Gigabud RAT: Nuevo malware de Android que suplanta organizaciones en Perú, Tailandia y Filipinas

Gigabud RAT es el nuevo malware en Android que suplanta organizaciones en Perú, Tailandia y Filipanas. Los atacantes están utilizando técnicas de ingeniería social para que las víctimas descarguen una aplicación Android maliciosa que suplantan aplicaciones gubernamentales, aplicaciones de compras y aplicaciones de entidades financieras. La aplicación Android maliciosa es un troyano de acceso remoto (RAT) que recibe comandos del servidor de comando y control (C&C) y realiza varias acciones no autorizadas como grabación de la pantalla y robo de datos sensibles como contraseñas y datos de tarjeta.

De acuerdo a AlientVault se identificaron las siguientes indicadores de compromiso del RAT:

Imagen 1 - Indicadores de Compromiso de Gigabud RAT

En el análisis de una muestra de Gigabud RAT con nombre de archivo “Moc.apk" con hash a509445e35ce6f9d1edea4b42f0f45fb3671412c2e4e4b67cce511c183411bf2 se puede apreciar que varios antivirus lo detectan como malicioso.

 

Imagen 2 - Analisis de Gigabud RAT en VirusTotal

Después del descubrimiento de Gigabud RAT por parte de Thailand Telecommunication Sector Cert (TTC-Cert) en septiembre 2022, se observa que los ciberdelincuentas empezaron a distribuir el malware en varios países, como Perú y Filipinas. El malware se disfraza usando los íconos de las agencias gubernamentales de estos países para engañar a las víctimas para que proporcionen información confidencial.

 

Imagen 3 - Aplicaciones que suplanta Gigabud RAT (Banco del Comercio y SUNAT de Perú)

El equipo de Cyble Research & Intelligence Labs (CRIL) realizo una análisis técnico de la aplicación del Banco del Comercio de Perú

• Nombre de aplicación: Banco del Comercio
• Nombre del paquete: com.cloud.loan
• SHA256: a940c9c54ff69dacc6771f1ffb3c91ea05f7f08e6aaf46e9802e42f948dfdb66

Imagen 4 - Metadatos de la aplicación Banco del Comercio falsa

CRIL detecta que una vez instalado, el malware muestra una pantalla de inicio de sesión que solicita a los usuarios que ingresen su número de teléfono móvil y contraseña. La pantalla de inicio de sesión está diseñada para imitar la interfaz de usuario de un banco legítimo y utiliza un ícono para engañar a la víctima haciéndole creer que la aplicación es genuina.

Imagen 5 - Login de aplicación del Banco del Comercio falso

Se pudo comprobar que la aplicación móvil maliciosa envía datos sensibles al servidor hxxp://bweri6[.]cc/x/command?token=&width=1080&height=1920 para recibir comandos y ejecutar varias acciones, como crear un servicio de ventana flotante, recibir datos bancarios específicos, enviar mensajes de texto desde el dispositivo infectado y abrir aplicaciones específicas.

Imagen 6 - El malware procesa comandos recibidos del servidor C&C

Conclusiones

Como resultado del análisis técnico de Cyble, el malware ha estado ejecutando activamente desde julio de 2022, principalmente dirigida a víctimas en Tailandia. Luego, la campaña se expandió a otros países como Perú y Filipinas. El malware se dirige específicamente a víctimas genuinas y oculta su actividad maliciosa de víctimas no válidas. El malware ha técnicas sofisticadas para evadir la detección y mantener la campaña durante un período prolongado.

También se detectó que Gigabud RAT utiliza la grabación de pantalla como método principal para recopilar información confidencial en lugar de usar ataques de superposición (overlapping) de HTML. También abusa del servicio de Accesibilidad, como otros troyanos bancarios.

Los ciberdelincuentes detrás de Gigabud están desarrollando continuamente nuevas variantes del malware con la intención de apuntar a diferentes países. Es probable que se descubran nuevas variantes de malware en el futuro, con nuevos objetivos y capacidades.

