X-twitter
  • Empresas
  • 4 minutos de lectura

Palo Alto Networks rompe cinco mitos en el Mes de la Ciberseguridad

Twitter/XLinkedInMenéameChatGPTClaudePerplexityGoogle AIGrok

Como viene siendo habitual, la Agencia de la Unión Europea para la Ciberseguridad impulsa el Mes Europeo de la Ciberseguridad. Se trata de una campaña a nivel europea con la que concienciar a los ciudadanos y empresas sobre los riesgos más habituales que se pueden encontrar en el entorno digital. Esta iniciativa se ha consolidado como la principal cita anual en materia de sensibilización, poniendo el foto en el fraude online, así como las nuevas tácticas de ingeniería social.

Aprovechando esa celebración, desde Palo Alto Networks, ha querido desmontar cinco de los mitos más peligrosos que circulan en torno a la seguridad digital. Se trata de mitos que ponen en peligro a particulares y a organizaciones con ataques cada vez más sofisticados.

1. “Visitar un sitio sospechoso es inofensivo si no introduzco datos o hago click en su sistema”

La realidad es que, en la mayoría de las ocasiones, cargar la página ya es suficiente para que el atacante consiga toda la información en cuestión de segundos. Los cibercriminales emplean drive- by- downloads, fingerprinting y explotación de vulnerabilidades zero-day o fallos del navegador mediante JavaScript malicioso para ejecutar código o escapar del escritorio del ordenador. En este sentido, aunque cierres la pestaña, la descarga o el rastreo pueden haber comenzado.

2. “Un código QR en un lugar público es fiable”

Ahora el phishing con QR está en auge, se abusa de redirecciones legítimas, herramientas anti-bots y dominios que imitan servicios reales. En España, a principios de año, se establecieron unos carteles por el centro de la ciudad de Madrid con un QR para subir fotografías y un mensaje cebo “David, me engañaste” para que sirva como cebo de los transeúntes. Los atacantes ocultan el destino tras cadenas de redirecciones abiertas en sitios legítimos y, a menudo, manipulan QR en espacios públicos, en parquímetros o cartelería, para llevar al usuario a dominios falsos de pago o login. Además, en los móviles, la previsualización de la cámara muestra poco contexto, lo que facilita el engaño.

3. “Yo detecto el phishing por el logo o el diseño”

Hoy en día, los atacantes utilizan dominios muy similares y redirecciones múltiples que empiezan en servicios conocidos a través de redirecciones de grandes plataformas, pero que terminan en un clon perfecto del restaurante donde has reservado, el parking habitual donde dejas el coche o del portal de la empresa en la que trabajas. Un estudio de Unit 42, la unidad de inteligencia de amenazas de Palo Alto Networks, alerta que algunos actores incorporan Cloudflare Turnstile u otras verificaciones humanas para evadir rastreadores y dirigir solo a usuarios reales a la página final de robo de credenciales.

4. “Si algo no me cuadra, cierro y ya está” 

En realidad, cuando decides cerrar, el daño técnico o el rastreo pueden haberse activado. En los primeros segundos la página ha podido desencadenar descargas de información o instalaciones de malware, recopilar información como IP o ubicación, y aprovechar a ejecutar un código arbitrario. Además, muchos kits de phishing redirigen a logins legítimos o errores 404 si detectan automatización, ocultando la infraestructura ante sistemas de seguridad y dificultando el análisis forense posterior.

5. “El riesgo es el mismo en el móvil personal que en de la empresa”

La realidad es que, los móviles personales suelen carecer de EDR, filtrado avanzado de DNS/URL, políticas de parcheo y contenedores de aplicaciones. Además, el uso del móvil personal es mucho mayor en distintos ámbitos como escaneo de menús, pagos, reseñas o reservas, lo que le convierte en un dispositivo de ataque más vulnerable para los cibercriminales. Otro estudio de Unit 42, basado en su telemetría, demostró que los ataques de pshising ya son generalizados en Estados Unidos y España, y que están afectando a varias industrias, incluidas la medicina, educativa, energética y financiera. Por ello, el phishing por QR, SMS o enlaces acortados es un objetivo prioritario para las campañas de los ciberatacantes fuera de la red corporativa.

Cómo protegerse frente a estos riesgos

Para reducir la exposición a estas amenazas cotidianas, Palo Alto Networks recomienda seguir unas pautas básicas de seguridad digital:

  • Mantener navegadores y sistemas operativos siempre actualizados, con todos los parches de seguridad.
  • Evitar escanear códigos QR o abrir enlaces desconocidos; cuando sea posible, acceder al servicio buscándolo primero en un motor de búsqueda.
  • Examinar con atención la URL para detectar dominios similares o falsificados y subdominios engañosos, verificándolos con fuentes OSINT como VirusTotal o la herramienta PANW Test a Site.
  • Recordar que cerrar la pestaña no revierte posibles descargas silenciosas ni detiene procesos de fingerprinting iniciados al cargar la página.
  • No introducir credenciales ni datos personales tras acceder desde un enlace recibido por SMS, correo o QR.
  • Usar soluciones de seguridad avanzadas (EDR, filtrado de DNS/URL o antivirus de confianza) tanto en dispositivos corporativos como personales.
Compartir en LinkedIn Compartir en WhatsApp Compartir en Telegram

Angel

encuentra artículos

newsletter

Recibe toda la actualidad del sector tech y cloud en tu email de la mano de RevistaCloud.com.

Suscripción boletín

LO ÚLTIMO

Palo Alto Networks rompe cinco mitos en el Mes de la Ciberseguridad

Intel mira a Corea para el “salto de vidrio”: conversaciones con Samsung para asegurar sustratos y no perder comba frente a TSMC

DeepMind presenta Gemini Robotics 1.5: la IA “que piensa antes de actuar” para llevar agentes al mundo físico

Cloudera y Dell integran ObjectScale para llevar la IA privada “donde están los datos”: una plataforma unificada con gobierno, rendimiento y costes previsibles

×