¿Qué pasa con tus datos en ChatGPT? Riesgos de privacidad y cómo protegerlos
ESET analiza cómo se almacenan tus conversaciones en ChatGPT, quién puede acceder a tus datos y qué configuraciones usar para proteger información sensible. Además explora Claude y Gemini.
Ya sea para programar, escribir correos electrónicos o resumir documentos complejos, la inteligencia artificial se ha convertido en una infraestructura digital básica para muchas personas y su uso paso a ser muy extensivo; ChatGPT, por ejemplo, alcanzó a principios de este año, según datos que publica OpenAI, los 900 millones de usuarios activos semanales. Sin embargo, ESET, compañía líder en detección proactiva de amenazas, advierte que esta escala masiva trae consigo una cuestión crítica para la seguridad digital: ¿dónde va a parar cada palabra que se escribe en ese campo de texto?
“Muchas personas pueden creer que las conversaciones son volátiles y funcionan como un chat privado que desaparece al cerrar la ventana. En realidad, interactuar con grandes modelos de lenguaje implica una compleja red de almacenamiento y procesamiento de datos que puede exponer secretos comerciales o información personal sensible si no se tiene cuidado.”, comenta Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
ESET afirma que cuando se escribe información en ChatGPT, no se guarda únicamente en el navegador. El texto recorre un camino que involucra tres capas fundamentales de tratamiento de datos:
– Almacenamiento e historial: En cuanto se envía un mensaje, se almacena en los servidores de OpenAI para que puedas acceder al historial en diferentes dispositivos y para que el chatbot mantenga el contexto de la conversación actual. Puede conservarse por períodos limitados, como hasta 30 días en ciertos casos, por motivos de seguridad y monitoreo de abusos.
– Entrenamiento de modelos (el punto crítico): Este es el centro del debate sobre la privacidad. Por defecto, OpenAI puede utilizar las conversaciones de las versiones gratuitas y Plus para perfeccionar sus modelos. Sin embargo, el usuario puede desactivar esta opción en la configuración. En ChatGPT Business, Enterprise, Edu, Healthcare y en la API, la herramienta no utiliza los datos para entrenamiento de forma predeterminada.
“Si un empleado introduce un fragmento de código propietario o un plan estratégico de marketing, es lógico pensar que, al entrenar el modelo con información propia, esta podría de alguna forma ser “utilizada” para otros usuarios. Estudios académicos han demostrado que los modelos de lenguaje de gran escala (LLM) pueden memorizar partes de sus datos de entrenamiento y que, bajo ciertas condiciones, esta información puede ser extraída mediante técnicas especializadas.”, agrega Micucci de ESET.
– Revisión humana: Para garantizar que la IA no genere contenido ofensivo o peligroso, una muestra de conversaciones anonimizadas pasa por revisores humanos. Son especialistas capacitados que leen fragmentos de los diálogos para evaluar la calidad y la seguridad de la respuesta. Es decir, no es solo una máquina la que «lee» lo que se escribe; personas reales pueden tener acceso a partes de las interacciones.
“El mayor riesgo es que la IA «aprenda» patrones de los textos que se le comparten y los reproduzca de forma general en sus respuestas. Dependiendo de la herramienta, el tipo de cuenta y la configuración de privacidad, el contenido puede utilizarse para mejorar modelos futuros. Ingresar información confidencial puede exponer a la pérdida de control sobre información sensible y a riesgos de memorización o extracción de datos ya documentados en investigaciones sobre modelos de lenguaje. Por ello, los planes estratégicos, el código propietario, las credenciales, los datos de clientes o los documentos internos deben utilizarse únicamente en herramientas de IA aprobadas por la empresa y con controles de privacidad adecuados.”, destaca el investigador de ESET.
Además de los riesgos inherentes al procesamiento de datos por parte de la plataforma, ESET advierte que existe una amenaza externa creciente que es el interés de los ciberdelincuentes en las credenciales de acceso a ChatGPT. Dado que las conversaciones suelen contener información sensible, código fuente y estrategias de negocio, una cuenta comprometida se convierte en una oportunidad para el espionaje industrial y el robo de identidad.
