En la actualidad, diferentes plataformas digitales, como las redes sociales o la banca en línea, permiten habilitar esta autenticación de dos factores, la cual consiste en validar la identidad de un usuario a través de un segundo mecanismo de verificación (adicional a la contraseña habitual), para que pueda acceder a sus perfiles; usualmente, se trata de un código de un solo uso enviado por mensaje de texto, correo electrónico o una app específica, representando una capa adicional de protección. El bot, empleado por los delincuentes, es un software automatizado que solicita este código de 2FA a las víctimas con técnicas de ingeniería social para engañarlas, robarlo y así acceder a sus cuentas.

¿Cómo funciona la ciberestafa?

Los sitios de phishing descubiertos por los expertos de Kasperskyimitan las páginas oficiales de inicio de sesión de bancos, servicios de correo electrónico, entre otras plataformas en línea. Cuando una persona intenta acceder a alguna de sus cuentas desde estos sitios e introduce su nombre de usuario y contraseña, el ciberdelincuente roba esa información para intentar ingresar, desde las plataformas oficiales, al perfil de la víctima quien; en caso de tener activada la 2FA, recibirá el código en su dispositivo móvil.

Inmediatamente, el usuario recibe una llamada de un bot que simula ser empleado de una empresa de confianza. Éste utiliza una grabación convincente para persuadirlo de que comparta o introduzca por su cuenta, el código de seguridad que recibió en su dispositivo. Con el código y la información que se acaba de proporcionar, el ciberdelincuente puede ingresar a la cuenta de la víctima.

Los delincuentes prefieren hacer llamadas en lugar de enviar mensajes, ya que estas aumentan las posibilidades de que la víctima responda rápidamente. Los bots automatizados pueden imitar el tono y la urgencia de una llamada legítima, para hacerla más convincente; otra de sus ventajas es que pueden controlarse a través de paneles en línea o plataformas de mensajería como Telegram.

Además, tienen varias funciones y planes de suscripción: se pueden personalizar para hacerse pasar por diferentes organizaciones, utilizan distintos idiomas e incluso, permiten elegir entre voces masculinas y femeninas. Las opciones avanzadas incluyen la suplantación de números de teléfono para que el identificador de llamadas los registre a nombre de una organización legítima.

“Cada vez es más fácil obtener los códigos 2FA. Antes, el delincuente lo hacía manualmente al estilo man-in-the-middle; esperaba que la víctima introdujera el token por su cuenta en las páginas de inicio de sesión al solicitárselo. Hoy en día, con los robots, este proceso se ha automatizado, por lo que es fundamental estar atentos y utilizar las mejores prácticas de ciberseguridad para protegernos y no convertirnos en víctimas”, afirma Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky.

Consejos importantes

Aunque la autenticación de dos factores es una importante medida de ciberseguridad, no es invulnerable. Para protegerte de estas sofisticadas estafas, Kaspersky te recomienda:

• Comprueba automáticamente si hay filtraciones de datos que afecten a tus cuentas vinculadas a direcciones de correo electrónico y números de teléfono, tanto tuyos como de tu familia. Si detectas una filtración, como mínimo, cambia tu contraseña inmediatamente.
• Crea contraseñas fuertes y únicas para todas tus cuentas. Los estafadores sólo podrán atacarte con bots OTP si conocen tu contraseña. Por tanto, genera claves de acceso complejas y guárdalas de forma segura.
• Asegúrate de que estás en un sitio legítimo antes de introducir información personal. Uno de los trucos utilizados por los estafadores es dirigir al usuario a un sitio de phishing sustituyendo algunos caracteres en la barra de direcciones.
• Nunca compartas los códigos de un solo uso con nadie ni los introduzcas en el teclado de tu teléfono durante una llamada. Recuerda que los empleados legítimos de bancos, tiendas, proveedores de servicios, e incluso las autoridades, nunca te los pedirán.

La entrada Phishing y bots: la nueva estrategia de ciberdelincuentes para robar códigos de 2FA, advierte Kaspersky se publicó primero en Tecnogus.