Recomendaciones

• No activar la opción de Android “Instalar aplicaciones de fuentes desconocidas”. Descargue e instale software solo desde tiendas de aplicaciones oficiales como Google Play Store o iOS App Store.
• No rootear tu teléfono Android porque deshabilitas casi todas las funciones de seguridad de tu dispositivo.
• Utilice un paquete de software antivirus y de seguridad de Internet licenciado en sus dispositivos conectados, como PC, portátiles y dispositivos móviles.
• No comparta los datos de tarjeta, como número de tarjeta, el número de CVV, el PIN de la tarjeta y las credenciales de la banca por internet o móvil con una fuente que no sea de confianza.
• Las instituciones gubernamentales u otras organizaciones legítimas nunca solicitan un PIN o contraseña de la tarjeta de crédito o débito, el token u otra información bancaria. Evite compartir dicha información en cualquier aplicación sospechosa.
• Utilice contraseñas seguras y aplique la autenticación multifactor.
• Habilite las funciones de seguridad biométrica, como la huella dactilar o el reconocimiento facial, para desbloquear el dispositivo móvil.
• Tenga cuidado al abrir cualquier enlace recibido a través de SMS o correos electrónicos enviados a su teléfono.
• Intenta solo conectarte a redes de confianza y protegidas con contraseña.
• Asegúrese de que Google Play Protect esté habilitado en los dispositivos Android.
• Mantén actualizados tus dispositivos, sistemas operativos y aplicaciones.

 

Fuente:

• https://otx.alienvault.com/
• https://blog.cyble.com/2023/01/19/gigabud-rat-new-android-rat-masquerading-as-government-agencies/
• https://www.pcrisk.com/removal-guides/25784-gigabud-rat-android

Ciberseguridad y Hacking Ético

 

Gracias por la invitación de Cultura Digital. En esta entrevista conversamos sobre el hacking ético y la ciberseguridad en las organizaciones y como en este contexto de pandemia las ciber amenazas han aumentado y tanto para las organizaciones y ciudadanos digitales. 

Recomendaciones de Seguridad para el Teletrabajo

Ante la pandemia de COVID-19, las organizaciones han implementado mecanismos de teletrabajo para seguir operando. Para muchos colaboradores es una novedad y los expone a nuevos riesgos digitales que pueden ser aprovechados por los atacantes, quienes buscan constantemente diversas formas de comprometer la información personal y empresarial. En una encuesta realizada por la Compañía Apricorn el año 2018 a 100 organizaciones del Reino Unido de más de mil empleados, un 25% de los colaboradores encuestados respondieron que no tenían implementados mecanismos básicos de seguridad como antivirus y 30% no tenía ningún mecanismo de restricción de archivos (Gordon, 2020). Esta situación es similar o inclusive con mayor nivel de inseguridad de acuerdo con la realidad de cada país.

Por esta razón, consideramos que los usuarios que utilizan los dispositivos como PCs, laptops, tablets y teléfonos inteligentes para el teletrabajo deberían seguir los siguientes diez consejos que se describen a continuación: 

