El phishing es un término muy conocido en el mundo de la informática. Se trata de un método para engañar a un usuario digital y hacer que comparta contraseñas, números de tarjeta de crédito u otra información confidencial. La amenaza surge a partir de simular ser una institución de confianza (habitualmente una empresa internacional conocida). Se contactan a través de distintos medios de comunicación, pero el más usado de todos está siendo últimamente el correo electrónico.
Estas estafas no están solamente extendidas a usuarios particulares, sino también contra las empresas. Recientemente, el Grupo Pepco dio a conocer que su filial húngara fue víctima de un sofisticado ataque de phishing, perdiendo aproximadamente 15 millones de euros en efectivo.
En la misma línea, según un informe de CISA, la agencia del gobierno estadounidense encargada de la ciberseguridad, el 84% de los empleados caen en la trampa de recibir un correo estafa y responden con información sensible o hacen clic en un enlace o archivo adjunto falso, usualmente un PDF.
Los incidentes particulares y las estadísticas en general ponen de manifiesto la creciente amenaza que supone este recurrente ciberdelito, subrayando la necesidad de reforzar las defensas de ciberseguridad tanto en empresas como en dispositivos móviles particulares.
El phishing y su modus operandi
Los correos electrónicos fraudulentos a menudo imitan comunicaciones legítimas de fuentes fiables, como compañeros, socios comerciales u organizaciones reputadas. Suelen emplear tácticas como suplantación de direcciones de envío o replicación de la marca corporativa.
“Envían un sitio web para que la persona entre e ingrese los datos que le solicitan. El sitio es falso y una vez ingresados los datos, el hacker ya tiene acceso a sus contraseñas y puede manipular sus cuentas o lo que haya conseguido con esta técnica” , explica Sergio Marin, CEO de PAIP, una marca especializada en soluciones de ciberseguridad basada en software. Los recursos de última tecnología vuelven un verdadero desafío detectar y combatir tales amenazas.
Los remitentes también usan identidades de empresas reconocidas a nivel mundial. Entre las 5 principales figuran Microsoft, Google, LinkedIn, Apple y DHL, según un reciente informe de la firma especializada en ciberseguridad Check Point Technologies. En Argentina, marcas como Mercado Libre y su billetera virtual, Mercado Pago, son las más imitadas, buscando engañar a las personas y robar información personal o credenciales de pago.
“El éxito de los ataques de phishing radica en la explotación de las vulnerabilidades humanas. Los ciberdelincuentes aprovechan técnicas de manipulación psicológica, obligando a las víctimas a actuar impulsivamente sin evaluar completamente la legitimidad del correo electrónico”, advirtió un reciente informe al respecto la empresa de seguridad informática a nivel mundial Kaspersky.
Según Marin, el problema del phishing es que las personas siguen usando un método antiguo y poco práctico para el acceso a sus cuentas. El sistema de contraseñas aplicado a los correos electrónicos fue inventado en 1961 y todavía sigue siendo utilizado hoy, después de 63 años. “Se desarrollaron variantes y protecciones adicionales pero la base y la forma sigue siendo la misma”.
PAIP trabaja en desarrollar un sistema antiphishing de última generación con un sistema de códigos de acceso, reconocimiento facial y reconocimiento biométrico, con un sistema de ingreso único y exclusivo denominado “catchack”. Mientras tanto, en el contexto actual de extrema vulnerabilidad informática, es más que recomendable mantener la cautela frente a todo tipo de mensajes. A continuación, cinco pasos a seguir para no caer en la trampa del phishing.
- Si recibís un correo electrónico que solicita información personal o financiera, no responderlo. Las organizaciones que trabajan seriamente no solicitan información por este medio. Tampoco contactan telefónicamente, ni a través de mensajes SMS. Otra alternativa consiste en entrar a la página oficial de la organización, ingresando con la dirección web correspondiente en el navegador.
- Si llega a contestar o a hacer algún click, no vuelva a interactuar y revise sus resúmenes bancarios y de tarjeta de crédito. Si detecta cargos u operaciones no autorizadas, comuníquese de inmediato con la entidad emisora.
- Es importante no acceder desde lugares públicos. En la medida de lo posible, evite ingresar al sitio web de una entidad financiera o de comercio electrónico desde un cybercafé, locutorio u otro lugar público.
- Verificar los indicadores de seguridad del correo. Si resulta indispensable realizar un trámite o proveer información personal a una organización, escriba la dirección web usted mismo en el navegador y busque los indicadores de seguridad del sitio. Al hacerlo, deberá notar que la dirección web comienza con https://, donde la s indica que la transmisión de información es segura.
- Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente web y de correo electrónico.
Fuente Ambito