Según un informe reciente de Imperva, Inc.,el número medio mínimo de APIs que una organización gestiona hoy en día no es inferior a 300. Éstas juegan un papel crucial en el proceso de transformación digital al apoyar el rápido desarrollo y la implementación de nuevos proyectos y aplicaciones. Sin embargo, debido a la facilidad para orquestar un ataque con bots contra ellas, las API se han convertido en un objetivo prioritario para las amenazas automatizadas:

De todos los ataques dirigidos a las API el año pasado a nivel mundial, el 17% procedían de bots maliciosos. Éstos aprovechan los defectos en el diseño y la implementación de una API o aplicación con la intención de manipular la funcionalidad legítima para robar datos confidenciales o acceder ilegalmente a las cuentas.

Entonces, ¿cómo atacan estos bots maliciosos a las API?

1. Extracción de datos: Los bots maliciosos pueden utilizarse para extraer datos de las API, recopilando información confidencial como datos de usuarios, de productos, detalles de precios y mucho más. Esta información puede utilizarse con fines maliciosos, como obtener una ventaja competitiva o realizar robos de identidad o fraudes.

• Adquisición de cuentas: Los bots maliciosos pueden usarse para apoderarse de las cuentas de los usuarios mediante diversas técnicas, como el relleno de credenciales por fuerza bruta, el secuestro de sesiones y otras técnicas. Esto puede ser especialmente peligroso si la API proporciona acceso a datos o funcionalidades sensibles, y puede conducir al robo de identidad o fraude. El 35% de los ataques de apropiación de cuentas recodificados por Imperva en 2022 tenían como objetivo específico las API.

• Denegación de servicio distribuido (DDoS): Los bots maliciosos pueden utilizarse para saturar las API con peticiones y hacer que dejen de responder o incluso se bloqueen. Esto puede interrumpir la capacidad de los usuarios legítimos para acceder a la API e incluso puede usarse como forma de extorsión o sabotaje.

• Sondeo de API: Los bots también pueden utilizarse para sondear las API en busca de vulnerabilidades. No se trata de un ataque directo en sí, sino más bien de una fase de reconocimiento que ayuda a los atacantes a identificar posibles brechas que pueden explotar posteriormente.

• Exfiltración de datos: Muchas vulnerabilidades a nivel de lógica empresarial son específicas de un fallo de implementación de una API. Los bots maliciosos pueden ser utilizados para exfiltrar información llamando a APIs que devuelven cantidades excesivas de datos, más de lo necesario para la función.

«Es importante que las empresas tomen en cuenta que el 17% de todos los ataques dirigidos a API en 2022 procedían de bots, y el 21% eran otros tipos de amenazas automatizadas. No debería sorprendernos que la falta de protección sea uno de los desafíos del 2023.”. Con la llegada de la inteligencia artificial generativa, los ataques automatizados con bots evolucionarán a un ritmo aún mayor y más preocupante en los próximos años», afirma Ricardo Cázares, Vicepresidente de Imperva en Latinoamérica y el Caribe. «Los ciberdelincuentes se centrarán cada vez más en atacar las API’s. Como resultado, la interrupción del negocio y el impacto financiero asociado a los bots maliciosos serán más significativos. Por ello, las organizaciones necesitan actuar ahora e invertir en tecnología de ciberseguridad de gestión de bots y prevención online que puedan identificar y detener cualquier amenaza sofisticada».

La entrada 5 formas en las que los cibercriminales pueden atacar tus APIs con bots se publicó primero en Tecnogus.

El revuelo en torno a los bots de voz y chat basados en inteligencia artificial (IA) es evidente, pero ¿cumplen? La mayoría todavía realiza solo tareas extremadamente básicas y, a menudo, reflejan las malas prácticas de los IVR tradicionales. Los clientes pueden estar abiertos a la idea, pero solo el 30% cree que los chatbots y los asistentes virtuales facilitan la resolución de sus problemas de servicio.

Las cosas en las que los clientes dicen que los bots son buenos (responder rápidamente, ayudarlos fuera del horario comercial normal, ser amigables) no son tan importantes como lo que el 60%  dice que los bots fallan, por ello es vital entenderlos bien. Cualquier empresa que subestime el valor de la IA en esta área se quedará atrás en 2023; sin embargo, la reevaluación es necesaria. ¿Cómo puede implementar bots de IA en su empresa y estos qué podrán hacer por usted?