Datos de 2024 muestran que más de 225.000 registros de inicio de sesión de ChatGPT fueron encontrados a la venta en foros de la Dark Web. Este volumen masivo de credenciales robadas, a menudo mediante malware del tipo infostealer, demuestra que el peligro no está solo en lo que se escribe, sino en quién puede acceder al historial si una cuenta no está correctamente protegida.
Aunque ChatGPT domina la conversación, el ecosistema de la Inteligencia Artificial Generativa incluye otros grandes actores con enfoques diferentes en la protección de datos. Para los usuarios que se mueven entre distintas plataformas, entender que el riesgo no es universal sino adaptable a cada empresa es el primer paso hacia una postura de seguridad digital consciente.
¿Cómo almacena Gemini su información?
Google Gemini opera dentro de la amplia infraestructura de Google. Según el Centro de Privacidad de Gemini, la empresa utiliza las conversaciones para mejorar sus servicios, lo que incluye revisión por parte de entrenadores humanos.
La diferencia radica en la integración, si se utiliza Gemini dentro del entorno corporativo de Google Workspace, las políticas de privacidad empresarial establecen que los datos no se utilizan para entrenar modelos globales de lenguaje. El proceso de «anonimización» de Google elimina la información de la cuenta, pero el contenido de lo que se escribe puede seguir siendo analizado para mejorar la precisión de las respuestas, a menos que la configuración de actividad de IA se desactive manualmente.
¿Cómo utiliza Claude la información?
Anthropic, con su modelo Claude, presenta una filosofía de «IA Constitucional». En su Política de Privacidad y Términos de Uso, la empresa destaca que la retención de datos se mantiene al mínimo. Claude se distingue por poner mayor énfasis en mecanismos automatizados de alineación del comportamiento de la IA mediante principios automatizados de seguridad.
Para los usuarios de la versión gratuita, los datos pueden usarse para mejorar el modelo, pero Anthropic ofrece un proceso de exclusión (opt-out) más directo para sus clientes comerciales, asegurando que el código fuente o los secretos empresariales enviados a través de la API permanezcan privados.
“La gran similitud entre todos estos modelos es que ninguno funciona como una «bóveda» completamente aislada por defecto. Ya sea en OpenAI, Google o Anthropic, el proceso de aprendizaje automático depende de datos. La verdadera diferencia para tu seguridad radica en el contrato: mientras que en las versiones gratuitas los datos pueden contribuir indirectamente a la mejora del sistema, en las versiones empresariales la privacidad se trata como un servicio premium, donde los datos se procesan, pero no se utilizan para entrenar modelos.”, remarca Micucci.
Para garantizar que la experiencia con herramientas de IA sea productiva y segura, ESET recopiló las principales recomendaciones de protección:
– Protección del comportamiento y anonimización: La herramienta más poderosa de seguridad digital es el propio criterio. La regla de oro es nunca introducir información que no harías pública. Antes de enviar un prompt, realizar una «limpieza» manual: reemplazar nombres de clientes por alias, eliminar valores financieros específicos y ocultar fragmentos de código que contengan claves de acceso o vulnerabilidades de infraestructura. Recordar que una vez que los datos son procesados por el modelo, el «desaprendizaje» de la IA es un proceso técnicamente complejo y no siempre garantizado.
– Gestión de cuentas y protección contra accesos no autorizados: Para evitar que los ciberdelincuentes accedan al historial de conversaciones, es fundamental utilizar contraseñas fuertes y únicas. Activar siempre la autenticación de dos factores (2FA) disponible en la configuración de OpenAI, Google o Anthropic. Además, mantener el sistema operativo y antivirus actualizados para evitar malware del tipo infostealer, principal responsable de la recolección de credenciales de herramientas de IA.
