00

En la temporada de cuarentena los delitos informáticos han sido los de mayor crecimiento. Foto: Unimedios.

Plataformas como LinkedIn están siendo usadas como medio, teniendo en cuenta la información laboral y personal expuesta allí. Foto: presentación Alejo Vargas.

El phishing se valida y nutre con información suministrada por los mismos usuarios en las redes sociales. Foto: Unimedios.

Los victimarios también realizan ingeniería social, es decir métodos de rastreo de personas en internet. Foto: Unimedios.

Se sugiere concientizar e informar a los adultos mayores para que no sean presa fácil de este delito. Foto: Unimedios.

Tales recomendaciones fueron dadas por Henry Zárate, doctor en Ingeniería y docente de la Facultad de Ingeniería de la Universidad Nacional de Colombia (UNAL), quien indicó que la suplantación en internet combina varios frentes de ataque: aprovecha el contexto de teletrabajo, explota las vulnerabilidades del internet, los softwares maliciosos y la información de las redes sociales.

El phishing se presenta cuando las víctimas son contactadas por e-mail, teléfono o mensajes de texto (a través de enlaces susceptibles o estratégicos), por alguien que se hace pasar por una institución legítima para atraer a las personas a proporcionar datos como información personal, detalles de sus tarjetas de crédito, bancos y contraseñas.

Aunque los sistemas antivirus funcionan siempre y cuando se descarguen desde las URL oficiales, no tienen todas las herramientas para mitigar los diferentes ataques, advirtió el académico durante la charla “Pescando en río revuelto: pandemia de phishing”, organizada por la Iniciativa 4.0 de la UNAL.

Por otro lado, las instituciones involucradas solo responden cuando la vulnerabilidad es su responsabilidad o es una falla demostrada; como en la mayoría de los casos no responden, ya que no tienen responsabilidad directa, es importante que el usuario conozca el delito y sus modalidades.

Delito en aumento

El nombre dado a este delito realiza una analogía con la palabra en inglés fishing (pescar). Es uno de los delitos que más ha crecido durante la pandemia: 131 % en los primeros meses del año; hasta el momento la Policía ha detectado 195 sitios web de estafadores, según el doctor Zárate.

En Colombia, en los últimos seis meses las modalidades han crecido de esta manera: 80 % correos fraudulentos personalizados; 60 % suplantación de identidad; 53 % enmascaramiento de correos; 37 % infección de sitios frecuentemente visitados por empleados.

Como medidas generales se recomienda cambiar contraseñas frecuentemente, analizar el dispositivo, informar a conocidos y familiares, informar a la compañía involucrada y denunciar en el centro cibernético de la Policía Nacional.

“Aunque es bastante complejo rastrear a los culpables ya que ellos utilizan software que cifra la información, sí se puede denunciar para que tanto la Policía como la Fiscalía traten de localizar a los atacantes”, explica el doctor Zárate. 

Cómo identificarlo

Una de las formas más comunes de realizar los actos es a través del correo electrónico que envía el atacante con información de solicitudes falsas o con archivos adjuntos; en este momento ya cuenta con algunos datos de sus víctimas u objetivos, obtenidos a través de técnicas de ingeniería social.

Generalmente la víctima se dirige a un sitio que ha sido creado con anterioridad para realizar allí transacciones de dinero físico o bitcoin. Otra modalidad en auge es el ataque a empresas a través del WhatsApp de los decisores.

Es posible identificar el remitente, verificar el dominio (lo que va después de @), revisar enlaces y adjuntos, y verificar la gramática y tono del cuerpo del correo, con el fin de determinar intenciones adicionales.

También es sencillo revisar y validar las URL (sitio web), verificar algunos logotipos con su versión más reciente, aunque no siempre son un buen indicador, ya que son fácilmente reemplazados.

Primeros nodos del phishing 

En 1978 tuvo lugar el primer correo masivo a 397 usuarios, en 1988 se declaró el e-mail como una amenaza de seguridad informática, y en 1996 aparece el término phishing, cuando intentaron “pescar” cuentas de usuarios de AOL, compañía pionera en proveer internet que luego fue vendida a Verizon.

“Más recientemente, en 2016 se utilizó durante la campaña presidencial de Hilary Clinton; en 2018, con el cambio de contraseña de Booking; durante 2019 se registraron 4,7 billones de correos phishing”, explica Alejo Vargas, estudiante de Ingeniería de Sistemas, quien durante su carrera ha trabajado en concientizar sobre ciberseguridad.

Algunas de las técnicas más comunes de este delito son: spear phishing, un ataque dirigido a empresas o dependencias; e-mail o spam; manipulación de enlaces, con el reemplazo de caracteres similares; el vishing, en llamadas telefónicas; smishing, con mensajes de texto y el malware, un software malicioso.

El test phishingquiz.withgoogle.com, compartido por los invitados al conversatorio, permite detectar cuándo lo están engañando.