ENTEL Weekly Threat Intelligence Brief del 24 de octubre al 02 de noviembre de 2022

El Weekly Threat Intelligence Brief, es un resumen ejecutivo de los acontecimientos más destacados durante el transcurso de la semana anterior a cada publicación.

El objetivo de este informe es entregar una visibilidad de las principales amenazas presentes en el panorama mundial, regional y nacional, dando relevancia a aquellas operaciones que por su naturaleza, podrían ser llevadas a cabo contra entidades presentes en Chile.

• Actividad de ransomware Lockbit a nivel global y regional.
• Hive reclama un ataque de ransomware en Tata Power, comienza a filtrar datos.
• Azov Ransomware - Nuevos marcos de limpieza de datos Investigadores de seguridad.
• El grupo de ransomware LockBit 3.0 afirmó haber robado datos del grupo francés de defensa y tecnología Thales.
• LV Ransomware explota ProxyShell en un ataque a una empresa con sede en Jordania.
• El grupo de ransomware Snatch afirma haber pirateado HENSOLDT France, una empresa especializada en electrónica militar y de defensa.
• CISA advierte sobre piratas informáticos del equipo Daixin dirigidos a organizaciones de salud con ransomware.
• Afiliado de ransomware de Cuba apunta a agencias gubernamentales ucranianas.
• SideWinder APT utiliza la nueva puerta trasera de WarHawk contra Pakistán.
• Un grupo de hackers abusa del software antivirus para lanzar el malware LODEINFO.
• Las extensiones de Chrome con 1 millón de instalaciones secuestran los navegadores de los objetivos.
• La botnet Fodcha DDoS alcanza 1 Tbps de potencia e inyecta rescates en paquetes.
• La agencia de energía atómica de Irán confirma el hackeo después de que los datos robados se filtraran en línea.
• EE. UU. acusa a Ucrania por su papel en el esquema de malware Raccoon.
• VMware corrige un error crítico de ejecución remota de código de Cloud Foundation.
• Google corrige el séptimo día cero de Chrome explotado en ataques este año.
• Apple corrige recientemente el día cero en iPhones y iPads más antiguos.
• Cisco advierte a los administradores que corrijan las fallas de AnyConnect explotadas en los ataques.

• Actividad de ransomware Lockbit a nivel global y regional.

Actualmente Lockbit es un grupo de Ransomware altamente experimentado que lidera el ranking con mayor cantidad de víctimas alrededor del mundo de forma histórica, el cual actualmente durante la semana abarcada por este reporte  ha mostrado una alta presencia en LATAM y en el mundo durante la última semana, sumando 24 víctimas en total, de las cuales para nuestra región fueron  3 víctimas en brasil y 1  víctima en argentina, colombia, costa rica, méxico y  uruguay.  

Cabe destacar que estos ataques  en nuestra región no fueron dirigidos a un rubro específico.

En el resto del mundo los rubros más afectados en esta campaña de Lockbit fueron los de banca y finanzas, retail,  industria manufacturera, materiales y minería.

• Hive reclama un ataque de ransomware en Tata Power, comienza a filtrar datos

El grupo de ransomware Hive se atribuyó la responsabilidad de un ataque cibernético revelado por Tata Power este mes.

Una subsidiaria del conglomerado multinacional Tata Group, Tata Power es la compañía de energía integrada más grande de la India con sede en Mumbai.

Los operadores de Hive publicaron datos que afirman haber robado de Tata Power, lo que indica que las negociaciones de rescate fallaron. Tambien afirman que cifraron los datos de Tata Power el 3 de octubre. 

El viernes 14 de octubre, Tata Power reveló un ataque cibernético a su "infraestructura de TI que afectó a algunos de sus sistemas de TI" en un archivo de acciones  sin compartir información adicional con respecto al paradero del actor de la amenaza.

El Grupo de ransomware Hive es más activo y agresivo de lo que muestra su sitio de fugas, con afiliados atacando  un promedio de tres empresas todos los días  desde que se conoció la operación a fines de junio de 2021.

Se sabe que el grupo emplea un conjunto diverso de tácticas, técnicas y procedimientos, lo que dificulta que las organizaciones se defiendan de sus ataques, como ha  declarado anteriormente el FBI.
 

• Azov Ransomware - Nuevos marcos de limpieza de datos Investigadores de seguridad

Un nuevo y destructivo limpiador de datos 'Azov Ransomware' se está distribuyendo en gran medida a través de software pirateado, generadores de claves y paquetes de adware, tratando de enmarcar a conocidos investigadores de seguridad al afirmar que están detrás del ataque.

