EHPLUS, REDACCIÓN.-Yocasta salió de su trabajo el viernes con ganas de desconectar con una de las series de la plataforma de streaming norteamericana Netflix, así que cuando recibió un sms a su celular informándole de que su cuenta había caducado y que como medio de fidelización, ofrecían ampliar su suscripción por noventa días de forma gratuita, se sintió aliviada. Solo tenía que enviar correo electrónico, número de teléfono, contraseña o método de pago de su cuenta de Netflix.
“Introduje los datos de mi tarjeta de crédito y mis datos personales, así que accedieron a mi cuenta bancaria y me robaron $50 mil pesos. Tuve que cancelar la tarjeta a través del banco”, dijo.
Pese a que la empresa estadounidense advierte en su propia página web de que hay que desconfiar de los mensajes que nos llegan en su nombre, y siendo conocido por todos que las suplantaciones de identidad a estas grandes empresas no sean algo nuevo, cada cierto tiempo siguen apareciendo nuevas estafas que se aprovechan de los usuarios.
“No hay un uso no correcto de las Redes Sociales e Internet. Los ciudadanos no tienen precaución en el registro con datos personales en cursos, conferencias y ofertas en Internet. Muchos de estos registros son estafas y ganchos, para robar los datos personales. Datos como Nombre, Teléfono y Correo Electrónico, son los más usados para crear las estafas de Phishing y son los datos que más los ciudadanos registran en la Internet”, explica el experto Engel Rivas.
El phishing consiste en el envío de correos electrónicos que suplantan la identidad de compañías u organismos públicos y solicitan información personal y bancaria al usuario. “Caer en este tipo de gancho te hace sentirte vulnerable y frágil, sobre todo, porque estamos en un mundo cada vez más digital”, señala Yocasta.
Los atacantes suelen disfrazar estos intentos haciéndolos parecer provenientes de fuentes legítimas y fiables, como bancos, empresas conocidas o contactos personales. “Para prevenir el phishing, es crucial adoptar un enfoque proactivo y educativo. Primero, es esencial estar siempre alerta y escéptico. Verificar siempre la autenticidad de la fuente antes de responder o hacer clic en cualquier enlace. Además, mantener actualizado el software de seguridad. En resumen, una combinación de vigilancia, educación y tecnología”, sostiene el especialista en ingeniería de la información y director General en Datanalítica, Osmel Brito.
En base al informe de 2022 del Centro de Quejas de Delitos en Internet de Estados Unidos, una división de la Oficina Federal de Investigaciones sobre sospechas de actividades delictivas facilitadas por Internet, que refleja que la pérdida potencial por estos delitos creció de $6,9 mil millones en 2021 a 10.2 mil millones en 2022. “Morder el anzuelo y hacer clic en un enlace de phishing puede hacerte sentir avergonzado, e incluso alarmado, pero este tipo de amenaza es cada vez más frecuente. De hecho, le ocurre a cientos de miles de personas cada año, y las cifras van en aumento”, comenta Gutiérrez Amaya, jefe del Laboratorio de Investigación para Latinoamérica de la empresa de ciberseguridad ESET.
En 2023, desde el Centro Nacional de Ciberseguridad (CNCS) se han detectado y atendido 67 casos reportados de Phishing que suplantan servicios de gobierno. Todos resueltos. “Hablamos de casos como de phishing que suplantan la identidad de los planes de ayuda social del gobierno, entre otros. Por ejemplo, el bono madre, bono padre, e-ticket de migración, etc”, señala Carlos L. Leonardo, ingeniero en Sistemas especializado en ciberseguridad y director Nacional de Equipo de Respuesta a Incidentes Cibernéticos (CSIRT-RD).
La web del Centro Nacional de Ciberseguridad ofrece boletines mensuales relativos a incidencias y vulnerabilidades en servicios institucionales ofrecidos en línea. Los códigos maliciosos que atentan a las instituciones públicas ocupan el primer lugar, con un promedio de 17 casos atendidos al mes. Le siguen los episodios de robo de información, compromiso de la información e intrusión. No se contemplan los casos del phishing a nivel consumidor.
“La falta de apertura de datos abiertos en temas cotidianos es preocupante. Si los contribuyentes no pueden conocer la realidad de las amenazas más comunes como el Phishing, ¿Cómo puede existir adopción de cultura de ciberseguridad en el país? Los datos que no comprometen la seguridad nacional que se acumulan el CNC deben ser liberados, abiertos y accesibles”, explica Arturo López Valerio, empresario tecnológico, pionero en el uso y la aplicación de las TIC.
El experto en ciberseguridad, Miguel Raúl González, considera que lo más importante es lo que tiene que ver con lo que se llama Security Awareness, es decir, lo relacionado a capacitaciones de concientización al personal, que ayudan a identificar los correos maliciosos, malintencionados.
“También es bueno el empleo de las plataformas de simulación de ataques cibernéticos de phishing. Así se puede llevar una estadística sobre qué cantidad de empleados están cayendo en ataques de phishing simulado y dónde tienes que reforzar. Luego están obviamente las herramientas de detección de phishing, que emplean inteligencia artificial. Son herramientas que filtran los correos entrantes para detectar posibles correos maliciosos. Utilizan algoritmos de machine learning y de inteligencia artificial”.
En el caso de Yocasta no hubo males mayores, pero en otros casos, si hay daños materiales de envergadura se pone una denuncia con el Departamento de Investigación de Crímenes y Delitos de Alta Tecnología (DICAT) y ellos se encargan de investigar junto con la Procuradoría. También existe la ley 358-05 que otorga a Pro Consumidor atribuciones para proteger los intereses de los consumidores.
Según datos del ESET Security Report (ESR), informe en el que se evalúa el estado de la seguridad de la información en las empresas de América Latina, el 24 % de riesgos se da por la infección con malware como principal responsable, siendo el phishing y la explotación de vulnerabilidades las dos principales vías de acceso inicial que aprovechan los atacantes para acceder a la red de las organizaciones.
“En el caso de ataques dirigidos, que son los que ya se utilizan, se empelan herramientas de Threat Hunting que es un sistema basado en criterios de ciberseguridad cuya función es detectar, en tiempo real y de forma rápida, aquellas intervenciones y ataques al sistema de los ordenadores y la red que puedan contener malware o algún tipo de riesgo que afecte la seguridad”, apunta González.
Recibe nuestras noticias por correo