Phishing: El ciberataque preferido en Latinoamérica – Por Mario Ramón Duarte

Por Mario Ramón Duarte(*)

El término inglés phishing es un método que los ciberdelincuentes utilizan para engañar y conseguir que el usuario revele información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias. Lo hacen mediante el envío de correos electrónicos fraudulentos o dirigiéndole a un sitio web falso.

 Phishing, conocido como suplantación de identidad, es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing o pharming, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas. Se considera pishing también, la lectura por parte de terceras personas, de las letras y números que se marcan en el teclado de un ordenador o computadora.

Los mensajes de phishing parecen provenir de organizaciones legítimas como PayPal, UPS, una agencia gubernamental o su banco. Sin embargo, en realidad se trata de imitaciones. Los correos electrónicos solicitan amablemente que actualice, valide o confirme la información de una cuenta, sugiriendo a menudo que hay un problema. Entonces se le redirige a una página web falsa y se le embaucada para que facilite información sobre su cuenta, lo que puede provocar el robo de su identidad.

Es preciso tener en cuenta los diversos datos, uno de ellos es cómo reconocer, eliminar, evitar y protegerse del phishing: en el primer caso es preciso recibir mensajes pidiendo que revele información personal, normalmente mediante correo electrónico o en un sitio web, en cuanto a la eliminación, si bien no se los pueden eliminar si se los pueden detectar, además se necesita monitorizar su sitio web y estar al corriente de lo que debería y de lo que no debería estar allí, en lo posible cambiar los archivos principales de los sitios web periódicamente.

Al momento de evitar los phishing hay que tener en cuenta los siguientes consejos:

·         Mantenga buenos hábitos y no responda a enlaces en correos electrónicos no solicitados o en Facebook.

  • No abra adjuntos de correos electrónicos no solicitados.
  • Proteja sus contraseñas y no las revele a nadie.
  • No proporcione información confidencial a nadie por teléfono, en persona o a través del correo electrónico.
  • Compruebe la URL del sitio (dirección web). En muchos casos de phishing, la dirección web puede parecer legítima, pero la URL puede estar mal escrita o el dominio puede ser diferente (.com cuando debería ser .gov).
  • Mantenga actualizado su navegador y aplique los parches de seguridad.

En cuanto a la protección de éstos no hay una forma mejor de reconocer, eliminar y evitar el phishing que utilizar una herramienta de antivirus y antiphishing, y la mejor de ellas es Avast.

El smishinges otra variante de engaño que se basa en el envío de mensajes de textos para obtener información confidencial. El vishing sigue la misma lógica pero el medio empleado es un llamado telefónico.

En Latinoamérica este método es uno de los más usuales al momento de realizar ciberataques, el mecanismo preferido de los ciberdelincuentes es el phishing (técnica que se utiliza para engañar a usuarios, persuadiéndoles a revelar información o a realizar acciones que ponen en riesgo la seguridad del dispositivo o divulgar información confidencial de la empresa). El correo electrónico es el medio en donde se manejan con facilidad, también se puede encontrar en los numerosos links a través de redes sociales e incluso llamadas telefónicas o mensajes por WhatsApp, incitándonos a ingresar a un sitio web, siempre prometiendo algún beneficio que lamentablemente sólo es un engaño.

Dentro de la lista de víctimas de phishing en América Latina, el primer lugar lo ocupa Brasil con 23,3% de los ataques, le sigue Venezuela con 17% y Argentina en tercer lugar con el 16,4%. Según Fabián Assolini, analista de seguridad en Kaspersky Lab, el período preferido por los ciberdelincuentes para realizar este tipo de ataques es el Black Friday ya que en la edición del año 2017 han bloqueado más de 380.000 intentos de ataque que es casi 4 veces mayor al de un día normal.

También nos indica que “para tener una idea, solamente este año han bloqueado 40 millones de ataques en América Latina, siendo Brasil el país más afectado”. Para tener muy en cuenta, solamente 3 de cada 10 personas conectadas a internet o a través de un dispositivo móvil o computadora, no son víctimas de ataques.

El delito de phishing se encuentra en constante evolución llegando a alcanzar en la actualidad una gran sofisticación respecto a sus inicios, tanto en el método de captación de los intermediarios o muleros, como en los ámbitos en los que operan, ya que, si bien las ofertas de empleo eran el método más utilizado por los estafadores para captar a sus víctimas, ahora se producen también en las compraventas a través de la red.

(*) Abogado argentino, Secretario General CEEYPP (ARG-MEX),Experto en Ciberseguridad y Ciberdefensa.