La nota de rescate pide a las víctimas que se comuniquen con algunos investigadores conocidos en Twitter, alegando que fueron parte de la operación.

Los investigadores y organizaciones en la incursión incluyen MalwareHunterTeam, BleepingComputer, Lawrence Abrams, Michael Gillespie y Vitali Kremez.

• El grupo de ransomware LockBit 3.0 afirmó haber robado datos del grupo francés de defensa y tecnología Thales.

Thales es un líder mundial en alta tecnología con más de 81 000 empleados en todo el mundo. El Grupo invierte en innovaciones digitales y de tecnología profunda (big data, inteligencia artificial, conectividad, ciberseguridad y cuántica) para construir un futuro de confianza, esencial para el desarrollo de nuestras sociedades, colocando a las personas en el centro de la toma de decisiones.

El grupo francés de defensa y tecnología Thales confirmó estar al tanto de que el grupo de ransomware LockBit 3.0 afirmó haber robado algunos de sus datos.

Thales se agregó a la lista de víctimas del grupo Lockbit 3.0 el 31 de octubre, la pandilla amenaza con publicar los datos robados antes del 7 de noviembre de 2022 si la empresa no paga el rescate. En este momento, la pandilla de ransomware aún no ha publicado ninguna muestra de los supuestos datos robados.

Thales dijo a Reuters que no había recibido ninguna notificación directa de rescate, la compañía agregó que ha iniciado una investigación sobre la supuesta violación de seguridad, también notificó a la agencia nacional de seguridad cibernética francesa ANSSI. Un portavoz de la empresa dijo que la empresa no ha presentado una denuncia ante la policía.
 

• LV Ransomware explota ProxyShell en un ataque a una empresa con sede en Jordania

El equipo de investigación de Trend Micro analizó recientemente una infección relacionada con el grupo de ransomware LV, una operación de ransomware como servicio (RaaS) que ha estado activa desde finales de 2020 y, según se informa, se basa en REvil (también conocido como Sodinokibi). 

La naturaleza exacta de la relación entre el ransomware LV y los grupos REvil no se puede establecer ni verificar definitivamente: los desarrolladores del ransomware LV no parecen haber tenido acceso al código fuente de Revil, y probablemente modificaron el script binario REvil en su lugar. Según investigaciones previas, se dice que el grupo que opera REvil vendió el código fuente, se lo robaron o compartió el código fuente con el grupo de ransomware LV como parte de una asociación. Creemos que el actor de amenazas que opera el ransomware LV acaba de reemplazar la configuración de una versión beta de REvil v2.03 para reutilizar el binario REvil para operaciones de ransomware.

• El grupo de ransomware Snatch afirma haber pirateado HENSOLDT France, una empresa especializada en electrónica militar y de defensa.

El grupo de ransomware Snatch afirma haber pirateado la empresa francesa HENSOLDT France. HENSOLDT es una empresa especializada en electrónica militar y de defensa.

HENSOLDT France  ofrece una amplia gama de soluciones, productos y servicios electrónicos críticos para los sectores aeronáutico, de defensa, energético y de transporte, ya sea para aplicaciones aéreas, navales o terrestres, tanto en Francia como en el extranjero.

Según el sitio web de la empresa, HENSOLDT France proporciona sistemas de gestión de misiones, sensores de clase mundial, sistemas integrados; prueba y simulación; hidrógeno y conversión de energía, comando y control, soluciones mecánicas, soporte y consultoría y comunicación segura y seguridad cibernética.

La empresa desarrolla soluciones electrónicas específicas y ofrece soluciones COTS dedicadas para entornos peligrosos. Cumplen totalmente con los estándares militares y aeronáuticos, así como con soluciones de prueba, integración y simulación para asegurar el desarrollo de sistemas críticos.

El grupo de ransomware Snatch agregó HENSOLDT Francia a la lista de víctimas publicada en su sitio de fugas Tor.

• CISA advierte sobre ciberactores del equipo Daixin dirigidos a organizaciones de salud con ransomware

Las agencias de ciberseguridad e inteligencia de EE. UU. publicaron una advertencia conjunta sobre los ataques perpetrados por una pandilla de ciberdelincuencia conocida como Daixin Team , cuyo objetivo principal es el sector de la salud en el país.