1. Consulte si su organización tiene reglas o políticas para el teletrabajo, si es así, asegúrese de cumplirlas. Por ejemplo, puede ser aceptable que use su propia computadora o teléfono inteligente para únicamente leer el correo electrónico de la empresa, pero no para acceder a datos confidenciales de los clientes.
2. Proteja las comunicaciones de su computadora contra escuchas. Si utiliza Wi-Fi (redes inalámbricas) en casa, asegúrese de que su red esté configurada de forma segura. Verifique si está utilizando la seguridad “WPA2” o “WPA3”, y asegúrese que su contraseña sea difícil de adivinar y que esté compuesto por lo menos con 8 caracteres alfanuméricos.
3. Verifique cuidadosamente el correo electrónico y redes sociales. Revise que el remitente sea alguien conocido de la organización y si es posible, verifíquelo por otro medio. Solo revise información en redes sociales en fuentes oficiales. Los atacantes están realizando phishing relacionados a la pandemia y que nos dirigen a paginas falsas. En redes sociales, se aprecian innumerables “fake news” que desorientan y desinforman a los colaboradores para realizar un engaño y solicitar información sensible.
4. Si su organización tiene una VPN (red privada virtual), úsela en su dispositivo de teletrabajo que le asigno la organización para una mayor protección (Su organización a través de las reglas o políticas de teletrabajo probablemente le dirán si cuenta con VPN). Si no es así, considere usar su propia VPN de acuerdo a los lineamientos que le brinde su organización. Es preferible que su organización utilice doble factor de autenticación para su VPN.
5. Si está utilizando su propia computadora o dispositivo móvil (dispositivo no asignado por su organización) para el teletrabajo, asegúrese de haber habilitado las funciones básicas de seguridad. Simplemente habilitar la función de PIN o password, huella dactilar o identificación facial evitará que las personas entren a su dispositivo. Cualquier PIN o contraseña que use debe ser difícil de adivinar. También debe asegurarse de tener un antivirus y firewall habilitado.
6. Consulte a su organización si se cuenta con una solución de cifrado para el dispositivo que se le ha asignado. Si el dispositivo es propio, coordine con su organización para habilitar la funcionalidad de criptografía “BitLocker” de Windows y en el caso de un dispositivo inteligente utilice la aplicación Veracrypt para Android o iOS.
7. Aplique parches de sistema operativo y aplicaciones de su computador y dispositivo móvil para mantenerlos actualizados. La mayoría ofrece una opción para verificar e instalar actualizaciones automáticamente. Habilitar esa opción puede ser una idea adecuada si no se desea buscar actualizaciones periódicamente. 
8. Si observa actividad inusual o sospechosa en cualquier dispositivo que esté utilizando para teletrabajo, solicite ayuda de su organización, más vale prevenir que lamentar. Comuníquese con la mesa de ayuda o el centro de operaciones de seguridad de su organización para informar la actividad.
9. Cuando convoque a reuniones o clases virtuales como Microsoft Meetings, Zoom, Google Hangout o Blackboard no publique el enlace en redes sociales u otros sitios públicos. Asegúrese que solo las personas autorizadas reciban el hipervínculo y password de la reunión. Deshabilite audio y video, también habilite la sala de espera, hasta que verifique que la persona está autorizada para participar en la reunión caso contrario retirarlo.
10. Revise y escuche las recomendaciones de seguridad de su organización, los expertos de seguridad de su organización monitorean constantemente las conexiones remotas y conocen los intentos de ataques de los ciberdelincuentes. La organización le capacitará y concientizará para el buen uso de las tecnologías digitales.

Referencias

NIST (2016). Guide to Enterprise Telework, Remote Access, and Bring Your Own Device (BYOD). Security. https://www.nist.gov/blogs/cybersecurity-insights/telework-security-basics

NIST (2020). Telework Security Basics. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-46r2.pdf

NIST (2020). Preventing Eavesdropping and Protecting Privacy on Virtual Meetings https://www.nist.gov/blogs/cybersecurity-insights/preventing-eavesdropping-and-protecting-privacy-virtual-meetings

Gordon, S. (2020). Securing workers beyond the perimeter. https://www.sciencedirect.com/science/article/pii/S135348582030009X/pdfft?md5=9d4c51314c9afb7c7d45a30409d796ad&pid=1-s2.0-S135348582030009X-main.pdf

Lecciones aprendidas de la pandemia COVID-19 en Asia y gestión de riesgos en el Perú

El mundo todavía está luchando con la pandemia, el número de casos confirmados y fallecimientos es cada vez mayor, los ejemplos y análisis del estudio de países asiáticos de Shaw et al. (2020) nos permiten listar algunas prácticas que se pueden aplicar al Perú. Para ello, tenemos que afirmar que esta pandemia de Coronavirus (COVID-19) es un suceso único y que por los hechos podemos afirmar que ningún país en el mundo estaba preparado para una amenaza para tal magnitud. El Perú al día de hoy cuenta con 2954 infectados (los infectados se duplican cada 5 días) y 107 fallecidos, con un 3.67% de letalidad. Para desacelerar la cantidad infectados y muertes para no colapsar el sistema de salud, El gobierno  peruano debe incorporar en su toma de decisiones un proceso ágil de gestión de riesgos para mejorar la capacidad de respuesta de los servicios de salud y de la administración pública. A continuación listamos algunas lecciones aprendidas de países asiáticos:

