Los ataques para secuestrar cuentas de mensajería continúan en auge. Expertos de Kaspersky alertan sobre los métodos más comunes de suplantación en esta app y comparten pasos clave para recuperar el acceso y evitar que vuelva a ocurrir.

Cada vez es más común que los ciberdelincuentes secuestren cuentas de WhatsApp para suplantar a las víctimas y contactar a sus familiares o amigos con mensajes falsos, generalmente apelando a emergencias o favores urgentes. Desde Kaspersky alertamos sobre esta tendencia en crecimiento y compartimos recomendaciones prácticas para reconocer un ataque, recuperar el control de la cuenta y evitar que vuelva a ocurrir.

Una cuenta comprometida puede mostrar comportamientos extraños:

• Respuestas que el usuario no envió,
• Mensajes eliminados sin explicación,
• Cambios en el nombre, foto o estado, e incluso la inclusión en grupos desconocidos.
• En los casos más graves, la app cierra la sesión y notifica que la cuenta está activa en otro dispositivo.

Esto ocurre porque los atacantes pueden acceder a una cuenta de dos formas. Una es a través de la función “Dispositivos vinculados”, que les permite conectar su equipo sin desconectar al titular. Así, pueden leer mensajes y monitorear conversaciones en tiempo real. La segunda, más agresiva, implica registrar la cuenta en otro teléfono como si se tratara de un cambio legítimo. Si el atacante logra obtener el código de verificación enviado por SMS, llamada o a través de un mensaje emergente por la misma aplicación —algo que consiguen comúnmente mediante ingeniería social o duplicación de SIM— el control total de la cuenta pasa a sus manos, desconectando por completo al usuario original.

Si sospechas que tu cuenta fue comprometida, aún puedes ingresar a la aplicación cerrando todas las sesiones abiertas desde la configuración. Si ya fuiste bloqueado, intenta registrarte nuevamente con tu número. Si se solicita un PIN de verificación en dos pasos que no configuraste, es posible que el atacante lo haya activado. En ese caso, podrás restablecerlo desde tu correo electrónico vinculado o, si no lo tienes, deberás esperar siete días para recuperar el acceso.

Una forma efectiva de prevenir este tipo de incidentes es contar con una solución de seguridad instalada en tu dispositivo móvil, capaz de detectar intentos de acceso maliciosos, enlaces fraudulentos y apps sospechosas antes de que comprometan tus datos. Sin embargo, se estima que más del 43?% de los usuarios en América Latina aún no cuenta con protección activa en sus teléfonos, según el estudio Resaca Digital de Kaspersky, lo que los deja expuestos frente a este tipo de amenazas cada vez más frecuentes. Del mismo estudio se estima que no cuenta con protección activa en sus teléfonos el 50% de los argentinos, 49% de chilenos, 42% de mexicanos, 41% de brasileros y el 38% de peruanos y colombianos.

También es fundamental informar a tus contactos lo antes posible para evitar que alguien caiga en una estafa creyendo que tú estás detrás de los mensajes. Lo ideal es hacerlo por llamada o a través de otros canales directos. Para advertir a más personas, puedes actualizar tu estado de WhatsApp con una alerta clara y compartirla en tus redes sociales. Aunque el 39?% de los latinoamericanos afirma que suele ignorar o eliminar mensajes sospechosos, según otro estudio de Kaspersky, esta cifra tiende a bajar cuando los atacantes se hacen pasar por familiares o amigos cercanos, apelando a la urgencia o al vínculo emocional.

“Lo preocupante de estos ataques no es solo su volumen creciente, sino el grado de sofisticación que están alcanzando. Ya no se trata de simples robos de cuenta, sino de esquemas bien planeados que combinan suplantación de identidad, ingeniería social y fraudes financieros. El atacante no busca solamente robar información, sino manipular emocionalmente a los contactos de la víctima para obtener dinero o acceso a otras cuentas. Además, al utilizar cuentas reales, logran evadir muchos filtros automatizados de seguridad. Es una evolución preocupante del crimen digital, donde la confianza entre personas es el verdadero blanco”, afirma María Isabel Manjarrez, investigadora de seguridad en el Equipo Global de Investigación y Análisis para América Latina en Kaspersky.

