La masividad de la migración del trabajo a entornos remotos a causa de la expansión del virus covid-19, de la declaración de la pandemia por la Organización Mundial de la Salud (OMS) y del decreto de emergencia sanitaria que dispuso el aislamiento social, preventivo y obligatorio en Argentina a partir de marzo 2020, atrajo a una multiplicidad de ciberdelicuentes que vieron la oportunidad para atacar a diferentes individuos, empresas y organismos oficiales.
El phishing, un concepto informático que refiere a un conjunto de técnicas de la ingeniería social, fue uno de los ciberdelitos más denunciados durante la cuarentena dada la practicidad para los phishers, perpetradores de este delito, para actuar por las bajas medidas de prevención y normas de seguridad en algunos casos.
El término phishing proviene de la palabra inglesa “fishing”, o en español “pesca”, en una clara alusión a tirar un cebo y esperar a que las víctimas muerdan el anzuelo. En este sentido, los phishers envían un correo electrónico fraudulento, haciéndose pasar por una entidad oficial, con el objetivo de obtener información personal y confidencial del destinatario, que puede incluir datos de una cuenta bancaria hasta números claves de tarjetas de crédito, para luego ejercer una estafa online, suplantación de identidad y otros tipos de delitos.
Contexto de la ciberdelincuencia y el phishing durante la pandemia por COVID-19
El 2020 es y será un año histórico por haber sido azotado por la declaración de una nueva pandemia por la Organización Mundial de la Salud (OMS), ocasionada por el virus COVID-19. Los índices de contagios aumentaron rápidamente en los primeros meses de la aparición del virus, lo que trajo aparejadas incontables medidas en casi todos los países del mundo para frenar el avance de la enfermedad. En este sentido, una de las herramientas más difundidas fue la instalación de aislamientos sociales obligatorios – cuarentena –que permitieran controlar la libre circulación del virus, dando tiempo vital para el fortalecimiento de los sistemas de salud internacionales.
Debido a la cuarentena y a la limitación de reuniones sociales, los individuos se vieron obligados a permanecer en sus hogares y a realizar sus actividades laborales desde casa, con toda la vinculación tecnológica que implica con los entornos externos. Esto impulsó la conveniencia de los delincuentes para perpetrar ciberdelitos con mayor facilidad, agilidad y altos niveles de recaudación.
Según la Organización Internacional de Policía Criminal (INTERPOL, según sus siglas en inglés), la pandemia fue aprovechada por todo tipo de ciberdelincuentes para lanzar ataques masivos a individuos, empresas y organizaciones internacionales dado que los mecanismos de defensa en el ciberespacio quedaron relegados por la desviación de atención en la emergencia sanitaria.
“Las ciberamenazas cambian sin cesar, adaptándose a las conductas de los usuarios y las tendencias en línea para sacar partido de ellas. Los autores de estas actividades ilegales no han a dejar escapar la ocasión presentada por el brote de COVID-19”, sostiene la INTERPOL.
Variados estudios sostienen que los ciberdelitos se han cuadriplicado a nivel mundial en los primeros meses de la pandemia y el caso de la Argentina no es la excepción. Desde que se decretó el aislamiento social, preventivo y obligatorio allá por marzo 2020, hubo un aumento de casi cuatro veces con respecto al mismo período del año pasado.
Según un informe estadístico de la Asociación Argentina de Lucha Contra el Cibercrimen (AALCC), los cinco delitos más denunciados desde marzo 2020 a junio 2020 fueron:
- Ciberbullin;
- Fraude: phishing bancario, phishing con tarjeta de crédito, compras en portales no validados, compras a través redes sociales y compras / validaciones de datos telefónicas;
- Extorsión online: robo de contraseñas (hackeo o phishing previo), posterior a la práctica de Sexting (sextorsión), ransomware (encriptación por archivo malicioso) y posterior al robo de información;
- Phishing;
- Calumnias;
- Usurpación de identidad.
En concordancia con el mismo estudio de la AALCC, el 42,43% de los delitos tienen una finalidad económica (fraude, phishing, extorsión) pudiendo llegar a 54% si se considera el móvil del phishing como herramienta para cometer delitos con fines económicos. Esto quiere decir que el phishing crudo no solo se encuentra en cuarto lugar, sino que también es una técnica utilizada como medio para perpetrar otro tipo de delitos como el fraude, la extorsión online y la suplantación de identidad.
¿En qué consiste el proceso phishing que realizan los phishers? ¿Cómo detectarlo?
Los ataques phishing, como se mencionó anteriormente, fueron de los más denunciados durante el año 2020 y uno de los que mayores daños económicos traen aparejados para las víctimas.
El proceso phishing comienza con los ciberdelincuentes denominados phishers, los cuales suplantan la identidad de una persona, empresa u organismo oficial (generalmente bancos) para dar un tinte de veracidad a los mensajes fraudulentos que enviaran luego. Este robo de identidad implica la réplica de la identidad corporativa del organismo, creando mensajes o correos electrónicos que se visualizan idénticos a los oficiales, pero que esconden la estafa por detrás.