– Configurar la privacidad (Opt-out): No aceptar la configuración predeterminada. Explorar el menú de «Controles de datos» de ChatGPT para desactivar el historial de chat y el entrenamiento de modelos. En el caso de Gemini, gestionar la actividad en «Actividad en apps de Gemini» para decidir qué debe o no almacenar Google. Estas acciones reducen drásticamente la huella digital y ayudan a que las interacciones sean tratadas con mayor confidencialidad.
¡Pilas! Si ya te estafaron, ahora los delincuentes buscan darte el “segundo golpe”
ESET advierte que si se fue víctima de fraude, probablemente ya se esté en una lista especial de los ciberdelincuentes y si no se tiene cuidado, la situación podría empeorar.
ESET, compañía líder en detección proactiva de amenazas, analiza las estafas de recuperación de fondos -recovery scams-, un fraude de recuperación de fondos que funciona como un paraguas de varias tácticas depredadoras, todas orientadas al mismo objetivo: un segundo golpe. Además, advierte que si se dedica un momento para entender cómo funcionan, se tendrá una buena probabilidad de mantenerse a salvo en caso de que haya un contacto.
“A los estafadores solo les importa hacer dinero y aprovechan cada oportunidad para conseguirlo. Si se cayó en un fraude, no se debe bajar la guardia ya que no dudan en revictimizarlas ni en explotar la desesperación por recuperar los fondos robados.”, advierte Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Estos engaños comienzan cuando los estafadores compran a otros criminales las listas de víctimas que ya han caído en un fraude, o apuntan directamente a víctimas de fraudes que ellos mismos cometieron. Una vez identificadas, las contactan y se hacen pasar por proveedores de servicios de recuperación, agencias de protección al consumidor, funcionarios gubernamentales, fuerzas del orden, reguladores, etc.
Cuando intercambian información sobre el caso, prometen intentar recuperar los fondos a cambio de un pago adelantado, o también pueden afirmar que ya tienen el dinero y que lo están redistribuyendo a clientes afectados. Otra alternativa es que mencionen que solo necesitan completar papeleo para liberar un reembolso supuestamente gestionado por una agencia o entidad gubernamental.
“Esto es básicamente una forma de estafa de pago por adelantado (advance fee scam), que en los estados unidos durante 2024 hubo más de 7.000 reportes que generaron más de 102 millones de dólares en pérdidas. Incluso así, probablemente estos números representan solo la punta del iceberg.”, agrega López.
ESET muestra que hay señales de alerta para evitar un recovery scam:
– Afirmaciones exageradas: Dicen que ya tienen fondos o que “garantizan” recuperarlos.
– Contacto no solicitado: Llegan sin que se los busque, por email, redes sociales, SMS o llamada.
– Pago por adelantado: Piden un cargo inicial, quizá llamado retainer fee, processing fee, administrative charge o incluso un cobro relacionado con impuestos.
– Ingeniería social: Presionan para que se tomen decisiones apresuradas.
– Suplantación: Afirman ser de un organismo oficial, un banco o un equipo de fraude.
– Medios de pago no rastreables: Solicitan crypto, gift cards o apps de pagodifíciles de revertir.
– Medios de pago no rastreables: Solicitan crypto, gift cards o apps de pagodifíciles de revertir.
– Correos poco profesionales: Usan cuentas de Gmail u otros webmails en lugar de direcciones corporativas legítimas.
Para evitar volver a ser víctima, desde ESET comparten algunas recomendaciones para tener en cuenta: nunca pagar tarifas por adelantado a quien hizo un contacto de la nada; verificar siempre la identidad de la persona que te contacte buscando sus datos en sitios oficiales; y evitar publicar en línea historias sobre cómo se fue estafado, ya que los delincuentes monitorean la web en busca de víctimas para volver a atacar.
En caso de ya haber sido víctima de una estafa de recupero de fondos, según ESET, las opciones son limitadas. Aconsejan el reportar el incidente a la autoridad oficial que corresponda a cada país. Esto ayuda a las autoridades a mapear el panorama del fraude y proteger a futuras víctimas. Si se pagó a través del banco, notificarles lo antes posible. Monitorear las cuentas y congelar tarjetas afectadas. Si se entregó información personal, cambiar contraseñas, activar MFA y prepararse para recibir phishing más convincente en el futuro.