Para reducir significativamente el riesgo de ser víctima de este tipo de ataques, los expertos de Kaspersky recomiendan:

• Activar la verificación en dos pasos: Esta función añade una capa adicional de protección que impide que un atacante pueda acceder a tu cuenta, incluso si obtiene el código de registro.

• Asociar un correo de recuperación: Contar con un correo electrónico vinculado a la cuenta permite restablecer el acceso rápidamente en caso de que alguien intente bloquearte.
• Evitar compartir códigos o enlaces: Ningún servicio legítimo te pedirá que compartas tu código de verificación. Si alguien lo solicita, es un intento de fraude.
• Solicitar protección adicional al operador móvil: Pide a tu proveedor que bloquee la emisión de duplicados de tu SIM sin verificación presencial o contraseña adicional.
• Instalar una solución de ciberseguridad confiable: Herramientas como Kaspersky Premium ofrecen protección en tiempo real contra malware, fraudes digitales, accesos no autorizados y robo de identidad, ayudando a blindar tu información en todos los dispositivos.

Origen

Si estás en el mundo de las criptomonedas, seguramente ya te enteraste del bombazo: Bybit, uno de los exchanges más grandes y confiables, fue hackeado. Sí, leíste bien. Los hackers lograron robar más de 1.500 millones de dólares en Ethereum (ETH). Este incidente no solo es un golpe duro para Bybit, sino también para la confianza en el mercado cripto en general. Vamos a desglosar qué pasó, cómo afecta esto al ecosistema y qué podemos aprender de todo esto.

¿Qué fue lo que pasó?

El hackeo ocurrió el 21 de febrero de 2025 y fue todo menos un ataque común. Los hackers lograron explotar una vulnerabilidad en la lógica del contrato inteligente de una billetera multifirma (multisig) de Bybit. Básicamente, hicieron que una transacción maliciosa pareciera legítima, engañando a los firmantes para que aprobaran el movimiento de fondos sin darse cuenta.

El resultado: 401,346 ETH desaparecieron en cuestión de minutos. Para ponerlo en perspectiva, eso es más de 1.400 millones de dólares al precio actual. Aunque Bybit aseguró que sus otras billeteras frías están seguras y que los retiros siguen funcionando normalmente, la noticia dejó a muchos usuarios preguntándose: "¿Qué tan seguros están mis fondos?"

¿Cómo afecta esto a la confianza en Bybit?

Seamos sinceros: cuando ocurren hackeos como este, es difícil no entrar en pánico. Bybit era considerado uno de los exchanges más seguros y confiables del mercado. Ahora, muchos usuarios están cuestionando si deberían seguir dejando sus fondos en plataformas centralizadas.

Este tipo de incidentes no solo afecta a Bybit; también genera dudas sobre la seguridad general del ecosistema cripto. Si un gigante como Bybit puede ser hackeado, ¿qué tan seguros están otros exchanges? Es probable que algunos usuarios opten por mover sus fondos a billeteras frías (hardware wallets) o incluso considerar plataformas descentralizadas (DEX).

El impacto en el mercado cripto

Como era de esperarse, este hackeo tuvo repercusiones inmediatas en el mercado:

• Ethereum (ETH): El precio de ETH cayó más del 3% poco después del anuncio del hackeo. No es una caída catastrófica, pero sí demuestra cómo este tipo de noticias afectan la confianza.
• Bitcoin (BTC): BTC también sintió el golpe, cayendo rápidamente desde los 98,500 USD hasta los 96,600 USD. Aunque Bitcoin suele ser más resistente a este tipo de eventos, la incertidumbre general terminó afectándolo.
• Incertidumbre general: Este hackeo se suma a otros problemas recientes en el mercado cripto, como preocupaciones regulatorias y tensiones económicas globales. Todo esto crea un ambiente donde los inversores están más cautelosos que nunca.

¿Qué podemos aprender de esto?

Si algo nos ha enseñado este hackeo es que la seguridad nunca debe tomarse a la ligera. Aquí van algunas lecciones importantes:

1. No pongas todos tus huevos en una sola canasta: Si tienes fondos significativos en un exchange centralizado, considera diversificar y mover parte a una billetera fría.
2. Investiga las medidas de seguridad: Antes de confiar tus activos a cualquier plataforma, asegúrate de que tengan auditorías regulares y protocolos sólidos para proteger los fondos.
3. Sé proactivo con tu seguridad personal: Activa la autenticación en dos pasos (2FA), usa contraseñas únicas y mantente alerta ante posibles estafas o phishing.

