EnglishPortugueseSpanish

Ya somos 7,6 millones de personas en el mundo. Solo en Internet, hay 4,4 millones de ellos, es decir, casi el 58% de la población del planeta está en línea. Por lo tanto, en los últimos años, se ha producido una explosión en el número de usuarios de teléfonos inteligentes, computadoras y tabletas.

En las redes sociales, ya hay 3,5 mil millones de usuarios activos y, de los 3,8 mil millones de teléfonos inteligentes en uso, 3,2 mil millones acceden a aplicaciones sociales con frecuencia. Así, cada vez hay más dispositivos conectados y la producción de datos por segundo se ha incrementado considerablemente.

publicidad

Estas nuevas tecnologías conducen a modelos de negocio innovadores, en los que la información puede ser lo que realmente marca la diferencia. Dado que el volumen de datos producidos en el universo digital se duplica cada año, las estimaciones de Consultoría IDC indican que se espera que alcance los 44 billones de GB (44 ZB) en 2020.

En medio de todas estas transformaciones, es común que haya mucha preocupación por proteger las computadoras, pero que otros dispositivos sigan siendo inseguros. Además, los nuevos formatos de trabajo, como home office y trae tu propio dispositivo (Bring Your Own Device - BYOD), insertan equipos domésticos en contextos corporativos.

Esto significa que hay más puertas de invasión, cada vez más información en circulación y, en consecuencia, un aumento de los riesgos cibernéticos. Las cifras son enormes: una encuesta de Accenture muestra que el costo promedio de cada delito digital por empresa fue, en 2018, de 13 millones de dólares.

Además, Symantec señala que todos los días se bloquean 24 aplicaciones móviles maliciosas. Para colmo, según Varonis, se espera que los daños relacionados con el ciberdelito alcance los 6 billones de dólares al año en 2021.

Pero, ¿qué pasa con el phishing?

Este es un escenario muy propicio para el phishing; no es de extrañar, se encuentra entre las principales amenazas para la ciberseguridad. Es a través de él que los ciberdelincuentes obtienen información personal de los usuarios, como número de tarjeta de crédito, contraseñas, número de seguro social y similares.

Reproducción

Sus ataques son prácticamente ubicuos, es decir, no se limitan a unos pocos canales. Según Cyxtera, que realiza la detección y prevención del fraude electrónico, alrededor del 90% de los ataques comienzan con acciones que utilizan esta técnica.

El phishing a menudo es creado por estafadores que identifican vulnerabilidades en un sistema u obtienen acceso a él con credenciales robadas. Un mecanismo muy común es el uso de dominios similares (réplicas casi idénticas de un sitio web con una URL similar) y correos electrónicos a clientes de la organización cuya página ha sido clonada.

La acción más conocida son las campañas de correo electrónico. Los destinatarios de los mensajes falsos, ya sean grandes redes de usuarios o personas específicas, reciben comunicaciones que parecen reales y luego se dirigen a sitios web ilegítimos. Y muchos no tienen las herramientas para reconocer estas amenazas.

Reproducción

Sitio web del Real Santander: la URL utiliza HTTPS (un estándar seguro) y certificado SSL, representado por un candado verde en la barra del navegador


Reproducción 

Sitio falso de Santander: no hay HTTPS ni candado en la barra del navegador, lo que indica que el sitio no es de confianza

Una forma especializada de phishing es el compromiso de los correos electrónicos corporativos (Business Email Compromise - BEC). En este caso, se utilizan mensajes muy detallados para hacerse pasar por ejecutivos de alto nivel o empleados del sector financiero de las organizaciones y así tener acceso a información confidencial o solicitar transferencias de dinero.

Desde 2013, las pérdidas con BEC han totalizado más de $ 12 mil millones. Y, dado que quienes están detrás de los correos electrónicos corporativos son personas comunes, las posibilidades de éxito de este tipo de fraude son igualmente altas cuando las empresas no tienen políticas para restringir el progreso de estas actividades.

Pero no se detiene ahí: el phishing puede venir de otras formas. Además de llegar a los correos electrónicos, los ataques se envían a cualquier punto de contacto con el usuario; pueden ser aplicaciones maliciosas, perfiles falsos de redes sociales, SMS y otros.

La rápida popularidad de los teléfonos inteligentes ha convertido a las tiendas de aplicaciones (en su mayoría no oficiales, pero en algunos casos incluso oficiales) en un importante vector de ataques de phishing dirigidos. Se utilizan aplicaciones falsas que imitan a los agentes para atraer a los usuarios y conseguir que proporcionen información confidencial y datos de acceso.

Otra fuente importante de ataques de phishing son los perfiles falsos de redes sociales. Los delincuentes que utilizan esta técnica crean cuentas falsas de apariencia real para engañar a las víctimas para que proporcionen información personal. 

Dy ¿de dónde viene el phishing?

La mayoría de estos correos electrónicos provienen de organizaciones legítimas, como agencias gubernamentales o bancos. En general, son mensajes que informan la necesidad de actualizar, validar o confirmar información.

