La forma más común en la que los ciberdelincuentes logran que sus víctimas caigan en la trampa es, enviando un mensaje de correo electrónico o un mensaje de texto suplantando la identidad, en este caso, del banco en donde el cuentahabiente tiene depositado su dinero.
Cuando la víctima abre el correo electrónico o el mensaje de texto, normalmente encontrará un mensaje pensado para alarmarle, que le exige que vaya a un sitio web y actúe de inmediato para no tener alguna consecuencia. Esto implica entrar a su cuenta ingresando sus credenciales.
Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo, en donde debe ingresar su usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, quien la puede utilizar para, no solo, saquear cuentas bancarias, sino también para robar identidades, vender información personal en el mercado negro, secuestrar información, entre otras ilegalidades.
Así lo explicó Pablo Barrera, experto en ciberseguridad en ES Consulting y aliado de la Escuela Bancaria de Guatemala, quien además indicó que el phishing es una de las principales fuentes de fraude informático.
“El problema en estos casos es que, sobre las amenazas no hay control, y las organizaciones bancarias hacen grandes esfuerzos colocando cada vez más blindaje para que sea más difícil ingresar o extraer fondos; pero este ataque está dirigido hacia los usuarios, no hacia las infraestructura de los bancos“, comentó haciendo conciencia que es importante que las personas se informen.
“Incremento gigantesco”
De acuerdo con Barrera, a raíz de la pandemia, el phishing aumento hasta 400% desde la pandemia, porque las personas se volcaron hacia la utilización de la tecnología para hacer transferencias, evitando así usar dinero físico para reducir los contagios. Por lo que, en este contexto, se aceleró este tipo de soluciones, sin embargo, “los criminales están dónde el usuario está y a esto atribuimos el aumento”, agregó.
El experto compartió que el equipo de respuesta a incidentes de la empresa de ciberseguridad para la que labora, en lo que va del año, ha dado de baja más de 4 mil sitios fraudulentos.
¿Cómo se lleva a cabo un ataque de phishing?
De acuerdo con información de un artículo publicado en Visión Financiera de la Superintendencia de Bancos (SIB), en su sección de tecnología, escrito por Sandra Lemus, ingeniera en Ciencias y Sistemas y master en Auditoría de Tecnología de Información, los pasos para llevar a cabo un ataque de phishing son los siguientes:
Identificación del objetivo:
- El atacante identifica el objetivo del ataque y obtiene información general de la víctima
- Crea el mecanismo o medio para el engaño a través de suplantación de identidad
Perpetuación del engaño:
- El atacante envía el medio de engaño a la víctima (correo electrónico, mensaje de texto, página de internet, u otro).
La víctima cae en el engaño y el atacante obtiene información confidencial:
- La víctima recibe el mensaje (mecanismo de engaño) y “cae” brindando información confidencial al atacante (números de cuenta, nombre de usuario, contraseña, números de tarjetas, u otros).
Utilización anómala de la información obtenida:
- El atacante recibe la información y la utiliza para su beneficio, materializando la estafa (robo a través de transferencias ilícitas o compras ilegales, lavado de dinero, u otros).
Cómo evitar estafas por phishing
Para empresas
- Mantener activos los mecanismos de control ante este tipo de amenazas
- Capacitar constantemente al personal involucrado, en este tipo de temas y sus modalidades
Para usuarios individuales
- Es importante desconfiar de todo correo que llegue sin solicitar información y nunca dar clic en un link adjunto, sin antes verificar con el banco
- Validar la página de la banca en línea antes de ingresar usuario y contraseña, proviniendo de un correo o mensaje de texto, aunque este no le cause desconfianza
- Activar todos los controles de prevención que los bancos proveen para evitar ser víctimas de este ataque
- Mantener los equipos actualizados, porque el phishing también busca infectar a la computadora o el dispositivo móvil para extraer información o secuestrar datos
- Contar con una herramienta robusta de protección
Al percatarse que fue víctima
PASO 1:
Notificar al banco y pedir reinicio de credenciales
PASO 2:
Verificar si la computadora o el dispositivo móvil está o no, infectado con el virus que extrae los datos.