La pandemia es global, pero su respuesta es local: en un mundo globalizado e interconectado, donde el movimiento del ser humano es bastante alto y rápido aceleró la propagación del virus a nivel mundial muy rápidamente, convirtiéndolo en una pandemia global. Aunque el tratamiento médico es universal, medidas de respuesta a emergencias no son universales. Esta respuesta ante el COVID-19 debe generarse a través de una combinación de regulación del país, el mecanismo de gobernanza, toma de decisiones basadas en ciencia, gobernanza local y comportamiento de la sociedad. Por lo tanto, El Perú deberá aprender de los mecanismos que ejecutaron otros países, del comportamiento del virus y la sociedad ante las medidas que tome el gobierno. Además, el Perú deberá incluir en el proceso de toma de decisiones basadas en riesgos a expertos científicos, gobernantes, empresas y, especialmente, representantes de la sociedad civil peruana.

Uso adecuado de la tecnología: una respuesta ante la pandemia ya no es solo una respuesta médica se necesita vincular diferentes tipos de tecnologías de la información de manera apropiada. La respuesta ante el COVID-19 en Asia Oriental mostró un amplio uso de las tecnologías emergentes como big data, inteligencia artificial, drones, 5G, robótica, smart cars, blockchain, etc. vinculadas a las tecnologías médicas. En el Perú, solo se han utilizado sistemas información en web y móviles para comunicar el crecimiento de infectados, fallecidos y zonas donde se ubican los infectados. Sin embargo, poco se ha hecho en el proceso de respuesta médica que es el proceso principal para evitar más muertes, el principal riesgo de esta pandemia.

Incorporar la evaluación de riesgos: Se recomienda utilizar el marco de trabajo de Sendai de desde la perspectiva de la respuesta de salud, la respuesta de emergencia y la reducción del riesgo de desastres. Riyanti et al (2020) recomienda que los mecanismos actuales y las estrategias para la resiliencia de Sendai aplican para esta pandemia y consisten en: (i) comprender el riesgo de desastres; (ii) fortalecer la gobernanza del riesgo de desastres; (iii) invertir en la reducción del desastre para la resiliencia y; (iv) mejorar la preparación para desastres para una respuesta efectiva y una más adecuada recuperación, rehabilitación y reconstrucción. El Perú requiere una evaluación de riesgos adecuada teniendo en cuenta los riesgos de salud, riesgos económicos, las exposiciones y comportamientos de la sociedad, en estos momentos, el gobierno peruano no liberado apoyos económicos de 380 soles (112 USD) cada quince días a la población vulnerable, ha permitido el retiro de 2400 soles la CTS (706 USD, que es un ahorra en caso te quedes sin trabajo) y liberación de 25% de la AFP hasta 12,900 soles (3794 USD), en el ámbito de la salud se están adquiriendo pruebas rápidas, pruebas moleculares, ventiladores mecánicos, mascarillas y equipos de protección personal. Sin embargo, no la respuesta de emergencias de salud no se aprecia cambios significativos.

Uso de redes sociales y sensibilización sobre “Fake News”: en diferentes países, con diferentes niveles de penetración de las redes sociales, la importancia de la distinción de noticias verdades y noticias falsas (fake news) es muy relevante. Es importe que el gobierno peruano a través de la inteligencia de la DIVINDAT identifique las fuentes de creación de estas noticias falsas por las consecuencias negativas para combatir esta pandemia a corto y largo plazo para el proceso de recuperación. También, las personas tienen que aprender a validar las noticias en fuentes oficiales en las mismas redes sociales.

Implicaciones económicas: los impactos económicos globales de la pandemia aún no se han comprendido totalmente, pero si hay un acuerdo unánime de una recesión mundial debido a la pandemia. Sin embargo, en diferentes países, los impactos sectoriales ya son elevados, especialmente para los sectores turístico, hotelero y entretenimiento. Las MYPE y PYMES (Micro, pequeñas y medianas empresas) son las más afectados en todos los países y necesitan un paquete especial de revitalización económica. Sin embargo, en el Perú se aprecia que las que empresas que están pidiendo apoyos económicos son las grandes empresas a través de la CONFIEP, el gobierno peruano ha habilitado un préstamo hasta por diez millones de soles (casi 3 millones de dólares) para las MYPES. Algo que también sugiere Hardvard Business Review en su última edición es el repensamiento de las cadenas de suministro desde la perspectiva de la resiliencia, en ese sentido, poco se ha explorado tanto por el gobierno como en las empresas. Queda mucho por hacer para la reactivación económica del país.