Desde Avaya se espera que los Bots pasen por 3 puntos de inflexión:

1. Las empresas adoptarán un enfoque más realista para los bots con un fuerte énfasis en mejorar los diálogos y diseñar excelentes servicios detrás de las interfaces de usuario conversacionales.

Las expectativas de los clientes están cambiando drásticamente con la proliferación de dispositivos de voz habilitados para IA como Alexa, Google Home y Siri, y la introducción de nuevas aplicaciones como ChatGPT. Veremos un enfoque en hacer que las interacciones con los clientes sean más fáciles de entender, lo que resultará en una menor repetición de información y desconexiones para crear mejores experiencias de bot. La integración con la inteligencia cognitiva (gestión del conocimiento sensible al contexto, análisis predictivo y similares) será clave para hacerlo.

No esperes ver diferencias entre la noche y el día, sino más bien un punto de inflexión en la relación entre las máquinas y los humanos. Veremos el cambio continuo de chatbots basados en botones a agentes virtuales conversacionales que pueden manejar interacciones más complejas con un motor de razonamiento sofisticado y sistemas de back-end integrados.

“Las empresas harían bien en comenzar con aplicaciones alcanzables a pequeña escal, por ejemplo, hacer que su agente virtual «hable” con éxito a los clientes a través de los pasos necesarios para una tarea o proceso determinado, como iniciar un restablecimiento de contraseña, presentar un ticket de soporte o hacer una reserva. Luego, construya desde allí para comenzar a usar la IA conversacional de maneras más avanzadas, como capturar y analizar instantáneamente conversaciones para iniciar acciones o hacer que los bots lean entre líneas para comprender lo que los clientes quieren y sienten. Por ahora, aplica el dicho <<Lo lento y constante gana la carrera>>”. Afirmó Mike Kuch, Director Senior de Marketing de Soluciones para Avaya.

2. El transferir interacciones de agentes en vivo a bots (no solo de bot a agente) para completar el proceso se convertirá en una opción cada vez más interesante.

La mayoría de las interacciones iniciadas por bots dan como resultado transferencias de agentes en vivo. ¿Podríamos ver un aumento en las transferencias inversas donde los clientes pasan de agente a bot? Sí, especialmente cuando los procesos están a punto de completarse para que los agentes puedan tener más tiempo.

Aquí hay un ejemplo de cómo podría funcionar esto: Un cliente llama a su compañía de seguros de automóviles después de sufrir un choque menor. El agente guía al cliente a través de los pasos que deben seguirse (cómo presentar un reclamo, dónde cargar imágenes de la escena, cómo manejar todas las demás necesidades, etc.) y responde cualquier pregunta que surja.

Es en este punto que el agente ofrece al cliente la opción de ser transferido a una experiencia digital facilitada por el bot de chat de IA de la compañía. El cliente acepta, la llamada finaliza y el bot interviene a través de mensajes de texto / SMS. El bot puede enviar enlaces a artículos basados en el conocimiento, insertar videos de «cómo hacer» directamente en mensajes de texto, ayudar al cliente a navegar por la aplicación móvil de la empresa y responder cualquier pregunta en una conversación natural similar a la humana, de ida y vuelta. El cliente puede optar por no participar en esta experiencia digital en cualquier momento y ser conectado de nuevo a un agente en vivo con toda la información contextual.

“Desde Avaya, esperamos que más organizaciones consideren o faciliten las interacciones de agente a bot en 2023 para mejorar los costos y la productividad mientras mantienen si no es que aumentan su puntuación de satisfacción al cliente o CSAT” Agregó Mike Kuch.

3. Este será el año en que la experiencia del cliente (CX) ya no dependa de las características de la plataforma del Centro de Contacto, sino de la capacidad de la plataforma para recopilar, procesar y reaccionar sobre los datos.