"El equipo Daixin es un grupo de ransomware y extorsión de datos que se ha dirigido al Sector HPH con operaciones de ransomware y extorsión de datos desde al menos junio de 2022", dijeron las agencias .

La alerta fue publicada el viernes por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Departamento de Salud y Servicios Humanos (HHS).

En los últimos cuatro meses, el grupo se ha relacionado con múltiples incidentes de ransomware en el sector de la salud pública y de la salud (HPH), servidores de cifrado relacionados con registros médicos electrónicos, diagnósticos, imágenes y servicios de intranet.

También se dice que extrajo información de identificación personal (PII) e información de salud del paciente (PHI) como parte de un esquema de doble extorsión para obtener rescates de las víctimas.

• Afiliado de ransomware de Cuba apunta a agencias gubernamentales ucranianas

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) ha emitido una alerta sobre posibles ataques de Cuba Ransomware contra redes críticas en el país.

A partir del 21 de octubre, CERT-UA observó una nueva ola de correos electrónicos de phishing que se hacían pasar por el Servicio de Prensa del Estado Mayor General de las Fuerzas Armadas de Ucrania, instando a los destinatarios a hacer clic en un enlace incrustado.

El enlace lleva al destinatario a una página web de un tercero para supuestamente descargar un documento llamado "Наказ_309 . pdf", pero se muestra una alerta falsa que indica que el visitante debe actualizar primero su software de lectura de PDF.

• SideWinder APT utiliza la nueva puerta trasera de WarHawk contra Pakistán

En junio, los investigadores descubrieron que el grupo SideWinder APT lanzó más de 1000 ataques desde abril de 2020. Ahora, el actor de amenazas está de vuelta en las noticias ya que atacó a otra entidad pakistaní, encontró Zscaler ThreatLabz.

SideWinder apuntó al sitio web oficial de la Autoridad Reguladora Nacional de Energía Eléctrica (NEPRA), Pakistán, para eliminar la nueva puerta trasera WarHawk.

Múltiples módulos maliciosos en WarHawk ofrecen Cobalt Strike , incluidos nuevos TTP como la inyección KernelCallBackTable y la verificación de la zona horaria estándar de Pakistán para operaciones exitosas.

La puerta trasera se hace pasar por aplicaciones legítimas para engañar a los usuarios desprevenidos para que ejecuten la carga útil.

Los investigadores atribuyeron la campaña a SideWinder APT ya que los atacantes reutilizaron la infraestructura de la red, que el grupo había utilizado en campañas anteriores de ciberespionaje contra Pakistán.

Las intrusiones son cruciales ya que junto con su frecuencia, son cada vez más persistentes. SideWinder ha estado aprovechando un enorme arsenal de componentes ofuscados y desarrollados recientemente.

• Las extensiones de Chrome con 1 millón de instalaciones secuestran los navegadores de los objetivos

Los investigadores de Guardio Labs han descubierto una nueva campaña de publicidad maliciosa que impulsa las extensiones de Google Chrome que secuestran búsquedas e insertan enlaces de afiliados en páginas web.

Debido a que todas estas extensiones ofrecen opciones de personalización del color y llegan a la máquina de la víctima sin código malicioso para evadir la detección, los analistas llamaron a la campaña "Colores inactivos".

Según el informe de Guardio , a mediados de octubre de 2022, 30 variantes de las extensiones del navegador estaban disponibles en las tiendas web Chrome y Edge, acumulando más de un millón de instalaciones.

La infección comienza con anuncios o redireccionamientos al visitar páginas web que ofrecen un video o una descarga.

Sin embargo, cuando intenta descargar el programa o ver el video, se le redirige a otro sitio que indica que debe instalar una extensión para continuar.

Cuando el visitante hace clic en el botón 'Aceptar' o 'Continuar', se le solicita que instale una extensión que cambia de color y parece inocua.

Sin embargo, cuando estas extensiones se instalan por primera vez, redirigirán a los usuarios a varias páginas que cargan scripts maliciosos que instruyen a la extensión sobre cómo realizar el secuestro de búsqueda y en qué sitios insertar enlaces de afiliados.

• La botnet Fodcha DDoS alcanza 1 Tbps de potencia e inyecta rescates en paquetes

Ha surgido una nueva versión de la botnet Fodcha DDoS, que presenta demandas de rescate inyectadas en paquetes y nuevas funciones para evadir la detección de su infraestructura.

