la ubicación geográfica, tipo de navegador o proveedor de internet del usuario. En algunos casos se presenta como una tienda de ropa, mientras que en otros redirige a un sitio falso de JBL con supuestas ofertas especiales.

    ESET explica que los ciberdelincuentes crean páginas casi idénticas a las originales y distribuyen los enlaces a través de correos electrónicos, redes sociales o publicidad engañosa. Una vez dentro, los usuarios pueden ver productos con descuentos superiores al 60 %, lo cual es una señal de alerta típica del phishing.

    La página falsa incluye textos en inglés y precios en pesos argentinos, una combinación que demuestra la falta de cuidado en la traducción y que puede evidenciar su origen fraudulento. Las promociones “demasiado buenas para ser verdad” buscan apelar a la urgencia emocional del comprador para que actúe sin verificar.

    Cuando el usuario hace clic en opciones como “Quick view” o “Buy now”, es redirigido a un formulario que solicita información sensible como número de tarjeta de crédito, débito o cuentas de servicios de pago como PayPal. Estos datos son enviados directamente a los ciberdelincuentes.

    “Una vez que se envían esos datos, pueden ser utilizados para compras fraudulentas, reventa en la dark web o incluso para suplantar la identidad de la víctima”, advirtió Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

    Entre las recomendaciones clave para evitar ser víctima de estas estafas figuran: no hacer clic en enlaces sospechosos, escribir directamente las URLs en el navegador, revisar con cuidado el dominio de la web y contar con soluciones de ciberseguridad que bloqueen sitios maliciosos.

    ESET también sugiere desconfiar de correos electrónicos o publicidades que ofrecen grandes descuentos o beneficios poco creíbles.

    “Lo más probable es que si algo parece demasiado bueno para ser cierto, simplemente no lo sea”, añadió Gutiérrez Amaya.

    La firma concluyó que, en caso de haber ingresado a un enlace sospechoso, se debe seguir una serie de pasos para minimizar el daño. Para ello, han elaborado una guía con “10 pasos a seguir tras hacer clic en un enlace de phishing”.

     

  • Así engañan a Grok para difundir enlaces de «phishing» y «malware» a gran escala en X

    Así engañan a Grok para difundir enlaces de «phishing» y «malware» a gran escala en X

    Una nueva modalidad de ciberataque ha puesto en evidencia la capacidad de manipulación de herramientas de inteligencia artificial. En esta ocasión, ciberdelincuentes lograron engañar al chatbot Grok, integrado en la red social X (antes Twitter), para que replicara enlaces fraudulentos vinculados a sitios de ‘phishing’ y descargas de ‘malware’.

    El hallazgo fue revelado por la compañía de ciberseguridad ESET, que advirtió sobre una sofisticada campaña de ‘malvertising’ capaz de evadir los filtros publicitarios de X. El mecanismo utilizado consiste en publicar videos con contenido llamativo o ‘clickbait’ cuya fuente visible, en lugar de una página legítima, muestra directamente un enlace malicioso.

    El objetivo de los delincuentes es lograr que Grok identifique ese enlace como fuente legítima. Para ello, inducen al chatbot a rastrear el origen del contenido y este, al encontrar el vínculo incrustado en el video, lo difunde de forma automática, multiplicando el alcance de la estafa entre los usuarios de la plataforma.

    Esta técnica responde a lo que se conoce como ‘prompt injection’, una estrategia en la que se introducen comandos ocultos dentro de textos o materiales procesados por inteligencias artificiales, obligándolas a ejecutar acciones prohibidas o dañinas para los usuarios.

    Los expertos han denominado esta táctica como ‘AI-aided malvertising’ o ‘Grokking’, en alusión al uso instrumental de Grok y otras IA para propagar este tipo de campañas. Si bien se sabe que los sistemas inteligentes pueden ser aprovechados para fines maliciosos, este caso plantea nuevos riesgos para la seguridad digital.

    “El caso de Grokking demuestra que incluso las IA más avanzadas pueden ser manipuladas para actuar contra los usuarios”, alertó Josep Albors, director de investigación y concienciación de ESET España. Advirtió que esta modalidad representa una “amenaza aún más sutil y potencialmente más peligrosa” por el nivel de confianza que los usuarios depositan en estos asistentes virtuales.

