“Hola, soy el príncipe de Nigeria. Tengo una fortuna de…” Así partía uno de los mails de estafa más famosos de la historia de internet y que tenía como objeto que algún incauto enviara el dinero que pedía este supuesto miembro de la realeza africana. Todo era falso.
En 2020 y debido a la pandemia, la cantidad de ataques de phishing creció un 400%, según datos del FBI y varias empresas de seguridad. Este tipo de amenazas consiste en engañar a las personas para robarles sus datos privados o conseguir acceso a su computador o red de trabajo.
Esta semana, un caso de engaño apareció en el primer lugar de Google: al buscar «banco chile», aparecía un sitio que simulaba a la perfección el original. La dirección era otra y no tenía el candadito en el navegador que garantiza una conexión segura.
«Cuando tomamos conocimiento de que existe algún anuncio que incumple nuestras políticas, actuamos rápidamente”, dice Alejandra Bonati, de Google Chile, que ya eliminó el engaño de sus resultados. Durante 2020, la empresa bloqueó unos 3.100 millones de anuncios por infringir sus políticas.
¿Cómo ha cambiado el phishing?
Una respuesta la entrega Saúl Ortega, académico de la Escuela de Ingeniería en Computación e Informática U. Mayor. «Se ha vuelto más sofisticado en cuanto a las herramientas que se usan. El phishing se empezó a parecer con estafas, por ejemplo telefónicas, donde trataban de suplantar a mi banco o a mi jefe para sacar información o datos “, plantea Ortega.
Andrés Peñailillo, oficial de Seguridad de la Información en la Universidad de Chile, complementa. «La evolución del phishing ha sido tan rápida como la conectividad. A mayor cantidad de dispositivos conectados, mayor es el público propenso a caer en este ataque de ingeniería social. Estos ataques seguirán siendo una forma muy efectiva de ataque, ya que ataca un punto muy débil como es las emociones de los seres humanos, con correos muy tentadores o preocupantes».
La semana pasada se conoció una masiva filtración de datos de Facebook y LinkedIn, la que puede «ayudar» al engaño. Ortega afirma que «un phishing se vuelve más efectivo si hay más datos. El caso del príncipe nigeriano era muy genérico y no tenía ninguna información, pero si los atacantes saben tu número de cuenta, correo y teléfono, es diferente. La persona no va a desconfiar y tiene más posibilidades al acceder al sitio falso«.
Teletrabajo y consejos
En los ataques de ransomware, el phishing fue uno de los elementos clave. “El ataque por ransomware no es un sólo ‘virus’, sino que son diferentes herramientas que van colaborando. La primera entrada que hace es a través de phishing, para tener acceso a los sistemas. En el teletrabajo, a lo mejor en mi casa trabajo con una VPN, pero no tengo el firewall ni otras defensas. Si caigo en el phishing, el malware puede activarse cuando esté en la red que se quiere atacar”, responde Ortega.
Por último, Peñailillo recomienda cómo evitar caer en esta ciberamenaza. «La mejor estrategia es no actuar impulsivamente ni acceder a enlaces o entregar información confidencial. La recomendación es siempre confirmar con el remitente del correo la veracidad de éste y desconfiar de los correos o mensajes tentadores o que obligan a realizar una acción».
«También es importante confirmar y no ingresar a enlaces directamente desde un correo, sino más bien ingresar al sitio web oficial o bien consultar directamente con la empresa para comprobar la veracidad», remata Peñailillo.