Cómo reconocer llamadas falsas con IA: una amenaza creciente para las empresas
ESET advierte sobre un nuevo modelo de robo información, silencioso y mucho más peligroso, que tiene a Latinoamérica dentro de sus objetivos. Se caracteriza por sus campañas dirigidas y adaptativas.
La IA Generativa (GenAI) democratizó la creación de audio y vídeo falsos, hasta el punto de que generar un clip fabricado es tan fácil como pulsar un botón o dos. Las deepfakes pueden ser usadas de varias formas: desde eludir autenticaciones y controles, hasta infiltrarse en organizaciones creando un candidato falso y sintético para procesos de selección de personal. Sin embargo, podría decirse que la mayor amenaza que plantean es el fraude financiero/transferencias bancarias y el secuestro de cuentas de ejecutivos. ESET, compañía líder en detección proactiva de amenazas, acerca herramientas para poder identificar cuando una llamada es falsa.
El Gobierno británico afirma que el año pasado se compartieron hasta 8 millones de clips falsos, frente a los 500 mil que habían sido compartidos en 2023. La cifra real puede ser mucho mayor y, así las cosas, las organizaciones tienden a subestimar esta amenaza.
Como ha demostrado un experimento de Jake Moore, Global Security Advisor de ESET, nunca ha sido tan fácil lanzar un ataque de audio deepfake. Todo lo que se requiere es un clip corto de la víctima para ser suplantado y GenAI puede hacer el resto. Así es como podría proceder un ataque, según ESET:
– Un atacante selecciona a la persona que va a suplantar. Puede ser un CEO, un CFO o incluso un proveedor.
– Encuentra una muestra de audio en Internet, lo que resulta bastante fácil para ejecutivos de alto nivel que hablan en público con regularidad. Puede proceder de una cuenta en las redes sociales, de una convocatoria de beneficios, de una entrevista en vídeo o televisión o de cualquier otra fuente. Unos segundos de grabación deberían bastar.
– Seleccionan a la persona a la que van a llamar. Para ello, puede ser necesario realizar una investigación documental, normalmente en LinkedIn, en busca de personal del servicio de asistencia informática o miembros del equipo financiero.
– Pueden llamar directamente a la persona o enviar un correo electrónico por adelantado: por ejemplo, un director general que solicita una transferencia de dinero urgente, una solicitud de restablecimiento de contraseña o autenticación multifactor (MFA), o un proveedor que exige el pago de una factura vencida.
– Llaman al objetivo preseleccionado, utilizando audio deepfake generado por GenAI para hacerse pasar por el CEO/proveedor. Dependiendo de la herramienta, pueden ceñirse a un discurso preestablecido o utilizar un método más sofisticado de «voz a voz» en el que la voz del atacante se traduce casi en tiempo real a la de su víctima.
“Este tipo de ataque es cada vez más barato, sencillo y convincente. Algunas herramientas son capaces incluso de insertar ruido de fondo, pausas y tartamudeos para que la voz suplantada resulte más creíble. Cada vez imitan mejor los ritmos, las inflexiones y los tics verbales propios de cada orador. Y cuando un ataque se lanza por teléfono, los fallos relacionados con la IA pueden ser más difíciles de detectar para quien atiende.”, advierte Macio Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
Los atacantes también pueden utilizar tácticas de ingeniería social, como presionar a que la persona responda urgentemente a su petición, con el fin de lograr sus objetivos. Si a esto se le añade que a menudo se hacen pasar por un alto ejecutivo, es fácil ver por qué algunas víctimas son engañadas. Uno de los mayores errores se produjo en 2020, cuando se engañó a un empleado de una empresa de los Emiratos Árabes Unidos haciéndole creer que su director había llamado para solicitar una transferencia de fondos de 35 millones de dólares para una operación de fusión y adquisición.
