Phishing: la amenaza a la ciberseguridad que más ha aumentado en Chile

La ciberseguridad no es una caja mágica. Tampoco un dispositivo que se compre y que, una vez adquirido, pueda hacerse vista ciega a lo que ocurra. Amerita estar siempre presente, atento y crítico ante cualquier eventualidad o vulneración cibernética. A pesar del trabajo de generación de conciencia que se realiza a nivel social, las cifras aún son alarmantes y escalan progresivamente alrededor de la región. Incluso en Chile, uno de los países que más destaca por sus políticas de ciberseguridad, han crecido en determinados aspectos durante el último año.

De acuerdo con cifras de Kaspersky, entregadas durante la Cyber Security Week que se acaba de realizar en Costa Rica, los intentos de ataques realizados a través de malware en Chile y que fueron detectados por sus sistemas crecieron en un 3% durante los últimos 12 meses con respecto al mismo periodo de 2022 y 2021.

Esto significa unas 27 amenazas por minuto. Si bien es una cifra menor a otros países de la región, es una de las que más creció proporcionalmente. Los tres sectores más afectados son Gobiernos (15,49%), Agricultura (11,82%) y mercados Mayorista y Minorista (11,55%). De hecho, el total de Latam se posicionó en cerca de mil doscientos millones de incidentes, poco más de tres millones diarios.

El ransomware o secuestro de datos es uno de los ataques que, de acuerdo con los especialistas, debiera escalar progresivamente durante los próximos meses. Sin embargo, su incidencia ha bajado: se registra cerca de un millón doscientos mil casos en la región, un 27% menos que en los periodos 2022 y 2021. Sin embargo, 46 mil corresponden a Chile, lo que lo convierten en el quinto país más atacado de estas latitudes.

Otros peligros esperan a la vuelta de la esquina. Se reportaron cerca de 3 millones de incidentes por troyanos bancarios, con un aumento del 50; de estos, 21 mil se dieron en Chile. Dos mil de estos se efectuaron con la familia Banbra, que tuvo un incremento de uso del 95%.

Pero es en ataques por phishing que el país lleva la delantera. Según datos de Kaspersky, de los poco más de 286 millones de ataques registrados —un 617% más que en 2021 y 2022—, 10,5 millones fueron a nivel local y aumentaron en 17 veces.

El panorama recuerda la urgencia de fortalecer las distintas medidas de ciberseguridad en los diversos sectores, y de estar “un paso adelante” en la protección de los sistemas. No es solo una preocupación de las empresas y gobiernos, sino también una responsabilidad de cada usuario que interactúa en el mundo digital.

A esto apuntan las distintas organizaciones: fortalecer el conocimiento de los colaboradores en las propias empresas, porque ellos son la primera barrera, pero también al usuario común que es víctima de campañas cibercriminales.

En el caso del phishing, principalmente se produce con contextos bancarios (solicitando contraseñas, por ejemplo, o pidiendo recambio de credenciales y, en ese momento, sustrayendo los datos del usuario), seguido de sitios web falsos que van adjuntos a mensajes, o fraudulentos e-shops que se hacen con la información.

Esto trae a colación la necesidad del uso responsable de las redes y dispositivos móviles, que volvió a dispararse tras la pandemia y sumó progresivamente nuevos usuarios.

Otra cifra: el malware móvil, esparcido específicamente a través de estos aparatos, aunque disminuyó levemente en un 3% en el continente, registró poco más de dos millones trescientos mil intentos de ataques detectados por software de la compañía; especialmente en contextos especiales como Black Friday, navidad y otras festividades. Chile tuvo poco más de 40 mil incidencias y fue el séptimo país más atacado. Frente a los 1,2 millones de Brasil es una cifra bastante menor, pero no menos alarmante.

Es vital que las políticas de ciberseguridad evolucionen constantemente para enfrentar las amenazas que están en constante cambio. No basta con quedarse en los métodos tradicionales de seguridad; es necesario implementar enfoques más preferidos que combinen otras y más tecnologías, alfabetización digital continua y conciencia de los riesgos de forma transversal.

Además, la colaboración entre diferentes sectores, desde el gubernamental hasta el privado, y la cooperación a nivel internacional se vuelven esenciales para abordar los desafíos cada vez más globales que presenta el ciberespacio.

Claudio Martinelli, Managing Director LatAm de Kaspersky, dice a Piensa Digital que los errores están conectados con la esperanza de que nada va a pasar. Particularmente a nivel empresarial: cuando pasa, las entidades no están preparadas.