Impactos socio-psicológicos y cambios en el estilo de vida: Mundialmente, se ha iniciado un cambio de cultura laboral diferente en los países del este asiático, así como, en la mayoría de los otros países. El teletrabajo se ha vuelto parte de nuestras vidas, reuniones en línea, clases en línea en las universidades y la educación en línea para niños en edad escolar es vital. Por lo tanto, esto ha generado un cambio de estilo de vida en muchos países que tienen implicaciones socio-psicológicas y conductuales que se mantendrán a largo plazo. En el Perú se han aplicado las mismas medidas y el impacto es similar. Por ejemplo, el Ministerio de Educación ha implementado el programa “Aprendo en Casa” desde Internet, radio y televisión, sin embargo, tenemos un gran problema, el acceso a Internet en el Perú (solo el 36.7% de hogares tiene internet) o el Internet de calidad y en algunas zonas rurales la televisión o radio no llega adecuadamente. También, las universidades pasaron a modalidad online todo el ciclo 2020-1.

El gobierno peruano tendrá que priorizar y mejorar varias de las iniciativas desde una perspectiva de gestión del riesgo pero sobre todo establecer medidas para la reconstrucción de la economía y sobre todo para la mejora de respuesta ante emergencia. Así como, guías y normas técnicas para el trabajo en empresas y otras ubicaciones de concentración masiva. Todavía queda mucho por hacer para combatir esta pandemia local y en este escenario tanto la política peruana, la administración pública, la sociedad civil y las empresas tendrán que juntarse para dar respuestas inmediatas.

Referencias

• Shaw, Rajib et al. (2020). Governance, technology and citizen behavior in pandemic: Lessons from COVID-19 in East Asia
• Framework de Sendai (2020) https://www.preventionweb.net/sendai-framework/sendai-framework-for-drr/at-a-glance

Las contraseñas más inseguras utilizadas en Internet

A pesar de los años el uso de contraseñas débiles sigue siendo una vulnerabilidad latente en las compañías de todo el mundo. Cabe resaltar que los hackers maliciosos utilizan herramientas de descifrado offline como John The Ripper y Hashcat o Hydra y Medusa para ataques de fuerza bruta o diccionario. El Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés), agencia encargada de prevenir y combatir delitos informáticos publico una lista de los 100,000 passwords usados más inseguros.

A continuación listaremos las primeras 25 contraseñas o passwords más usadas del listado:

• 123456
• 123456789
• qwerty
• password
• 111111
• 12345678
• abc123
• 1234567
• password1
• 12345
• 1234567890
• 123123
• 000000
• iloveyou
• 1234
• 1q2w3e4r5t
• qwertyuiop
• 123
• monkey
• dragon
• 123456a
• 654321
• 123321
• 666666
• 1qaz2wsx

El listado completo de las contraseñas débiles  las pueden encontrar aquí.

En el listado de las peores contraseñas también aparece términos muy comunes como "superman", "pokemon", ”genius”, o nombres como "carlos", "angela", "maria" o "gabriel", escritos así, sin mayúsculas ni tildes.

Hay otras contraseñas también muy inseguras, que sin embargo no aparecen en el listado, como por ejemplo cuando los empleados de una misma compañía utilizan el nombre de la empresa y el año para acceder a las plataformas personales o corporativas.

No se deben de reutilizar las contraseñas

• Para NCSC, uno de los mayores riesgos para las personas y las compañías es utilizar la misma contraseña para varias plataformas. La contraseña "123456", por ejemplo, ha aparecido 23 millones de veces en las filtraciones a partir de las que se hizo el listado.
• Los atacantes constantemente están probando estas contraseñas más comunes en nuestras redes sociales, correos electrónicos y sistemas corporativos. Estas contraseñas débiles pueden comprometer nuestra privacidad y exponer información sensible.
• Una contraseña débil puede ser el punto de entrada a toda la información de nuestra organización porque los atacantes suelen hacer “movimientos laterales” entre los activos informáticos de la organización.

