Ciberestafas y nuevas tecnologías

Todos estamos expuestos a un ciberataque, no sólo quienes puedan considerarse más alejados de la tecnología, sino también quienes conviven con ella a diario. Por eso, es importante dejar de lado la soberbia del “a mí no me puede pasar” para incorporar conocimientos y herramientas para saber cómo reaccionar ante estas amenazas.

La palabra phishing se refiere a la suplantación de identidad, y es utilizada para describir una maniobra ardidosa (fraudulenta) que usan los ciberdelincuentes para obtener información confidencial de los usuarios y así apropiarse de la identidad de esas personas. Con ellos buscan acceder especialmente a sus cuentas o datos bancarios.

Muchos suelen identificar esta expresión con “ir de pesca” (por fishing), pero en rigor no es así.

Los ciberdelincuentes utilizan todo tipo de recursos, como emails, Whatsapp o llamados telefónicos, para obtener información para acceder a cuentas, contraseñas y datos personales valiosos.

Todos pensamos que somos “inmunes” a estas maniobras, pero son cada vez más sofisticadas e incluso, ahora, se valen de las bondades de la IA. El riesgo de caer es cada vez mayor.

Dado que la sofisticación de los ataques de phishing sigue evolucionando, es crucial adoptar medidas de seguridad sólidas para protegerse de este tipo de estafas.

Educación

Tener un conocimiento o una instrucción al menos básica puede reducir significativamente el riesgo de caer en la trampa. No difícil en la actualidad acceder a este tipo de información, hoy Youtube tiene infinidad de tutoriales sencillos y de fácil implementación. Si bien resulta ideal contar con algún programa integral de formación en ciberseguridad -en especial para las empresas-, lo esencial es estar muy atentos y conocer las tácticas empleadas por los ciberdelincuentes.

Utilizar la “autenticación multifactor” (AMF)

La autenticación multifactor (usualmente de “dos pasos”) implica generar una barrera adicional de seguridad. Con ello, los usuarios pueden reducir significativamente las posibilidades de acceso no autorizado, incluso frente a intentos de ataques de suplantación de identidad.

Sistemas avanzados de detección de amenazas

Este punto puede que requiera un poco más de manejo tecnológico. Existen múltiples herramientas conocidas como “sistemas avanzados de detección de amenazas” que son de extrema utilidad. Incluso muchos de éstos utilizan IA y logran analizar patrones, detectar anomalías y responder de forma proactiva a posibles amenazas, proporcionando una mayor protección frente a las técnicas de ataque en evolución.

Actualización periódica del software de seguridad

Emparentado con lo anterior, existen en el mercado diversos “softwares de seguridad”, tanto para los hogares como para las empresas.

1.- Denunciar ante la fiscalía de turno de tu departamento judicial, aportando todas las pruebas de cargo que tengas, tales como capturas de pantalla, los mails fraudulentos, certificados bancarios que demuestren los cargos ilegales que hayas sufrido en tus cuentas, etc.

2.- Denunciar e informar a la entidad bancaria sobre este hecho.

No sólo para que establezca mecanismos de seguridad que eviten posibles cargos fraudulentos, sino para ver si hubo y reconocen algún problema en el sistema de seguridad.

Debemos saber que los clientes del Banco son consumidores y como tales cuentan con la protección de todo el andamiaje legal (que no es poco).

También debemos saber que los bancos, en tanto entidades profesionales, deben conducirse con un “plus” de diligencia, y al ser quienes implementan dichos sistemas para “optimizar los servicios” (que se traduce también en un rédito para el banco) deben extremar los recaudos y las medidas de prevención para neutralizar maniobras como el phishing o responder si sus sistemas de “protección” y “seguridad” fallan y el cliente sufre un perjuicio.

A su vez, el Banco Central de la República Argentina (BCRA), como autoridad de contralor y superintendencia del sistema bancario, ha dictado una serie de normas destinadas específicamente a prevenir, evitar y combatir estos delitos.

3.- Frente al fracaso de los reclamos informales o canalizados por las vías que ofrecen los bancos, recurrir al auxilio profesional de un abogado de confianza o a la Secretaría de Defensa de los Consumidores y Usuarios, donde podrán dar una orientación clave, en especial, cómo formalizar el reclamo facilitando algún modelo para remitir una carta documento.

Phishing HTTPS (mediante email)

Hoy es la modalidad más frecuente. En este caso, los ciberdelincuentes remiten un correo electrónico que parece legítimo pero en rigor no lo es y que contiene un enlace para que el destinatario ingrese en el mismo (por ejemplo, que una aplicación o empresa de streaming o cable, informe una aumento o un acceso para actualizar la forma de pago, etc.).

Una vez que uno hace click en el enlace o dirección URL, permite el acceso al ciberdelincuente.

Esta modalidad también se practica mediante mensajes de texto u otros (en el caso se denomina “smishing” (por SMS phishing).

Esta modalidad, también se relaciona con la denominada “suplantación de dominio”, ya que se recurre a correos electrónicos o sitios web fraudulentos. ¿Cómo? El ciberdelincuente “falsifica” el dominio de una organización o empresa para generar la apariencia que los correos electrónicos parezcan provenir del dominio oficial, o falsificar o copiar fraudulentamente un sitio web de modo tal que se vea como el verdadero (diseño, direcciones, etc.).

Para evitar caer en esta trampa, es suficiente con ignorar el email o mensaje de texto, pero uno debe estar atento.

Fraude del CEO / Cuenta empresarial comprometida o “Business Email Compromise” (BEC)

Básicamente se presenta cuando los delincuentes, se hacen pasar por el CEO, y remiten un email a un empleado con un link determinado o directamente con el objetivo simple transferir fondos a una cuenta falsa.

Una variante de esta modalidad se denomina “spear phishing”, se trata de emails que se dirigen a personas específicas dentro de una organización para engañarlos y lograr que abran el mensaje y hagan clic en los enlaces o archivos adjuntos.

La mayoría de ataques corporativos se materializan mediante este ardid.

Phishing por Wi Fi o “Gemelo malvado”

Esta modalidad es muy diferente a las anteriores. En este caso, el ciberdelincuente genera un punto de acceso de Wi Fi falso pero como si fuese legítimo y una vez que la víctima intenta valerse del mismo, el ciberdelincuente puede acceder a la base de datos. Es muy frecuente en hoteles, shopping centers o negocios.

Phishing de Voz o por llamada (Vishing).

Este tipo de phishing se practica mediante una llamada telefónica. El delincuente llama e induce a su víctima para obtener sus datos bancarios o similares.

El atacante pretende ser otra persona (alguien del banco donde uno tiene la cuenta, una entidad de gobierno, etc.) y solicita o reclama impuestos, o pide información sobre tu tarjeta de crédito aduciendo que tiene actividades sospechosas y “deben darla de baja” (por ello piden tus datos), etc.

Este mecanismo suele ir complementado por alguna operación realizada mediante alguna plataforma (uno de buena fe ofrece algo a la venta, se contacta un interesado, intenta hacer la transferencia pero “se complica” y ahí llama alguien, haciendo se pasar por personal de la aplicación o del banco). Para neutrualizar el ataque es suficiente con cortar la llamada.

En resumen, si bien la información para estar prevenidos es accesible, es cierto que implica un compromiso del usuario a estar actualizado en este tipo de técnicas de estafas. El avance tecnológico otorga beneficios no solo a los usuarios, sino que los delincuentes también se aprovechan de él.