Los investigadores de 360Netlab descubrieron Fodcha  en abril de 2022 y, desde entonces, ha estado recibiendo desarrollo y actualizaciones en silencio, mejorando constantemente y convirtiéndose en una amenaza más potente.

Según  un nuevo informe  publicado por los mismos investigadores, la última versión 4 de Fodcha ha crecido a una escala sin precedentes, y sus desarrolladores tomaron medidas para evitar el análisis después del último informe de Netlab.

La mejora más notable en esta versión de botnet es la entrega de demandas de rescate directamente dentro de los paquetes DDoS utilizados contra las redes de las víctimas.

Además, la botnet ahora usa encriptación para establecer comunicación con el servidor C2, lo que dificulta que los investigadores de seguridad analicen el malware y potencialmente eliminen su infraestructura.

• La agencia de energía atómica de Irán confirma el hackeo después de que los datos robados se filtraran en línea

La Organización de Energía Atómica de Irán (AEOI) ha confirmado que uno de los servidores de correo electrónico de sus subsidiarias fue pirateado después de que el grupo de piratería "Black Reward" publicara datos robados en línea.

AEOI dice que una parte no autorizada de un país extranjero específico, que no se nombra, robó correos electrónicos del servidor vulnerado, que consistía en correspondencia diaria y memorandos técnicos.

La agencia dice que tomó de inmediato las medidas preventivas necesarias para mitigar los resultados de este incidente e informó a todas las partes y funcionarios interesados ​​para que estén preparados para posibles intentos de explotación.

El grupo de hackers responsable del ataque se autodenomina 'Black Reward' y ha filtrado algunos de los datos robados en su canal de Telegram.

Allí, Black Reward publicó una colección de archivos RAR de 27 GB y 14 partes que supuestamente contenían 85.000 mensajes de correo electrónico caracterizados como "perfectos para investigadores". Los piratas informáticos afirman haber examinado la colección antes de la publicación, eliminando todos los mensajes de marketing y correos electrónicos no deseados y conservando sólo el contenido valioso.

Los datos filtrados incluyen supuestos pasaportes y visas de iraníes y rusos que trabajan con la agencia, informes de rendimiento y estado de la planta de energía, contratos e informes técnicos.

El mensaje de los actores de amenazas termina con una oblación a Mehsa Amini, la joven que murió bajo la custodia de la fuerza policial "moral" de Irán.

• EE. UU. acusa a Ucrania por su papel en el esquema de malware Raccoon

Un hombre detrás del ladrón de información Raccoon, un malware como servicio, enfrenta la extradición a los Estados Unidos y la perspectiva de más de 20 años en prisión.

Las autoridades holandesas arrestaron al ciudadano ucraniano Mark Sokolovsky, de 26 años, en marzo, muestra una acusación recién revelada de los fiscales federales en Texas.

El arresto de Sokolovsky se programó con una operación policial internacional que desmanteló la infraestructura que apoyaba a Raccoon en ese momento. Las declaraciones publicadas en foros criminales poco después de la operación dijeron que el troyano ya no estaría disponible, lo que sugiere que el cierre estaba relacionado de alguna manera con la invasión de Ucrania en curso por parte de Rusia.

Raccoon ha ganado popularidad entre los delincuentes en línea desde su aparición en 2019. El acceso a un panel de administración y servicio al cliente cuesta a los usuarios $200 en criptomoneda al mes o $75 a la semana. Un análisis del malware realizado por CyberArk concluyó que "no era el malware más sofisticado disponible para los atacantes cibernéticos, pero demostró ser bastante efectivo". Los ciberactores podían personalizar la configuración y robar datos de casi 60 aplicaciones.

• VMware corrige un error crítico de ejecución remota de código de Cloud Foundation

VMware lanzó hoy actualizaciones de seguridad para corregir una vulnerabilidad crítica en VMware Cloud Foundation, una plataforma de nube híbrida para ejecutar aplicaciones empresariales en entornos privados o públicos.

La falla (CVE-2021-39144) está en la biblioteca de código abierto XStream utilizada por Cloud Foundation y tiene una puntuación base de CVSSv3 casi máxima de 9.8/10 asignada por VMware.

Puede ser explotado de forma remota por actores de amenazas no autenticados en ataques de baja complejidad que no requieren la interacción del usuario.