Recomendaciones

Algunas recomendaciones para tener contraseñas más seguras:

• Utilizar palabras aleatorias pero fáciles de recordar y/o combinaciones de ellas con un mínimo de 8 dígitos alfanumérico.
• Las contraseñas de cuantas bancarias, sistemas de almacenamiento, el correo electrónico o redes sociales, es mejor no repetir las contraseñas.
• Se recomienda implementar un sistema de autenticación en dos pasos que soliciten una segunda clave de acceso como una pregunta de seguridad o un código temporal. Esta funcionalidad la tienen los correos electrónicos, redes sociales y sistemas corporativos pero depende de los usuarios habilitar dicha funcionalidad.

Fuentes:

• https://www.bbc.com/mundo/noticias-internacional-48015898
• https://www.ncsc.gov.uk/news/most-hacked-passwords-revealed-as-uk-cyber-survey-exposes-gaps-in-online-security

¿Cuáles son los engaños que más éxito tienen en los ataques de phishing?

De acuerdo a Cialdini (2009), el marco de referencia más utilizado y conocido sobre influencia social consiste en seis principios: autoridad, consistencia, gusto, reciprocidad, escasez y prueba social. Estos principios son utilizados por los ciberdelincuentes en los ataques de phishing.

El principio de autoridad establece que las personas tienen más probabilidades de responder a una solicitud de alguien en una posición de poder o autoridad (Cialdini, 2009). El principio de consistencia indica que las personas buscan cumplir sus compromisos y ser consistentes con sus palabras. Por ejemplo, recordarle a una persona por correo electrónico que previamente apoyó a una organización benéfica aumenta la posibilidad de que la persona donará nuevamente (Guadagno y Cialdini, 2010). El principio del gusto indica que las personas son persuadidas fácilmente por alguien que le guste, que puede ser provocado por el uso de cumplidos o su atractivo. El principio de reciprocidad establece que las personas se sentirán obligadas a pagar por un servicio o favor que hayan recibido (Cialdini, 2009). Steinhoff y Palmatier (2016) explican que existen programas de fidelización o recompensa de los clientes para crear gratitud hacia el cliente, lo que debería inducir un deseo de comportarse recíprocamente. En el caso del principio de escasez, los ciberdelincuentes se hacen pasar por personal de una empresa de entrega y envió de encomiendas y engañan a las personas que un paquete no se le pudo entregar. Las potenciales víctimas recibieron un período de tiempo limitado en el que podían reclamar la encomienda. Como se aprecia en el ejemplo la escasez es la “presión de tiempo” (Cialdini, 2009). Finalmente, el principio de prueba social establece que las personas quieren ser vistas haciendo lo que el resto de sus compañeros hace. Por ejemplo, los ciberdelincuentes pueden persuadir a las personas a hacer clic en un enlace por la afirmación de que muchas otras personas ya han realizado esta acción (Butavicius et al., 2015)

En el estudio de Parsons et al. (2019), se realizó un experimento basado en juego de roles de phishing a 985 participantes usando los principios de Cialdini. En estudios previos de Akbar (2014) sobre phishing los principios más comunes utilizados en ataques de phishing fueron: autoridad, escasez y gusto.

El estudio de Parsons et al. (2019) concluye que las personas son menos susceptibles a los correos electrónicos de phishing que contenían el principio de escasez y prueba social porque ha sido muy utilizado en el phishing (Akbar, 2014; Atkins y Huang, 2013), y las víctimas fácilmente pueden detectar el engaño.

Finalmente, los participantes fueron más susceptibles a los principios de consistencia y reciprocidad, que son dos de los principios menos comunes en el phishing del mundo real. Por lo tanto, como estos principios son menos comunes en los correos de phishing, es posible que las personas no hayan sido tan expuestas a estos correos electrónicos como para desarrollar inmunidad.

Podemos concluir que los programas de concientización deberían enfocarse en los principios de consistencia y reciprocidad que son los menos comunes en el mundo real y que pueden afectar a los usuarios que no están acostumbrados a los nuevos tipos de persuasión o engaños. Así mismo, los ethical hackers deberán aplicar estos principios en sus pruebas de ingeniería social para evaluar el nivel concientización de los colaboradores.

