El phishing, o suplantación de identidad, es una técnica muy utilizada por delincuentes informáticos para adquirir información confidencial como claves o datos bancarios de usuarios, de manera fraudulenta.
Esa manera fraudulenta se vale de técnicas de ingeniería social para lograr que sea el mismo usuario el que ofrezca la información. Con esa finalidad se envían falsas promociones u ofertas de productos a través de correos, mensajes o WhatsApp y se le pide al usuario que ingrese al falso sitio para adquirir el supuesto beneficioso.
En ese falso portal se le solicita a la persona que ingrese datos y contraseñas. De ese modo el ciberdelincuente obtiene la preciada información. A veces también se orquestan estos engaños pidiéndole al usuario que descargue un archivo en su correo el cual se puede instalar, por ejemplo, algún tipo de malware espía.
El phishing es una de las técnicas que más se emplea y que más crece. El año pasado se bloquearon más de 482 millones de intentos de visitas a páginas web fraudulentas, lo cual representa el doble de los 236 millones de intentos registrados por Kaspersky Lab, en 2017.
Según el informe elaborado por esa empresa de ciberseguridad, los temas que más se emplearon para engañar a usuarios fueron el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que entró en vigencia en mayo del año pasado; el campeonato mundial de fútbol 2018 y el lanzamiento del nuevo iPhone.
Los temas que más se usaron para engañar a los usuarios
Como se ve, los cibercriminales suelen buscar atraer a sus víctimas con temas que son muy populares. En el caso del GDPR, por ejemplo, los cambios de normativas en el tratamiento que hacen las empresas de tecnología de datos de los usuarios hizo que muchas compañías (redes sociales, apps, portales con todo tipo de contenido, etc) enviaran correos a sus usuarios pidiéndoles que aceptaran los nuevos términos o actualizaran su consentimiento de los términos y condiciones de uso.
En medio de todo eso, muchos cibercriminales aprovechan para enviar correos falsos haciéndose pasar por alguna empresa reconocida y así lograron engañar a muchos usuarios.
Con el nuevo iPhone o el Mundial ocurrió algo similar. Se prometieron ofertas, promociones, acceso a novedades a cambio de ingresar a sitios fraudulentos y así se lograron orquestar varios engaños.
Las consecuencias de estos ataques puede ir desde pérdida de dinero hasta el compromiso de toda una red corporativa, cuando el objetivo va dirigido a una empresa o incluso gobiernos.
Los sectores y los países más afectados
El sector financiero es uno de los que se vio más afectado. De acuerdo con el informe, más del 44% de todos los ataques de phishing detectados el año pasado fueron dirigidos a bancos, sistemas de pago y tiendas online. Esto significa que hubo casi tantos ataques de phishing financiero en 2018 como ataques de phishing en general en 2017.
En cuanto a los países más afectados de Latinoamérica, el primer puesto es para Brasil con un 28,28%, seguido por Guatemala (20,34%) y Chile (20,10%). Los mejor posicionado son Paraguay (12,30%), Costa Rica (12,72%) y República Dominicana (15,17%).
Ranking a nivel Latinoamérica de usuarios únicos atacados por phishing:
Brasil, 28,28%
Guatemala, 20,34%
Chile, 20,10%
Venezuela, 19,89%
Ecuador, 19,55%
Panamá, 19,21%
Argentina, 19,12%
Perú, 18,57%
Bolivia, 18,21%
Honduras, 18,05%
Colombia, 18,52%
Nicaragua, 16,59%
México, 16,07%
Uruguay, 15,93%
República Dominicana, 15,17%
Costa Rica, 12,72%
Paraguay, 12,30%
Qué medidas de precaución tomar
1. Desconfiar de las promociones, solicitudes de información o actualización de datos que piden que se descargue un archivo o que se ingrese a un link para proporcionar información personal. Lo recomendable es tipear directamente al dirección web del sitio oficial y luego verificar si efectivamente esa promoción está vigente y es real.
2. Evitar la conexión wifi pública, sin protección de contraseña y donde todo el tráfico pueda quedar expuesto. Lo ideal es utilizar una VPN confiable para conectarse, sobre todo si se va a ingresar datos confidenciales en la web.
3. Contar con el software actualizado. De esa manera uno se asegura de que el sistema operativo cuenta con los parches o correcciones necesarios para estar protegido ante eventuales ataques.
4. Utilizar una solución de seguridad completa y confiable para estar protegido.
5. Usar el factor de doble autenticación, una opción que está disponible en redes sociales y plataformas. Basta con ingresar al menú de configuración y activar esta herramienta. Así, a un hacker no le alcanzaría con tener la contraseña para entrar a las cuentas.
Test: ¿podrías detectar un ataque de phishing?
Google desarrolló, a través de su proyecto Jigsaw, un juego interactivo, estilo test online con preguntas y respuestas, para aprender cómo identificar un correo malicioso de uno legítimo. Contiene ejemplos de casos de phishing, consejos y explicaciones para que sea más fácil detectar este tipo de amenazas.
MÁS SOBRE ESTE TEMA:
Sextorsión y otros chantajes digitales: cómo evitar caer en las redes de los cibercriminales
"Ciberarmadas", filtraciones y técnicas de engaño para orquestar ataques millonarios
Por qué deberías pensar dos veces antes de ver porno desde tu celular