Reflexión final

El hackeo a Bybit es un golpe duro para todos los que estamos en el espacio cripto. Pero también es un recordatorio importante: aunque las criptomonedas representan innovación y libertad financiera, todavía estamos lidiando con riesgos significativos.

Si eres usuario de Bybit o cualquier otro exchange centralizado, este es un buen momento para reflexionar sobre cómo proteges tus activos digitales. Y si bien este incidente puede generar desconfianza a corto plazo, no olvidemos que cada desafío impulsa al ecosistema cripto a mejorar y evolucionar.

¿Qué opinas sobre todo esto? ¿Crees que los exchanges centralizados siguen siendo confiables? ¡Déjame tus comentarios abajo!

Origen

En cuanto a la supuesta venta de datos por parte de Sony, es imposible sacar conclusiones basándose únicamente en una sola declaración del grupo de hackers y en la evidencia de ataque que ellos mismos ofrecen, ya que la violación puede ser falsa o no contener datos sensibles. En este contexto, Kaspersky no especulará.

Las violaciones de datos en general representan un gran desafío para cualquier empresa cuando ocurren. El primer paso para quienes se encuentran en medio de una crisis y enfrentan una creciente atención mediática es investigar a fondo la presunta violación. En algunos casos, la violación puede ser falsa: los delincuentes pueden hacer pasar otra información de acceso público como una violación real para ganar publicidad.

La verificación interna es vital en tales casos. Puede llevarse a cabo verificando la fuente, cruzando datos internos y evaluando la credibilidad de la información. En otras palabras, una empresa debe recopilar pruebas para confirmar que el ataque es real y que los datos han sido comprometidos.

Es importante recordar que las empresas pueden y deben protegerse proactivamente contra este tipo de amenazas. Hoy en día, la pregunta sobre las violaciones de seguridad para las empresas grandes no comienza con "si" ocurren, sino con "cuándo ocurrirán". El monitoreo continuo de la Dark Web con la ayuda de servicios especiales de inteligencia de huella digital (Digital FootPrint), permite a las empresas identificar nuevas publicaciones relacionadas tanto con violaciones genuinas como falsas, y rastrear aumentos en la actividad maliciosa.

Planes de respuesta a incidentes efectivos, que incluyen equipos designados, canales de comunicación y protocolos, pueden ayudar a abordar rápidamente tales incidentes si ocurren. Además, una estrategia de comunicación para interactuar con clientes, periodistas y agencias gubernamentales minimiza el impacto de una violación y mitiga las consecuencias

Origen

Vamos a hablar sobre un tema que ha sido noticia recientemente: el hackeo a T-Mobile. Como probablemente ya sepas, T-Mobile anunció recientemente un incidente de seguridad en el que se vieron comprometidos los datos personales de 37 millones de sus clientes. Aunque T-Mobile ha tomado medidas para resolver el problema, este hackeo ha generado preocupaciones sobre la seguridad de los datos personales en manos de las compañías de telecomunicaciones. En este artículo, tenemos la mirada de Kaspersky de este acontecimiento, brindada por su investigador principal de seguridad, David Emm, quien expreso lo siguiente:

“T-Mobile ha dado a conocer recientemente que piratas informáticos robaron información básica de clientes, incluidos nombres, direcciones de facturación, correos electrónicos, números de teléfono y fechas de nacimiento. Los atacantes podrían hacer que la base de datos sea de acceso público al ponerla a la venta en la dark web. Esta es una acción común para los actores de ransomware, quienes publican sobre nuevos incidentes de piratería exitosos en sus blogs públicos, al igual que sobre los datos robados en sí. Estas fugas se están convirtiendo cada vez más en una amenaza tanto para los clientes como para las empresas. Uno de los actores de ransomware más conocidos es LockBit; según su blog, que los servicios de seguridad de Kaspersky monitorean constantemente, el número promedio de entidades víctimas reportadas públicamente es de 80 a 90 por mes, pero a veces puede alcanzar hasta 160.