Es común que señalen la aparición de problemas y ofrezcan un enlace directo a la solución. Cuando se hace clic, se dirige al usuario al sitio web falso y se le anima a proporcionar información personal, lo que puede conducir al robo de identidad.

Vale la pena, entonces, estar atento al recibir mensajes que soliciten confirmación de datos por correo electrónico o que contengan enlaces directos a sitios web. Por tanto, siempre que tenga dudas sobre la legitimidad de una comunicación, póngase en contacto con la institución remitente.

A diferencia de otras plagas virtuales, el phishing no se puede eliminar; después de todo, no hay nada instalado previamente en la computadora. Por otro lado, es posible prevenir y evitar ser engañado por él. Para eso:

  • no haga clic en enlaces que lleguen en correos electrónicos no solicitados (o que estén en Facebook);
  • no abra archivos adjuntos de correo electrónico si no está seguro de su procedencia;
  • proteger sus contraseñas y no revelarlas a nadie;
  • no proporcione información confidencial por teléfono o correo electrónico;
  • verifique la dirección de los sitios que visita: a menudo, el correo electrónico parece legítimo, pero la URL puede tener un error tipográfico o un dominio diferente;
  • mantenga su navegador actualizado.

¿Existen otras formas de phishing?

Sí. Uno de los más populares es el secuestro de DNS. Solo este año, el Avast bloqueó más de 4,6 millones de intentos de falsificación de solicitudes entre sitios (Falsificación de solicitudes entre sitios - CSRF) en Brasil. Estos ataques le permiten modificar la configuración de DNS de un sitio web y luego ejecutar phishing y minería de criptomonedas.

Es común que este tipo de acción se inicie cuando el usuario visita un sitio web comprometido por publicidad maliciosa (conocida como publicidad maliciosa). En Brasil, la publicidad maliciosa se encuentra a menudo en sitios de contenido para adultos, películas ilegales y deportes.

Tan pronto como visita el sitio web comprometido, se dirige a la víctima a una página donde se ha instalado un kit de explotación del enrutador. Entonces, automáticamente, un ataque al dispositivo comienza en segundo plano, y a menudo tiene éxito, ya que la mayoría de los enrutadores tienen contraseñas débiles.

En primer lugar, intentamos encontrar la IP del equipo en la red. Luego, se intentan varias contraseñas triviales. Algunas de las credenciales que intentan utilizar los kits de exploración son:

  • admin: admin;
  • admin:;
  • admin: 12345;
  • Administración: 123456;
  • admin: gvt12345;
  • clave de administrador;
  • admin: vivo12345;
  • root: root;
  • super: super.

Una vez secuestrado, el enrutador está configurado para usar servidores DNS falsos y así dirigir al usuario a páginas falsas que parecen auténticas. Uno de los sitios que recientemente se hizo popular entre los secuestradores de DNS fue Netflix. Según Avast, los siete sitios secuestrados con más frecuencia en Brasil son:

  • Santander (24%);
  • Bradesco (19%);
  • Banco do Brasil (13%);
  • Itaú BBA (13%);
  • Netflix (11%);
  • Efectivo (10%);
  • Serasa Experian (10%).

Estas instituciones son el objetivo porque son muy populares. Al mismo tiempo, dado que los sitios de phishing están fuera de su dominio, pueden hacer poco para proteger a los clientes, aparte de alertarlos.

¿Qué importancia tiene la ciberseguridad?

Ahí es donde entra en juego la ciberseguridad. Garantiza la protección de sistemas, redes y programas contra intrusiones que buscan acceder, modificar o destruir información, extorsionar a personas o empresas e interrumpir procesos y sistemas operativos. Por tanto, es fundamental comprender y respetar los estándares básicos de seguridad digital.

Esto incluye copias de seguridad, actualizaciones de contraseñas, cuidado de la navegación, etc. Una de las medidas más básicas (y que se puede adoptar en cualquier entorno) es, al visitar el banco o la web de Netflix, por ejemplo, comprobar si la página tiene un certificado válido, que aparece en forma de candado en la barra del navegador. Además, vale la pena actualizar el enrutador con frecuencia y configurar las credenciales con una contraseña segura.

En las empresas, esta mentalidad debe involucrar a todas las áreas, no solo a la seguridad. Por tanto, deben tener procesos y conductas bien definidos: desde la navegación web hasta el acceso a información sensible y bases de datos.

Al mismo tiempo, es necesario establecer reglas a seguir en casos de amenazas a la seguridad digital. Por lo tanto, si hay algún intento de ataque, se sabe qué acciones tomar y por qué. En otras palabras, la ciberseguridad va mucho más allá de los cortafuegos y antivirus: implica el gobierno de la empresa. Las personas, los procesos y la tecnología deben ser complementarios.

Los ciberdelincuentes saben que las organizaciones utilizan estrategias para prevenir el phishing y otros ataques y, por lo tanto, adaptan constantemente las tácticas que utilizan para eludir estos mecanismos. En el entorno corporativo, es fundamental tener una visibilidad total de los ataques para evitar que avancen hasta el punto de causar daños irreversibles antes de ser detectados. Si se detecta en una etapa temprana, hay más posibilidades de evitar consecuencias negativas.