El aumento del phishing refleja que la educación sobre ciberseguridad es urgente

El phishing ha aumentado producto de la digitalización que trajo la pandemia. Mientras que no ha mejorado la capacidad de las personas para detectar este ataque informático.

Se trata de un delito digital en el que un cibercriminal, a través de correos electrónicos, mensajes de texto, redes sociales o mediante una llamada de voz, 'suplanta alguna organización o personalidad con el objetivo de manipular a la víctima', para que esta le entregue datos personales (identificativos o financieros), explica Martina López, investigadora de Seguridad Informática de ESET Latinoamérica.

Esto lo logran al convencer a un usuario, con una situación de preocupación ('tu cuenta en Netflix se cerrará', por ejemplo) como de alegría (ofreciéndole una oferta o regalo) para que 'ingrese a un sitio dudoso, entregue una contraseña u otros datos, o descargue un archivo malicioso' con el fin de robar dinero, revender una cuenta, suplantar la identidad, extorsionar a un usuario a partir de información que obtuvieron, entre otros, precisa la especialista.

'En Chile, en lo que llevamos de 2023, hay entre 18.000 y 20.000 detecciones de correos electrónicos maliciosos por semana, un número bastante alto', precisa López, quien atribuye las cifras a que 'los canales de comunicación, que antes se daban en persona, ahora ocurren de manera virtual', aumentando las oportunidades para los atacantes.

Ataques más sofisticados

El reporte anual de Nivel4 —empresa de ciberseguridad nacional—, basado en campañas de phishing simuladas hechas en diferentes industrias en 2022, revela que entre 8.094 personas: el 56% no abre el correo malicioso, pero el 44% sí. Entre los que abren el correo, el 8,1% hace clic en el link y el 3,6% ingresa datos o descarga archivos.

Estas últimas cifras podrían parecer porcentajes menores, pero Fernando Lagos, CEO de Nivel4, explica que 'basta que de 10.000 envíos cinco personas abran el correo, hagan clic en el link, le den información, y el cibercriminal se da por pagado'.
Coincide Jorge Castañeda, gerente del Centro de Excelencia de Ciberseguridad de Gtd, recordando que 'la acción del ciberdelincuente es diaria. Sus víctimas son de 2 a 3 personas al día, a quienes les roban, en promedio, entre US$ 300 y US$ 500 aproximadamente; estamos hablando de U$12.000 en promedio al mes'.

Por ende, enfatiza que 'las cifras del estudio son preocupantes, ya que reflejan una falta de concientización entre nuestra población'.

Lagos agrega que en sus estudios anuales 'se mantiene la cantidad de gente que cae en el engaño', en parte, porque estos ataques se han vuelto más sofisticados, como también por la rotación del personal de las empresas: los nuevos empleados que ingresan y no han sido educados sobre ciberseguridad vuelven a caer.

Lo anterior alerta sobre la necesidad de educar a la población, responsabilidad compartida que los entrevistados atribuyen al Estado y a empresas privadas. Pero también, agrega López, debería ser parte de la educación digital de menores, tanto de las instituciones como sus cuidadores. Sobre todo, dice, ya que 'suele ser de los ataques informáticos más frecuentes, sino el más usual, para el usuario común'.

En esa línea, cabe destacar que abrir el correo no suele significar un riesgo, pero ingresar a los enlaces maliciosos sí. 'Aunque no hayamos dado nuestra información y los navegadores eviten que se descargue un archivo automáticamente, esto igual podría ocurrir, por ejemplo, por un clic desafortunado', advierte López.

Por ello, Lagos sugiere prestar atención al remitente del mensaje, 'si viene del correo de la empresa o desde un Gmail o Hotmail', como si es de una organización en la que se tiene una cuenta o no. Como también fijarse en el texto: 'En los phishing masivos usan un lenguaje que no corresponde al nacional o viene traducido de una forma que se nota con errores', puntualiza.

Otra técnica es mirar con atención 'la urgencia del mensaje, es decir, la prontitud con la que debes de responder', porque suelen ser urgentes, añade Castañeda. Si ya se ingresó al enlace, recomienda 'verificar que el dominio coincida con el sitio oficial por el que se hacen pasar; por ejemplo, el banco'. Finalmente, destaca que si uno es víctima, 'hay que recurrir a las autoridades competentes, ya sea Carabineros o PDI, para denunciar el cibercrimen'.