Dicho esto, hay formas de detectar a un impostor. Desde ESET sostienen que dependiendo de lo sofisticada que sea la GenAI que están utilizando, puede ser posible discernir:
– Un ritmo antinatural en el discurso del orador
– Un tono emocional antinaturalmente plano en la voz del orador
– Respiración antinatural o incluso frases sin respiración
– Un sonido inusualmente robótico (cuando se utilizan herramientas menos avanzadas)
– Ruido de fondo extrañamente ausente o demasiado uniforme
Además, en términos corporativos se recomienda empezar por la formación y concienciación de los empleados. Estos programas, según ESET, deben actualizarse para incluir simulaciones de audio deepfake que garanticen que el personal sepa qué esperar, qué está en juego y cómo actuar. Se les debe enseñar a detectar los signos reveladores de la ingeniería social y los escenarios típicos de deepfake. Deben realizarse ejercicios de red team para comprobar si los empleados asimilan bien el proceso correcto:
– Verificación fuera de banda de cualquier solicitud telefónica, es decir, utilizar cuentas de mensajería corporativas para comprobar con el remitente de forma independiente
– Dos personas que firmen las transferencias financieras importantes o los cambios en los datos bancarios de los proveedores
– Contraseñas o preguntas acordadas previamente que los ejecutivos deban responder para demostrar que son quienes dicen ser por teléfono
“Las falsificaciones son sencillas y su producción cuesta poco. Dadas las enormes sumas que pueden obtener los estafadores, es poco probable que veamos pronto el final de las estafas de clonación de voz. Por lo tanto, la mejor opción que tiene una organización para mitigar el riesgo es un triple enfoque basado en las personas, los procesos y la tecnología. Para que se adapte a medida que avanza la innovación en IA, es importante que sea revisado periódicamente. El nuevo panorama del ciberfraude exige una atención constante.”, concluye Micucci de ESET.
Ransomware de nueva generación: Latinoamérica en la mira de ataques personalizados
ESET advierte sobre un nuevo modelo de robo información, silencioso y mucho más peligroso, que tiene a Latinoamérica dentro de sus objetivos. Se caracteriza por sus campañas dirigidas y adaptativas.
El ransomware The Gentlemen atacó a más de 250 víctimas de 17 países, entre los destacados se encuentran México, Colombia, Chile y Argentina, y representa una nueva era de ataques personalizados y ultra-adaptativos. A diferencia de otros grupos, este Ransomware as a Service (Raas) estudia las defensas específicas de su víctima y adapta sus herramientas durante la campaña para superar los controles existentes. ESET, compañía líder en detección proactiva de amenazas, analiza el nuevo escenario de los grupos que secuestran información y advierte cómo esta organización disciplinada, detallista y altamente metódica derrumbó los esquemas tradicionales para ser una de las amenazas más activas desde julio de 2025.
“Es un grupo emergente de ransomware as a Service que irrumpió en la escena cibercriminal a mediados de 2025. A diferencia de otros grupos con estéticas más descuidadas o rústicas, The Gentlemen destaca por una identidad de marca pulida. Al punto que posee un sitio de filtraciones en la dark web con un logotipo profesional y un lema que refuerza su imagen de organización disciplinada y muy orientada al detalle. Este profesionalismo no es solo estético, sino que se refleja en la precisión de sus ataques y en la calidad técnica de sus herramientas.”, menciona Martina Lopez, investigadora de seguridad informática de ESET Latinoamérica.
Su modelo operativo se basa en la doble extorsión, táctica donde no solo se cifran los archivos de la víctima para bloquear el acceso, sino que también se exfiltran datos confidenciales antes del cifrado. Una vez que poseen la información, amenazan con publicarla en su sitio de filtraciones si no se paga el rescate. Esta estrategia ejerce una presión masiva sobre las empresas, especialmente aquellas que no pueden permitirse una brecha de datos pública.
Sitio del ransomware The Gentlemen en la dark web. Fuente: @DailyDarkWeb.
Un ataque de ransomware a cargo de The Gentlemen suele comenzar aprovechando accesos expuestos en internet (sistemas con administración abierta) o utilizando credenciales previamente robadas. Una vez dentro, despliegan herramientas para explorar la red interna, entender cómo está organizada la empresa e identificar usuarios con permisos elevados, especialmente aquellos con acceso total a los sistemas.
