‘Phishing’, el fraude electrónico silencioso: cuando un clic puede costarte todos tus ahorros

Carlos, un trabajador de 35 años, recibió un correo supuestamente enviado por su banco, que le alertaba sobre un intento de acceso sospechoso a su cuenta y pidiéndole ingresar a un enlace para verificar su identidad. A primera vista, el mensaje parecía legítimo, con el logo del banco, un diseño similar al oficial y un tono formal en el texto, pero al revisar con atención, notó que la dirección del remitente no coincidía con la oficial y que el enlace tenía un dominio sospechoso. Por esa razón, evitó ingresar a este mensaje y se salvó, pues por poco y cae en un intento de phishing.

Esta técnica de fraude electrónico tiene como objetivo inducir a una persona a entregar voluntariamente información sensible, según explica Erick Iriarte, abogado experto en legislación informática. “Busca aparentar una realidad para que el usuario entregue su información de forma engañosa. Así, los delincuentes utilizan estos datos para suplantar identidades o cometer fraudes patrimoniales”, detalla en conversación con Infobae Perú.

El especialista agrega que este tipo de ataques suele comenzar con correos o mensajes aparentemente enviados por entidades legítimas, como bancos o empresas conocidas. En ese sentido, explica que los mensajes suelen incluir frases como “hemos detectado un problema en su cuenta” y redirigen a una página falsa que replica a la original, para luego solicitar información sensible.

”Uno de los indicios principales del phishing es que te solicitan datos que la entidad legítima ya poseería, como tu número de tarjeta de crédito, DNI o clave personal. Esto nunca debería suceder”, señala.

El peligro no solo se limita a las pérdidas económicas; los atacantes pueden usar la información para acceder a servicios digitales o realizar compras ilícitas. Por eso, este experto subraya la importancia de desconfiar de cualquier solicitud de información hecha a través de canales no oficiales.

Durante la Cyber Security Week 2024, Fabio Assolini, director del Equipo Global de Investigación y Análisis para América Latina de Kaspersky, reveló que en la región se registraron más de 697 millones de ataques de phishing en un año, lo que equivale a 2 millones de intrusiones diarios, según reporta Andina.

Al respecto, en Perú, se reportaron cerca de 91 millones de incidencias, lo que representa un aumento del 360 % respecto al periodo anterior. Con este dato, se conviernete en el segundo país con más ataques de phishing en Latinoamérica y solo es superado por Bolivia.

Assolini atribuye este incremento a la falta de educación en ciberseguridad y a eventos como el retiro de las AFP, que han sido aprovechados por ciberdelincuentes, como ocurrió anteriormente en Brasil y Chile.

El ingeniero Jimmy Armas, director de la maestría en Ciberseguridad de la UPC, explica a Infobae Perú sobre las técnicas delictivas más comunes:

• Smishing: Mensajes de texto fraudulentos que redirigen a enlaces maliciosos.
• Vishing: Llamadas telefónicas donde se utiliza inteligencia artificial para simular la voz de personas conocidas.
• Spear phishing: Ataques personalizados hacia objetivos específicos mediante información obtenida en redes sociales.
• Fraude por enlaces maliciosos: Sitios web falsos que descargan malware o solicitan datos sensibles.

Armas también detalla cuáles son los sectores especialmente vulnerables, como el financiero, educativo y de salud. “Estas instituciones manejan data sensible que las hace atractivas para los atacantes. Mientras que el sector financiero cuenta con regulaciones más estrictas, los niveles de ciberseguridad en los sectores educativo y de salud aún necesitan mejorarse”, asegura.

En cuanto a las posibles soluciones, tanto a nivel personal como empresarial, Armas recomienda adoptar medidas como la autenticación de dos factores, el uso de contraseñas seguras y evitar confiar en enlaces o correos sospechosos. Asimismo, sugiere implementar marcos de ciberseguridad y actualizar continuamente los sistemas en las empresas.

Por su parte, Elvis Rivera, gerente de Ingeniería de Sistemas para Fortinet Perú, explica que los atacantes de phishing siguen un proceso estructurado. Primero, recopilan datos de sus víctimas a través de redes sociales al analizar sus hábitos y lugares frecuentes.

“Una vez recopilada suficiente información, los atacantes pasan a la fase de envío. En este punto, aplican técnicas de personificación, es decir, suplantan la identidad de una empresa, institución o lugar que la víctima frecuenta. Luego, diseñan un mensaje convincente, como una invitación, promoción o notificación falsa, que despierte el interés de la persona”, menciona.

Armas precisa que “muchas víctimas caen en este tipo de engaños porque realmente creen estar interactuando con una entidad legítima. Sin darse cuenta, acceden al contenido malicioso y, poco a poco, van entregando información personal hasta que finalmente descubren que han sido víctimas de una estafa”.