Referencias

Akbar, N. (2014). Analysing persuasion principles in phishing emails. (Masters degree), University of Twente.
Australia Post. (2018). Scam alerts. Retrieved from https://auspost.com.au/about-us/aboutour-site/online-security-scams-fraud/scam-alerts.
Butavicius, M., Parsons, K., Pattinson, M., & McCormac, A. (2015, 30 Nov - 4 Dec). Breaching the Human Firewall: Social Engineering in Phishing and Spear-Phishing Emails. Paper presented at the 26th Australasian Conference of Information Systems (ACIS), Adelaide.
Cialdini, R. B. (2009). Influence: Science and Practice. New York: William Morrow
Guadagno, R. E., & Cialdini, R. B. (2007). Persuade him by email, but see her in person: Online persuasion revisited. Computers in Human Behavior, 23(2), 999-1015.
Guadagno, R. E., & Cialdini, R. B. (2010). Preference for consistency and social influence: A review of current research findings. Social Influence, 5(3), 152-163.
Parsons, K., Butavicius, M., Delfabbro, P., & Lillie, M. (2019). Predicting Susceptibility to Social Influence in Phishing Emails. International Journal of Human-Computer Studies. doi:10.1016/j.ijhcs.2019.02.007
Steinhoff, L., & Palmatier, R. W. (2016). Understanding loyalty program effectiveness: managing target and bystander effects. Journal of the Academy of Marketing Science, 44(1), 88-107.

Marco de referencia para la transformación a Smart City

Fuente: Kumar et al. 2018

En el proceso de mi investigación doctoral encontré un paper muy interesante donde se describen las fases de transformación de una ciudad tradicional a Smart City (Kumar et al. 2018) el estudio realiza un análisis cualitativo de las características de una Smart City en India. Este marco de referencia se puede utilizar para la implementación de Smart Cities en Latinoamérica.

Los resultados del estudio concluyen que la transformación a una ciudad inteligente tiene las siguientes fases : (i) planeación, las ciudades más inteligentes como Barcelona, Londres, Tel Aviv, Hong Kong y Sidney diseñaron políticas públicas y estrategias a largo plazo independiente a la autoridad de turno, se definieron y ejecutaron diversos niveles de colaboración en todo el gobierno para la reducción de costos y tener una misma visión. Así mismo fue necesaria la participación activa de los ciudadanos para la retroalimentación del gobierno local o municipal; (ii) el desarrollo de infraestructura física, es la segunda fase que abarca la construcción de zonas urbanas y viviendas, servicios básicos como agua y desagüe, gestión de energía, telecomunicaciones, restructuración de la economía promoviendo la innovación y emprendimiento, asi como, la protección ambiental y control de la contaminación;   (iii) Infraestructura de tecnologías de la información y comunicaciones, la tercera fase incluye la implementación de Hardware y Software, sensores, centros de datos y ciberseguridad en diversas zonas de la ciudad; (iv) el despliegue de soluciones inteligentes, es la cuarta fase que consiste en la interconexión de sistemas de transporte, control del crimen, gestión de la salud, turismo, educación, sistema de limpieza y diversión en modo inteligente.

Existen ciudades en Latinoamérica que están realizando esfuerzos en convertirse en ciudades inteligentes como Medellín, Santiago, Buenos Aires, Rio de Janeiro y Montevideo. Sin embargo, otras ciudades de Latinoamérica están en fases iniciales e inclusive las políticas públicas no se mantienen a lo largo del tiempo y cambian de acuerdo a la autoridad y dificulta la implementación de la estrategia de Smart city.  En el Perú, la corrupción de los gobiernos regionales, locales y municipales o falta de ejecución efectiva del presupuesto dificulta esta transformación, por ello, es necesario que los ciudadanos exijamos autoridades conscientes que las ciudades, especialmente, las zonas urbanas puedan transformarse en Smart Cities para el bienestar y mejorar la calidad de vida del ciudadano.

Referencias

Kumar, Harish, Manoj Kumar Singh, M. P. Gupta, and Jitendra Madaan. 2018. “Moving towards Smart Cities: Solutions That Lead to the Smart City Transformation Framework.” Technological Forecasting and Social Change (April):1–16.