Se espera ver un aumento en el interés por el análisis de la comunicación a medida que las empresas buscan convertir los datos ocultos de las conversaciones de los clientes en información procesable que pueda ser utilizada para tomar decisiones estratégicas, tácticas y acciones operativas. Por ejemplo, usar análisis de voz impulsados por IA para:

• Reunir perfiles precisos de clientes individuales en función de sus intereses y atributos para que pueda usarse estratégicamente en futuras conversaciones (tanto con bot como con humanas).
• Generar información clave sobre un grupo de clientes que le permita comunicarse de manera proactiva (a través de bots o notificaciones automatizadas).
• Ayudar a sus bots a comprender lo que los clientes solicitan (incluso si están redactados de una manera extraña o inesperada) para reconocer su objetivo al iniciar una conversación.

Una plataforma de experiencia impulsada por IA, basada en una arquitectura API abierta, proporciona las capacidades de IA predictivas basadas en la nube necesarias para obtener información más profunda sobre los clientes, personalizar las interacciones y reducir los costos operativos mientras cosecha los beneficios de las mejoras continuas a lo largo del tiempo. La plataforma se integra perfectamente con la infraestructura existente, preservando las inversiones actuales, al tiempo que permite a las organizaciones encontrar datos valiosos de inmediato y comenzar a administrar y aprovechar esos datos efectivamente.

“Una forma sencilla de comenzar con los bots de IA es mediante el uso de una solución VA preconstruida. Estas soluciones representan el valor de lo que representa la «innovación sin interrupción». Se pueden administrar y personalizar desde un panel simple sin necesidad de ayuda de un equipo de desarrolladores y se pueden usar para fines simples o muy sofisticados.” Concluyó Mike Kuch.

La entrada Bots de IA para La Experiencia del Cliente: Tendencias, Perspectivas y Ejemplos se publicó primero en Tecnogus.

ESET advierte que delincuentes están utilizando bots como herramienta para realizar estafas telefónicas, conocidas como vishing. El uso de este tipo de bots ayuda muchas veces para convencer a usuarios desprevenidos de que se trata de una llamada legítima y son utilizados para obtener las contraseñas de único uso (OTP, por sus siglas en inglés) o el código de verificación, también conocido como doble factor de autenticación (2FA) o verificación en dos pasos. De esta manera, logran acceder a cuentas de usuarios en servicios como PayPal, Amazon, Coinbase o entidades bancarias, entre otros servicios, explica un artículo de Vice.

A través de estos bots, denominados en inglés OTP Bots, criminales sin tantas habilidades de ingeniería social encuentran una buena opción para persuadir a las potenciales víctimas. En las estafas telefónicas tradicionales es el propio delincuente el que busca convencer a la víctima del otro lado del teléfono. En estos casos, el riesgo de que la víctima se dé cuenta de que se trata de un fraude depende en gran medida de las habilidades del criminal al teléfono. Lo que ocurre también es que muchas compañías en la actualidad utilizan bots para prestar servicio de atención al cliente, y el sonido familiar debido a la falta de personalización contribuye a que la víctima no sospeche que algo está ocurriendo.

Para poder comprometer las cuentas mediante el código de verificación, previamente los cibercriminales deberán hacerse de las credenciales de acceso (dirección de correo y contraseña) de los usuarios. Hay que recordar que un bien muy preciado en el negocio del cibercrimen son los datos personales, ya que tienen un valor comercial al ser utilizados para llevar adelante ataques de ingeniería social.

Una de las consecuencias más frecuentes de los ciberataques es el robo de información. Cuando una compañía o servicio sufre una brecha de datos por lo general esta información luego es puesta a la venta o publicada incluso de forma gratuita en foros clandestinos, y contienen credenciales u otro tipo de información personal de los usuarios. Un ejemplo de esto es lo que ocurrió con la plataforma de trading Robinhood recientemente, que sufrió una intrusión a sus sistemas que derivó en el robo de información personal de 7 millones de clientes. Pocos días después se conocía que en foros de hacking estaban vendiendo 7 millones de direcciones de correo de usuarios de Robinhood.