    Aunque la campaña se desarrolla principalmente en X, ESET alertó que la amenaza podría extenderse a cualquier plataforma que utilice modelos de lenguaje o asistentes inteligentes, dada la facilidad con la que pueden ser manipulados si no se establecen filtros y mecanismos de control más robustos.

  • El Salvador recibió más de 600,000 ciberataques en 2024

    El Salvador recibió más de 600,000 ciberataques en 2024

    El Salvador recibió más de 600,000 ciberataques en 2024, según análisis de la empresa tecnológica suiza Acronis.

    El manager solution engineer para Latinoamérica de Acronis, Guillermo Márquez, aseguró que estos son solo los ataques reportados y alertó de que la cifra pudo ser más grande.

    “El número se ha ido incrementando de forma exponencial y va a ir creciendo conforme se den cuenta los atacantes porque hay menos medidas de seguridad, países menos desarrollados en ciberseguridad van a ser atacados. (En 2025) estaban alrededor de 600,000 ataques reportados (en El Salvador)”, indicó Márquez.

    El sector financiero tiende a ser de los más afectados con los ciberataques; sin embargo, en la lista también se incluyen a los servicios hoteleros, profesionales y de salud.

    Durante un evento de la Asociación Nacional de la Empresa Privada (ANEP) y de la Cámara Salvadoreña de Tecnologías de la Información y la Comunicación (CasaTIC), el vocero de Acronis indicó que muchas veces no se reportan los casos por temas de seguridad o desconocimiento.

    La compañía tecnológica indicó que uno de los casos que se registraron en El Salvador el año pasado fue el de filtración de datos del Instituto Salvadoreño del Seguro Social (ISSS).

    Durante su presentación, Marquez explicó que este último no fue un ataque directo sino que en cadena de suministro, es decir que la información se extrajo de uno de sus proveedores del Seguro Social.

    Por su parte, en abril de 2025, el Ministerio de Hacienda confirmó que la institución era víctima de ciberataques de forma diaria.

    Según Acronis, El Salvador se encuentra “muy mal” en temas de ciberseguridad, por lo que es necesario corregir estas acciones en eventos impulsados por la ANEP donde se pretende reforzar este tipo de conocimientos.

    Un aumento

    Acronis advirtió que en El Salvador, como en el mundo, el incremento de los ciberataques incrementa de forma anual, entre un 25 % y un 30 %.

    Márquez dijo que El Salvador fue el más perjudicado en este tipo de problemas en 2024. De los más de 1.5 millones de ataques que recibió la región, los servicios salvadoreños fueron los más afectados.

    El motivo, indicó, es porque el país está dolarizado y, en un tiempo, el bitcoin fue una moneda de curso legal.

    “Es un tema que los ciberdelincuentes van a buscar siempre, el bitcoin es una forma rápida, que no pueden rastrear por transacciones con bitcoin”, indicó Márquez.

    Acronis advirtió que este número irá creciendo de forma exponencial en los próximos años conforme los taquetes noten que hay menos medidas de seguridad en los países menos desarrollados.

    La preocupación también viene del lado del personal formado en ciberseguridad, Acronis estima que en El Salvador solo hay 300 personas certificadas en la materia, mientras que solo la Universidad Don Bosco y la Universidad Francisco Gavidia son las únicas que impulsan este tipo de carreras.

    ¿Qué hacer?

    José Antonio González, gerente regional de Riesgos de ESET para Centroamérica y República Dominicana, aseguró que los datos son el oro negro en al actualidad.

    Según ESET, Costa Rica es el país más avanzado en cuanto a ciberseguridad.

    González señaló que las empresas deben tomar conciencia desde la alta administración sobre este tipo de amenazas.

    “Tenemos que agregar esto de forma integral, no solo desde la parte tecnológica sino desde la parte de la cultura organizacional, tenemos que entrenar a nuestro personal”, puntualizó González.

    ESET aconsejó crear marcos internos, políticas y procedimientos relacionados con tecnología.

    González dijo que también es importante que las personas se concienticen y no ingresen a enlaces que parezcan sospechosos, al mismo tiempo que se siga al pie de la letra protocolos dictados por las empresas.

    ESET ve importante la formación de la población en general con relación a los ciberataques, principalmente porque hay información que muchas veces se pueden dar sin intención.

    Citando un reporte de McKinsey & Company, ESET aseguró que la inversión global en ciberseguridad para 2024 superó los $200 millones en todo el mundo.