Una vez duplicada la identidad del organismo, los phishers envían el correo a los individuos solicitando datos personales y confidenciales con diferentes tipos de justificaciones para que el usuario realice una acción en beneficio del estafador. Los motivos fraudulentos más comunes de solicitud de datos son:
- Es necesario que el cliente verifique sus datos nuevamente haciendo clic en un enlace porque se ha detectado una actividad sospechosa o porque se ha bloqueado su usuario o por muchas otras variantes similares;
- Amenazas de autoridades competentes ante deudas, juicios, etc;
- Se ha desactivado la cuenta de diferentes servicios de streaming y es necesario que el usuario valide sus datos;
- Se han borrado los datos de tarjetas de crédito o cuentas bancarias en plataformas e-commerce y es imprescindible corregir los datos;
- Debido a una falla en la entrega de un servicio de mensajería (correo), es vital que el usuario actualice su dirección domiciliaria a través de un link para hacerla efectiva;
- Notificaciones simuladas de redes sociales como pueden ser Linkedin, Facebook, Instagram, donde se interpela al destinatario para que revise una nueva actividad en su perfil a partir de un botón;
- Links a formularios para participar en sorteos o concursos.
Una vez hecho el clic en cualquiera de los enlaces provistos y/o completado los datos en algún formulario, los ciberdelincuentes tienen acceso a información confidencial del usuario que pueden usar para un perjuicio económico o de suplantación de identidad, una estafa online (mensaje de rescate de datos o, dicho de otra manera, se le ofrece al usuario recuperar sus datos si paga una suma de dinero importante), fraude financiero, entre otros delitos.
¿Por qué tienen éxito este tipo de ataques?
Los ataques phishing tienen un índice de efectividad alto porque suelen usar técnicas de ingeniería social casi imperceptibles para el usuario legítimo, como adoptar la identidad de un organismo oficial de manera casi exacta o enviar mensajes totalmente personalizados (nombre de la víctima, su dirección postal o teléfono, etc).
Claves para evitar estafas
Ante la mínima duda de estafa, no responder el correo ni hacer clic en enlaces sospechosos.
Generales
- Instalá un antivirus y los parches de seguridad pertinentes.
- No compartas tus datos confidenciales con nadie. Ningún banco o entidad financiera solicitará tus datos por correo electrónico o teléfono.
- Protegé tus cuentas con métodos de autenticación de múltiples pasos/factores.
- Chequeá tu Informe de crédito y cuentas bancarias para detectar posibles irregularidades en tus movimientos.
Análisis de correos y mensajes en redes sociales
Al recibir un correo o mensaje aparentemente oficial, comprobá que el remitente es fehacientemente quien dice ser y que su contenido sea verídico.
- Revisá la dirección de correo electrónico antes y después del @, comparalo con otros mails oficiales para determinar que sean iguales.
- Preguntate si la terminología utilizada es la habitual para la empresa que te contacta.
- Desconfiá de correos o mensajes que tengan faltas de ortografía y de archivos adjuntos con nombres genéricos (“factura”, “recibo”, "documento").
- Pasá el cursor por encima de los enlaces y verificá que sean legítimos.
- No hagas clic en enlaces de correos sospechosos y, mucho menos, rellenes formularios con tus datos en un sitio web no seguro.
- Chequeá que todo sitio web al que ingreses tenga los certificados de seguridad correspondientes.
¿Qué debo hacer si detecto que fui víctima de phishing?
En Argentina, si fuiste víctima de algún delito informático, podés hacer la denuncia en la dependencia policial más cercana a tu domicilio (están obligados a tomar tu denuncia) o al fiscal de cibercrimen de la Procuración General de la Nación, Dr. Horacio Azzolin: cibercrimen@mpf.gov.ar, teléfono de contacto: 6089-9000 / interno N° 9266.
División Delitos Tecnológicos de la Policía Federal Argentina.
Cavia 3350 1° Ciudad Autónoma de Buenos Aires.
Tel. 4800-1120/4370-5899.
Correo electrónico: delitostecnologicos@policiafederal.gov.ar
Es importante que no borres, destruyas, o modifiques la información que tenés en tu computadora, equipo móvil, celular, etc, relacionada al hecho. Recordá que mantener la evidencia sin alteraciones es importante a los fines de cualquier acción judicial que pudiera iniciarse.
¿Cuáles son los tipos de phishing más utilizados?
Los tipos de ataques phishing más utilizados son los siguientes:
- Phishing tradicional: es el tipo más común de phishing y consiste en el engaño de una persona a partir de la suplantación de identidad de un organismo oficial de su confianza para obtener información que sea beneficiosa para el ciberdelincuente. Generalmente se envía un correo electrónico a través del cual se solicitan datos personales o se insta al usuario a hacer clic en un enlace que deriva a un sitio web fraudulento o malicioso para completar un formulario.
- Malware-Based Phishing: se caracteriza por el envío de un correo electrónico que incluye una pieza de malware (software malicioso que realiza acciones en el computador del usuario sin su conocimiento) como un archivo ejecutable adjunto o con un enlace a una web fraudulenta con un descargable.
- Spear Phishing: dirigido a personas o grupos específicos, buscan el eslabón más débil de una empresa y/o organización para robar información confidencial o sensible a partir de un correo electrónico. Al ser campañas más reducidas y con mayor personalización, los ciberdelincuentes obtienen un mayor índice de recompensa.
- Smishing: este tipo de phishing es realizado a través de servicios de mensajería instantánea en dispositivos móviles. El phisher se hace pasar por una persona o empresa determinada y ofrece participar de un sorteo o insta al usuario a pagar una deuda, entre otros motivos.
- Vishing: apuntado directamente a las llamadas telefónicas, el ciberdelincuente toma la identidad de una empresa o un familiar de la víctima con el objetivo de recabar información personal