Una vez que los atacantes tienen en su poder los nombres de usuario y contraseña de la cuenta que quieren comprometer, ingresan el número de teléfono junto a un comando y el nombre del servicio o cuenta elegida; por ejemplo, PayPal. Luego, el bot llama a la víctima haciéndose pasar por ese servicio utilizando algún pretexto, como un movimiento sospechoso. En un momento de la conversación el bot solicita a la víctima que verifique su identidad ingresando un código que recibirá en su teléfono. La víctima ingresa la clave y automáticamente la recibe el atacante a través de la herramienta.

Estos bots son comercializados en chats de Telegram o en Discord y pueden conseguirse por precios que van desde los 100 hasta los 1000 dólares la suscripción. Además, algunos ofrecen alcance global. Su uso demuestra, una vez más, cómo los criminales buscan nuevas formas de cometer fraude y al parecer su popularidad está creciendo. Ante este escenario es importante que los usuarios sepan que existe esta modalidad de estafa y que tengan presente nunca ingresar información personal o claves si no fueron ellos quienes realizaron la llamada.

“Las principales recomendaciones para evitar ser víctima de este tipo de fraude son: ante la recepción de algún llamado sospechoso verificar la fuente de este. Es importante también desconfiar de la procedencia y en caso de ser algo dudoso terminar la comunicación lo antes posible. Si quien nos contactó alegó ser de alguna compañía con la cual estamos asociados, es aconsejable comunicarse con la empresa a través de los canales de comunicación oficiales.” concluye Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

La entrada Bots de voz para robar el código de verificación mediante llamadas se publicó primero en Tecnogus.

ESET, compañía líder en detección proactiva de amenazas, advierte que cibercriminales están lanzando campañas de phishing para robar la dirección de correo y frases de recuperación de distintas billeteras digitales haciéndose pasar por representantes de soporte. Los criminales monitorean la actividad de la red social y automáticamente responden a usuarios que en sus publicaciones incluyen términos como “ayuda” o “soporte” acompañado del nombre de alguna billetera, como Metamask, Coinbase, Yoroi, TrustWallet, Phantom, etc.Para realizar esto se aprovechan de la API de Twitter, una herramienta legítima que permite tener acceso en tiempo real de la actividad en la red social y sirve entre otras cosas para monitorear palabras claves específicas. Así los estafadores logran identificar rápidamente usuarios que necesitan resolver alguna duda o inconveniente y que se expresan por Twitter con publicaciones que incluyen el nombre de alguna billetera. Luego utilizan la API para que bots de Twitter bajo el control de los ciberdelincuentes respondan a estos usuarios haciéndose pasar por un representante de soporte del servicio mencionado, explicó BleepingComputer.

En algunos casos, los mensajes desde estas cuentas falsas que se hacen pasar por el soporte de las billeteras suelen incluir enlaces a falsos formularios de Google Docs y de otras plataformas en la nube en donde se solicita a la víctima que además de explicar su problema, ingrese la dirección de correo y la frase de recuperación de su cuenta. Si el usuario finalmente cae en el engaño y entrega esta información, los ciberdelincuentes tendrán acceso a los activos guardados en esas billeteras y podrán transferirlos a otra billetera bajo su control.

Mensaje dirige a formulario malicioso que simula ser de soporte de Metamask.

Falso formulario de soporte de Coinbase.

Según expresó un vocero de Twitter a BleepingComputer, están constantemente trabajando para prevenir este tipo de ataques y prohíben el uso de la API para el envío de spam o para obtener información personal o incluso dinero de forma fraudulenta.

“La principal recomendación que podemos darle a los usuarios es que nunca compartan la frase de recuperación de una billetera digital con nadie. Además, de ser posible, activar el doble factor de autenticación y así sumar una medida de seguridad extra a la hora de acceder a sus cuentas. Así como cuidamos la billetera física, es muy importante comprender la importancia de mantener seguras las billeteras digitales ya que también se guardan allí diferentes activos de valor que son atractivos para los cibercriminales” explica Cecilia Pastorino, Especialista en Seguridad Informática del Laboratorio de Investigación de ESET Latinoamérica.

La entrada Bots de Twitter son utilizados en estafas a billeteras digitales se publicó primero en Tecnogus.