Con respecto al daño a las organizaciones, Iriarte menciona que las compañías del sistema financiero son las que más invierten en ciberseguridad, pero el phishing pone el mayor riesgo en los usuarios. “No son las empresas las que están directamente vulnerables, sino los individuos quienes, al caer en el engaño, permiten el uso indebido de sus datos”.

Elvis Rivera menciona a este medio que el número de intentos de este tipo de fraude electrónico ha crecido exponencialmente. “Es uno de los principales vectores de ataque. Los delincuentes avanzan constantemente en la sofisticación de sus técnicas, incrementando el número de víctimas”, enfatiza.

Él detalla que muchas organizaciones enfrentan este desafío a través de tres pilares clave: educación continua, protocolos claros de acción y tecnología avanzada. “La capacitación de todos los niveles de la organización es fundamental para reducir los riesgos”, señala.

Además, subraya la importancia del uso de la inteligencia artificial en sistemas de seguridad, lo que permite detectar y prevenir intentos de fraude antes de que afecten a las personas.

Aunque, resalta que esta tecnología también juega un papel crucial en la evolución de este fraude electrónico “Los atacantes están utilizando la IA para crear campañas de phishing personalizadas y rápidas y así, reducen el tiempo de preparación y distribución de los mensajes maliciosos”, señala.

En cuanto al marco legal, Iriarte detalla que Perú cuenta con la Ley de Delitos Informáticos, sin embargo, advierte que hay desafíos importantes. “Aunque tenemos una legislación específica, la falta de personal especializado y de juzgados dedicados a cibercrimen limita la resolución efectiva de estos casos”.

El experto sugiere reforzar las medidas legales, incluyendo la creación de juzgados especializados y la adhesión a protocolos internacionales adicionales. “El Convenio de Budapest es un buen paso, pero aún quedan temas pendientes por firmar. Además, se necesita capacitar más personal en la División de Delitos de Alta Tecnología”.

Además, Iriarte subraya la relevancia de la educación en ciberseguridad desde las edades tempranas como medida preventiva: “Desde las escuelas, los niños deberían aprender sobre seguridad digital. Es clave para limitar esta problemática en el futuro”.

En el contexto personal, los tres expertos coinciden en la importancia de la prevención y la educación. Entre las recomendaciones prácticas destacan:

• Evitar compartir información sensible a través de correos o mensajes no solicitados.
• Es importante verificar la autenticidad de las páginas web antes de ingresar datos personales.
• Activar la autenticación de dos factores para reforzar la seguridad de las cuentas.
• No se deben descargar aplicaciones de origen dudoso.
• Se aconseja evitar abrir archivos adjuntos provenientes de fuentes desconocidas.
• Mantener el software y el antivirus actualizados en todos los dispositivos tecnológicos.
• Utilizar contraseñas seguras y cambiarlas de forma periódica.

Armas refuerza que la instrucción continua acerca de delitos informáticos es clave para prevenir este tipo de delitos. “Aunque hemos avanzado, aún hay quienes desconocen que un banco jamás pedirá datos personales por enlaces de correos no solicitados”, especifica.

Por su parte, Elvis Rivera añade que desconfiar de ofertas que parecen demasiado buenas para ser reales es un buen punto de partida para evitar caer en manos de ciberdelincuentes.

De la misma forma, el ingeniero de sistemas para Fornite especifica que toda organización “puede contribuir con educación continua sobre los fundamentos de ciberseguridad, de manera que incluso personas sin conocimientos técnicos puedan comprender estos principios básicos y disminuir el riesgo de ser víctimas de un ataque”.

“Por ejemplo, si recibes un correo supuestamente de tu banco, ya muchos saben que este nunca solicitará una contraseña ni invitará a ingresar a un portal a través de un mensaje. Y si alguien aún no lo sabe, la educación constante le permitirá recordarlo y protegerse mejor”, especificó.

En ese contexto, los expertos recalcan que, mediante la aplicación de medidas preventivas y el mantenimiento de un estado de alerta constante, las personas pueden reducir de forma significativa el riesgo de caer en engaños cibernéticos.

El Ministerio del Interior recomienda seguir estos pasos para los usuarios que sean víctimas de pshishing:

• Conserva pruebas: guarda capturas de pantalla, correos y mensajes que puedan servir para la investigación.
• Informa a la entidad afectada: comunícate con la institución suplantada para alertar sobre el fraude.
• Refuerza tu seguridad: cambia las contraseñas de las cuentas comprometidas.
• Denuncia el incidente: llama al 942439245 o acude a la Dirección de Investigación de Ciberdelincuencia de la PNP.