Para moverse dentro de la red y escalar el ataque, utilizan herramientas que les permiten ejecutar acciones en múltiples equipos de forma remota y modificar configuraciones clave. De esta manera, logran distribuir el ransomware de forma simultánea en todos los dispositivos conectados, debilitando además los mecanismos de seguridad para facilitar el acceso y control remoto.
En la etapa final, combinan dos acciones críticas: por un lado, roban información sensible y la envían a servidores externos de forma cifrada; por otro, bloquean los sistemas mediante cifrado. Una vez completado el ataque, ejecutan procesos diseñados para borrar sus huellas: eliminan registros de actividad, conexiones remotas y cualquier evidencia que permita reconstruir lo ocurrido, dificultando así la investigación posterior.
Detalle de las víctimas del The Gentlemen. Fuente: ransomware.live.
Su primera víctima documentada se registró el 30 de junio de 2025 y desde entonces, su actividad no ha cesado. Afectó a sectores críticos como la manufactura, la construcción, la salud, los seguros y los servicios financieros.
A nivel geográfico, su impacto es global, pero los países más afectados incluyen a Estados Unidos y Tailandia, seguidos por India, México, Colombia, España y Francia. Esta distribución sugiere que el grupo aprovecha oportunidades de acceso donde se presentan, sin una agenda geopolítica evidente.
A mitad de marzo de 2026 publicó en su sitio web el ataque a dos organizaciones de Colombia en las áreas de atención médica y medios de comunicación. Durante febrero, en Argentina atacó a un instituto de investigación científica gubernamental y, en marzo, reclamó el ataque a un organismo de Chile. Por otro lado, según el sitio ransomware.live también contabilizó víctimas en Brasil, Perú, Ecuador, Venezuela, Guatemala, República Dominicana, Costa Rica y Panamá.
The Gentlemen informa en su sitio web del ataque a canal de televisión.
Desde ESET acercan un listado de recomendaciones para protegerse del ransomware The Gentlemen:
Reducir la exposición en Internet:
Revisar qué sistemas están accesibles desde afuera y cerrar cualquier acceso innecesario, especialmente paneles de administración o accesos remotos.
Proteger las credenciales:
Utilizar contraseñas únicas y robustas, activando el doble factor de autenticacióny monitoreando cualquier inicio de sesión sospechoso.
Mantener todo actualizado:
Aplicar parches de seguridaden sistemas operativos, servidores y aplicaciones. Muchas de sus intrusiones explotan fallas ya conocidas.
Detectar comportamientos anómalos:
Implementar soluciones que permitan identificar actividad inusual dentro de la red, como accesos fuera de horario o ejecuciones remotas inesperadas.
Limitar privilegios:
No todos los usuarios necesitan acceso total. Reducir permisos minimiza el impacto si una cuenta es comprometida.
Segmentar la red:
Separar sistemas críticos evita que un atacante se mueva libremente y comprometa toda la infraestructura.
Realizar backups:
Efectuar copias de seguridad periódicas, y almacenarlas de forma aislada, verificando que puedan restaurarse correctamente.
Capacitar al equipo:
El error humano sigue siendo una de las principales puertas de entrada. La concientización es clave.
“En un escenario donde los ataques ya no son masivos sino personalizados, la pregunta deja de ser si una organización puede ser objetivo, y pasa a ser cuándo. Entender cómo operan grupos como The Gentlemen es el primer paso para anticiparse a una amenaza que ya no avisa.”, concluye Lopez de ESET.
TRONI NEWS 3
ESET analiza un troyano con múltiples funcionalidades que viene propagándose ampliamente en América Latina y distintas regiones del mundo.