“Cuando los datos se filtran en línea, otros ciberdelincuentes están dispuestos a pagar por acceder a ellos con la esperanza de beneficiarse de estos. ¿Cómo nos afecta esto? Pues, posibilita que nos enfrentemos a una mayor amenaza de recibir mensajes de phishing, donde los perpetradores pueden hacerse pasar por representantes de T-Mobile o sus competidores ofreciendo ofertas demasiado buenas para ser verdad. Dado que los atacantes podrían haber obtenido información confidencial sobre una víctima potencial como resultado de la filtración, la efectividad de las estafas aumenta significativamente. Para protegerse, es importante analizar los mensajes sospechosos: cómo es la ortografía del remitente y en qué se diferencia de la oficial, qué tipo de enlaces se encuentran en el cuerpo de la nota y prestar atención a la puntuación. Mensajes oficiales no deben incluir direcciones extrañas, errores gramaticales o imágenes de baja calidad.

“Dado que los datos de T-Mobile pirateados incluyen números de teléfono, es importante tener cuidado al responder llamadas telefónicas y no confiar en aquellos que requieren la toma decisiones financieras urgentes. Aunque hoy en día las llamadas telefónicas fraudulentas no sorprenden a nadie, los atacantes pueden usar la información obtenida de las filtraciones para ganarse la confianza de las víctimas potenciales.

“Cuando se trata de la ciberseguridad corporativa, se recomienda encarecidamente implementar medidas básicas para no ser víctima de piratas informáticos que buscan robar datos. En el caso de T-Mobile, no hay información sobre exactamente cómo los atacantes comprometieron la interfaz de programación de aplicaciones (API), pero bien podría tratarse de una vulnerabilidad. Para todos los tipos de software, es fundamental que las empresas utilicen código actualizado y comprueben la seguridad de sus sistemas, como, por ejemplo, organizando pruebas de penetración: una evaluación de seguridad que simula a varios tipos de intrusos que buscan elevar los privilegios actuales y acceder al entorno. Para que una empresa se mantenga protegida al enfrentar un incidente, los servicios de respuesta a incidentes pueden ayudar a minimizar las consecuencias, en particular, identificando nodos comprometidos y protegiendo la infraestructura de ataques similares en el futuro”.

Origen

Según expertos de Kaspersky, en los últimos meses se ha registrado un aumento en ataques y hackeos en casi todos los juegos en línea

El pasado 21 de junio, un usuario de Twitter –bajo el nombre de ohnePixel - reportó que se habían robado más dos millones de dólares en skins de CS:GO de una cuenta pirateada. Entre los objetos robados se incluyen una variedad objetos “raros” como Souvenir AWP Dragon Lore, la skin más cara de CS:GO, que puede alcanzar cientos de miles de dólares.

El supuesto inventario ha sido privado durante los últimos tres años. Tras el hackeo, los jugadores empezaron a notar que los objetos del inventario se hacían públicos. De acuerdo con ohnePixel, el correo electrónico y la contraseña de la cuenta de Steam del propietario del inventario se cambiaron a mediados de junio, pero el hackeo pasó desapercibido. Algunos streamers, incluso, captaron el proceso en directo en Twitch. Las estimaciones sobre el valor del inventario robado varían entre 2 y 4 millones de dólares.

Las skins de CS:GO son de los artículos más caros del mundo de los videojuegos, debido a su enorme popularidad. Todavía no está claro si el hacker no conocía el valor real de los artículos robados o si buscaba ganar dinero rápido y, por lo tanto, los estaba vendiendo por debajo de su valor. En cualquier caso, los objetos se estaban vendiendo por una mínima parte de su valor de mercado.

Cómo protegerse de hackeos en CS:GO

De acuerdo con los expertos de Kaspersky, durante los últimos meses se ha experimentado un aumento de los ataques y hackeos en casi todos los juegos en línea. Esto se debe, principalmente, al aumento del número de jugadores y de las inversiones en objetos virtuales. Por eso, es crucial seguir una guía adecuada para proteger estas cuentas contra los estafadores y trolls:

• Aunque muchos gamers no lo saben, los antivirus líderes cuentan con un modo especial para juegos, el cual garantiza que el rendimiento de este no se vea afectado, que las notificaciones se silencien y que, al mismo tiempo, el PC permanezca protegido. 

• A pesar de contar con una solución de seguridad de confianza, son muchos los usuarios que la desactivan mientras juegan para no recibir avisos. Este es otro error frecuente a evitar para no ser víctima de hackeos.

• Utilizar una contraseña segura y no reutilizarla en otras plataformas.

• No abrir enlaces sospechosos que supuestamente procedan de la plataforma de juegos, ya que podría tratarse de ataques de phishing que buscan robar las credenciales.