"Debido a un punto final no autenticado que aprovecha XStream para la serialización de entrada en VMware Cloud Foundation (NSX-V), un actor malintencionado puede obtener la ejecución remota de código en el contexto de 'raíz' en el dispositivo", explica la compañía

• Google corrige el séptimo día cero de Chrome explotado en ataques este año

Google lanzó una actualización de seguridad de emergencia para el navegador web de escritorio Chrome para abordar una vulnerabilidad única que se sabe que se aprovecha en los ataques.

La falla de alta gravedad (CVE-2022-3723) es un error de confusión de tipos en el motor Chrome V8 Javascript descubierto e informado a Google por analistas de Avast.

“Google está al tanto de los informes de que existe un exploit para CVE-2022-3723”, destaca el aviso.

• Apple corrige recientemente el día cero en iPhones y iPads más antiguos

Apple ha lanzado nuevas actualizaciones de seguridad para parches de backport lanzados a principios de esta semana para iPhones y iPads más antiguos, abordando un error de día cero explotado activamente.

La vulnerabilidad (CVE-2022-42827) es la que parchó Apple para dispositivos iPhone y iPad el lunes  24 de octubre . Los atacantes potenciales pueden usarlo para ejecutar código arbitrario con privilegios de kernel si se explota con éxito en los ataques.

El  problema de escritura fuera de los límites  fue informado a Apple por un investigador anónimo y se debe a que el software puede escribir datos fuera de los límites del búfer de memoria.

Esto puede resultar en corrupción de datos, bloqueos de aplicaciones y ejecución de código debido a resultados indefinidos o inesperados (también conocidos como corrupción de memoria) de los datos subsiguientes escritos en el búfer.

• Cisco advierte a los administradores que corrijan las fallas de AnyConnect explotadas en los ataques

Cisco advirtió a los clientes que dos vulnerabilidades de seguridad en Cisco AnyConnect Secure Mobility Client para Windows están siendo explotadas de manera salvaje.

AnyConnect Secure Mobility Client simplifica el acceso seguro a puntos finales empresariales y permite a los empleados trabajar desde cualquier lugar mientras están conectados a una red privada virtual (VPN) segura a través de Secure Sockets Layer (SSL) e IPsec IKEv2.

Las dos fallas de seguridad (registradas como CVE-2020-3433 y CVE-2020-3153 ) permiten a los atacantes locales realizar ataques de secuestro de DLL y copiar archivos a directorios del sistema con privilegios de nivel de sistema. 

Luego de una explotación exitosa, los atacantes podrían ejecutar código arbitrario en los dispositivos Windows objetivo con privilegios de SISTEMA.

Afortunadamente, ambas vulnerabilidades requieren autenticación, y los atacantes deben tener credenciales válidas en el sistema. Sin embargo, podrían estar encadenados con fallas de escalada de privilegios de Windows, especialmente porque las vulnerabilidades de prueba de concepto ya están disponibles en línea para ambos CVE.

En base a lo observado durante la pasada semana y los datos analizados respecto de las operaciones llevadas a cabo por diferentes actores maliciosos en el mundo y principalmente en la región, se establecen los siguientes niveles de alerta para las diferentes industrias chilenas, para la semana del 02 al 06 de Noviembre del 2022:

Objetivos observados durante semana de análisis: 

• Agricultura, ganadería, silvicultura y pesca - producción
• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Gobierno
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Organizaciones sin fines de lucro
• Petróleo
• Retail y servicios de consumo
• Servicios básicos y sanitarios
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Servicios legales y profesionales
• Shipment y cadena de suministros
• Transportes y servicios automotrices.
• Turismo, hoteles y restaurantes
• Agricultura, ganadería, silvicultura y pesca - consumo
• Infraestructura tecnológica - Componentes

• Banca y Finanzas
• Construcción e inmobiliaria
• Defensa y orden público
• Educación
• Entretenimiento, cultura y arte
• Industrias manufactureras, materiales y minería
• Infraestructura tecnológica
• Infraestructura tecnológica - Componentes
• Retail y servicios de consumo
• Servicios de salud, sociales y farmacia
• Servicios empresariales y comercio
• Turismo, hoteles y restaurantes

• Servicios legales y profesionales
• Servicios básicos y sanitarios
• Shipment y cadena de suministros

• Organizaciones sin fines de lucro

• Agricultura, ganadería, silvicultura y pesca - consumo
• Agricultura, ganadería, silvicultura y pesca - producción
• Gobierno
• Petróleo
• Transportes y servicios automotrices.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.