Tienda de aplicaciones falsa y aplicaciones maliciosas Fuente: @Merlax_ (perfil X)
ESET, compañía líder en detección proactiva de amenazas, advierte sobre el auge de BTMOB, un troyano de acceso remoto (RAT) que integra un generador de aplicaciones maliciosas. Esta herramienta permite a los ciberdelincuentes diseñar y desplegar campañas de malware con una velocidad y eficiencia alarmantes. Además de funciones estándar como keylogging, capturas de pantalla y secuestro de sesiones, BTMOB se destaca por su capacidad de transmisión de pantalla en tiempo real y el control remoto directo sobre el dispositivo vulnerado.
Los troyanos se hacen pasar por archivos o apps legítimas para engañar a las víctimas e infectar sus dispositivos. En los troyanos bancarios, el objetivo principal es robar información financiera, mientras que los RAT tienen un alcance más amplio: pueden robar distintos tipos de datos, monitorear el dispositivo de forma completa y ejecutar acciones en él. Brasil es uno de los países con mayor volumen de detecciones de troyanos, la mayoría suelen ser troyanos bancarios.
La distribución de BTMOB se basa en diversas campañas de ingeniería social con foco en dispositivos Android. Muchas de las campañas desarrolladas en Brasil y otros países de la región utilizan versiones falsas de aplicaciones populares. Estas apps se distribuyen mediante engaños y dirigen a los usuarios hacia tiendas de aplicaciones fraudulentas que imitan la apariencia de Google Play Store.
Oferta de BTMOB en la superficie
ESET también identificó que BTMOB se ofrece como servicio en una página web accesible desde la web abierta. La página es simple y redirige mediante enlaces a un contacto en Telegram para adquirir el malware.
Perfil vinculado al malware en X
Además, se han encontrado referencias a la herramienta en las redes sociales. Una cuenta en la plataforma X (antes Twitter), por ejemplo, redirige a los interesados al mismo contacto en Telegram. En otras plataformas, como Instagram, también aparecen contenidos relacionados con la difusión del malware.
Descarga de BTMOB desde un sitio web que simula ser una agencia gubernamental argentina Fuente: Germán Fernández Bacian
“Los elementos presentados por BTMOB son suficientes para clasificarlo como una amenaza relevante. Su facilidad de adaptación, capacidad de propagación y avanzadas funciones de control remoto refuerzan la necesidad de atención por parte de usuarios y organizaciones que buscan proteger sus dispositivos móviles.”, comenta Martina Lopez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Desde ESET aseguran que es posible evitar la infección por esta y otras amenazas similares, al implementar una estrategia combinada para que los resultados sean efectivos:
Descargar aplicaciones de fuentes oficiales o confiables:
La propagación de BTMOB también ocurre a través de tiendas falsas de aplicaciones que imitan la apariencia de la Play Store, pero que están alojadas y controladas por cibercriminales. Ante esto, es fundamental concientizar a los usuarios para que presten mayor atención y verifiquen si realmente están accediendo a la tienda oficial o a un entorno fraudulento.
Tener cuidado con los enlaces:
En el marco de la concientización sobre ciberseguridad, es esencial que las capacitaciones y comunicaciones orienten a los usuarios a ser cautelosos con cualquier tipo de contenido recibido de manera pasiva. Esto incluye enlaces enviados por correo electrónico, apps de mensajería o incluso anuncios en redes sociales. Los cibercriminales utilizan diversos recursos para alcanzar a sus víctimas y convencerlas de hacer clic, por lo que es fundamental reforzar este tipo de orientación.
Concientizar sobre el impacto y responsabilidad de cada colaborador:
Muchas personas que no trabajan directamente con tecnología o seguridad tienen dificultades para comprender los riesgos asociados a comportamientos descuidados. Aclarar estos impactos contribuye a la maduración de la postura de seguridad de la organización, además de ayudar a cada individuo a entender su rol y las posibles consecuencias de un incidente.
Proteger el entorno y dispositivos:
Es esencial asegurarse de que las medidas anteriores se refuerzan con controles tecnológicos y soluciones de seguridad. Utilizar un software de protección robusto, siempre actualizado y correctamente configurado para proteger todos los dispositivos del entorno, no sólo los móviles. En caso de acceso indebido, estas soluciones pueden evitar o mitigar la ejecución de acciones maliciosas.