Encuentra más información en el blog de Kaspersky.

Origen

Microsoft ha confirmado que uno de sus empleados se vio comprometido por el grupo de piratería Lapsus$, lo que permitió a los actores de amenazas acceder y robar partes de su código fuente.

Anoche, la pandilla Lapsus$  lanzó 37 GB de código fuente robado del servidor  Azure DevOps de Microsoft. El código fuente es para varios proyectos internos de Microsoft, incluidos Bing, Cortana y Bing Maps.

En una nueva publicación de blog publicada esta noche, Microsoft ha confirmado que Lapsus$ vulneró la cuenta de uno de sus empleados, proporcionando acceso limitado a los repositorios de código fuente.

"Ningún código de cliente o datos estuvieron involucrados en las actividades observadas. Nuestra investigación encontró que una sola cuenta se vio comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética se comprometieron rápidamente para remediar la cuenta comprometida y evitar más actividades", explicó Microsoft en un aviso. sobre los actores de amenazas Lapsus$.

"Microsoft no confía en el secreto del código como medida de seguridad y la visualización del código fuente no conduce a una elevación del riesgo. Las tácticas DEV-0537 utilizadas en esta intrusión reflejan las tácticas y técnicas discutidas en este blog".

"Nuestro equipo ya estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el actor reveló públicamente su intrusión. Esta divulgación pública intensificó nuestra acción, lo que permitió a nuestro equipo intervenir e interrumpir al actor en medio de la operación, lo que limitó un impacto más amplio".

Si bien Microsoft no ha compartido cómo se comprometió la cuenta, proporcionó una descripción general de las tácticas, técnicas y procedimientos (TTP) de la pandilla Lapsus observados en múltiples ataques.

Centrarse en las credenciales comprometidas

Microsoft está rastreando al grupo de extorsión de datos Lapsus$ como 'DEV-0537' y dice que se enfocan principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.

Estas credenciales se obtienen utilizando los siguientes métodos:

• Implementación del ladrón de contraseñas malicioso Redline para obtener contraseñas y tokens de sesión
• Compra de credenciales y tokens de sesión en foros clandestinos criminales
• Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA)
• Búsqueda de repositorios de códigos públicos para credenciales expuestas

El ladrón de contraseñas Redline se ha  convertido en el malware elegido  para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, abrevaderos, sitios warez y videos de YouTube.

Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las usan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que  violaron en enero .

Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión.

Microsoft dice que en al menos un ataque, Lapsus $ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Una vez que obtienen acceso a una red, los actores de amenazas usan  AD Explorer  para encontrar cuentas con mayores privilegios y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales. 

El grupo de piratería también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.

"También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios", explica Microsoft en su informe.

"El grupo comprometió los servidores que ejecutan estas aplicaciones para obtener las credenciales de una cuenta privilegiada o ejecutarlas en el contexto de dicha cuenta y volcar las credenciales desde allí".

Luego, los actores de amenazas recolectarán datos valiosos y los exfiltrarán a través de las conexiones de NordVPN para ocultar sus ubicaciones mientras realizan ataques destructivos en la infraestructura de las víctimas para desencadenar procedimientos de respuesta a incidentes. 

Los actores de amenazas luego monitorean estos procedimientos a través de los canales de Slack o Microsoft Teams de la víctima.

Protección contra Lapsus$

Microsoft recomienda que las entidades corporativas realicen los siguientes pasos para protegerse contra actores de amenazas como Lapsus$:

• Fortalecer la implementación de MFA
• Requerir puntos finales saludables y confiables
• Aproveche las opciones de autenticación modernas para las VPN
• Fortalezca y supervise su postura de seguridad en la nube
• Mejorar el conocimiento de los ataques de ingeniería social
• Establecer procesos de seguridad operativa en respuesta a las intrusiones DEV-0537

Lapsus$ ha realizado recientemente numerosos ataques contra la empresa, incluidos  NVIDIA ,  Samsung ,  Vodafone ,  Ubisoft ,  Mercado Libre y ahora Microsoft.

Por lo tanto, se recomienda enfáticamente que los administradores de redes y seguridad se familiaricen con las tácticas utilizadas por este grupo al leer el informe de Microsoft .

Fuente: BleepingComputer

Origen

Origen

Origen

Origen

Origen