  • Encuesta regional revela que más de la mitad de los que usan Inteligencia Artificial en América Latina no verifica la información

    Encuesta regional revela que más de la mitad de los que usan Inteligencia Artificial en América Latina no verifica la información

    La inteligencia artificial (IA) se ha convertido en una herramienta cada vez más presente en la vida diaria de los latinoamericanos, desde consultas rápidas hasta apoyo en el trabajo y estudios. Sin embargo, su uso descuidado puede exponer a riesgos, según un estudio de ESET Latinoamérica, que analizó los hábitos de más de 1,000 usuarios en 17 países de la región.

    El informe destaca que el 80 % de los encuestados utiliza la IA, aunque el 55 % admitió que no siempre verifica la información obtenida. De ese grupo, un 14 % reconoció que nunca la contrasta y un 39 % solo a veces.

    “Si bien es cierto que los modelos de IA pueden entregar información certera, no están exentos de generar respuestas incorrectas o sesgadas”, explicó Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.

    El estudio también mostró que un 40 % comparte datos personales o laborales con estas plataformas, mientras que casi el 60 % no lee las políticas de privacidad. Solo la mitad de los participantes aseguró tomar medidas concretas para proteger su información. ESET advierte que estas prácticas facilitan riesgos como ataques de prompt injection, manipulación de respuestas o almacenamiento de datos sensibles.

    Entre las principales preocupaciones de los usuarios sobre la IA destacan los fraudes y estafas (65 %), los deepfakes y noticias falsas (47 %) y la falta de privacidad (45 %). Los investigadores subrayan que los ciberdelincuentes ya utilizan IA generativa para crear correos de phishing más convincentes y audios falsos con apenas segundos de la voz de una persona.

    A pesar de los riesgos, el 80 % de los encuestados ve la IA como algo positivo, aunque un 43 % cree que su utilidad vendrá acompañada de riesgos.

    “La solución no está en temerle a la herramienta, sino en acciones concretas para usarla de forma crítica y segura”, concluyó Gutiérrez Amaya.

     

  • ESET realiza ponencia sobre Ley de Ciberseguridad de El Salvador: «Los datos son el oro de este siglo»

    ESET realiza ponencia sobre Ley de Ciberseguridad de El Salvador: «Los datos son el oro de este siglo»

    La empresa ESET participó en el Legal Tech Summit con una ponencia sobre la nueva Ley de ciberseguridad y seguridad de la información que da vida a la Agencia de Ciberseguridad del Estado. Asegura que los datos son el oro de este siglo.

    La ESET explica en un comunicado compartido este jueves que en el país muchos marcos normativos y herramientas tecnológicas son aún poco conocidas», a pesar que esta ley inició su vigencia en noviembre del año pasado.

    Aseguró la empresa que este espacio de conocimiento permite a las empresas en El Salvador conocer y comprender «las nuevas disposiciones legales que están transformando el entorno empresarial» en el país.

    En ese sentido, el gerente regional de riesgos de ESET, José Antonio González, aseguró en la ponencia que «los datos son el oro de este siglo», por ello, la empresa considera que las principales preocupaciones sobre la inteligencia artificial son la privacidad y la transparencia.

    «Los datos son el oro de este siglo, considerándolos un bien valioso no solo para empresas y organismos, sino también para cibercriminales que encuentran en ellos una fuente de riqueza en ssu explotación». José Antonio González, gerente regional de riesgos de ESET.

    Por estas razones, González considera que contar con un marco normativo en esta materia para garantizar «la seguridad de esos datos cobra cada vez más importancia y relevancia» y considerando también que el mundo se vuelve cada vez más interconectado, digitalizado y virtualizado.

    La empresa reconoce que el marco normativo en El Salvador es «la primera de su naturaleza en Centroamérica» y que busca garantizar la protección de datos y de los sistemas informáticos.

    El foro fue organizado por el Proyecto Alice Lardé, con apoyo de la Unión Europea, de la Organización de Estados Iberoamericanos (OEI) y de la Escuela Superior de Economía y Negocios (ESEN).

    La ley fue aprobada el año pasado en la Asamblea Legislativa a iniciativa y por petición del ministro de Justicia y Seguridad, Gustavo Villatoro. A mediados de julio de 2025, el presidente de la República, Nayib Bukele, nombró a Mario Flamenco, exoficial de la Oficina del Bitcoin como director de la Agencia Nacional de Inteligencia Artificial (ANIA).