“Hoy no decimos que es ‘Cuándo una empresa será atacada’, sino que cuando eres víctima, debes ser capaz de reaccionar rápido, tener sistemas de contingencia y muchas veces eso no es así”, plantea. Todo lo que se suele hacer es “in a hurry”, y termina siendo más costoso y para nada eficiente, afirma. Cuesta tiempo y dinero contratar a alguna empresa especialista o un equipo de abogados, que tan solo por cosa de firmas pueden ser días de trámite.

El tema donde hay más errores en las empresas, cuando se trata de ciberseguridad, es la preparación. El otro punto es la capacitación. No se trata solo de equipos de ciberseguridad que deben estar atentos a las “novedades del mercado” del cibercrimen, sino también a los propios colaboradores de las compañías.

Son ellos el eslabón más débil de la cadena y al que los criminales “acuden” o ponen en la mira para poder obtener datos o información privilegiada, para así hacer caer toda la torre. “¿Cuál es el más grave error? La falta de consistencia, falta de una estrategia predefinida en caso de que algo sucediera”, afirma.

El objetivo de los criminales, aunque ahora ataquen desde pequeños hasta los más grandes conglomerados, sigue siendo el mismo: la información y su utilización malintencionada. Hay pequeñas empresas que, debido a su tamaño, creen que no es necesario invertir en el área, pero existen soluciones para todos los niveles. Lo que hay que lograr, eso sí, dice Martinelli, es la mitigación de riesgos, que contribuye a eliminar situaciones negativas en caso de haber mal uso de data o acceso a ella.

“No todo el mundo puede tener acceso a la consola y gestión de los sistemas; tengo que dejar mi catálogo de precios disponible, pero no las facturas: hay que saber poner limitación de acceso”, plantea. Si llega un nuevo computador, dice, no puede conectarse directamente al estante de la red, así como tampoco dar permisos para acceder al servidor a las copias de respaldos, entre otras cosas.

El gran problema es que hoy no existe una cantidad de especialistas suficiente de acuerdo a las necesidades del mercado. La demanda supera a la oferta y las empresas se encuentran con esa problemática. Hay firmas que, al no encontrar talentos, no forman equipos para este tipo de contingencias, pero tampoco tercerizan o buscan empresas especialistas.

“A la ley no le va a importar si tus datos son manejados por un tercero: tú continuarás siendo el culpable o el responsable de la exposición de la información de clientes, empleados o colaboradores”, argumenta Martinelli.

En este sentido, dice Fabio Assolini, director del equipo de Investigación y Análisis para LatAm de Kaspersky, los cibercriminales planean constantemente nuevos métodos de ataque. Si hay víctimas, es efectivo, pero en caso que no sea así, cambiarán de estrategia y atacarán por otro lado, buscando nuevas brechas.

Entonces, “aunque exista una buena política contra los ataques, no significa que seré invulnerable”. Como hay más dispositivos conectados debido a la masificación tecnológica en los últimos años, los números crecen y dice por ello se registraron 10,5 millones de ataques phishing en Chile en los pasados 12 meses.

Los datos, se trate de gobiernos, empresas o pequeños usuarios, son la joya de la corona. Particularmente, en el primer punto, es donde más puede ser “rentable” para los criminales. “Una base de datos gubernamental, cuando es filtrada y el criminal tiene acceso, es de un valor inconmensurable y podrán utilizarla para cientos y otros tipos de fraude y estafa en contra de los ciudadanos”, plantea.

Basta con que los criminales tengan una base de datos con los números de teléfono de usuarios y sus respectivas compañías, para que estos puedan buscar “aliados” al interior de las telefónicas. Así podrían, por ejemplo, hacer SIM swapping y acceder en pocos minutos a sus cuentas bancarias para robar su dinero. Finalmente, en caso de atacar a Gobiernos, por ejemplo, los principales afectados no son los organismos públicos, sino que los propios ciudadanos.

Aunque sean capaces de hacerse con estos grandes bancos de información, la idea es poder venderla en foros o sitios especializados. Eso sí, de forma parcelada. Si la policía encuentra una base de datos gubernamental a la venta en un sitio, dice Assolini, intentarían comprarla para saber quién está detrás de la venta.

“Como no quieren ser localizados y utilizarlos en sus ganancias, pero de forma más segura, toman pequeños fragmentos de datos y los venden por partes más pequeñas para no llamar la atención”, describe.

En el caso del phishing, que representó el mayor crecimiento para Chile, dice que el principal motivo es la pandemia, que forzó a más gente a estar conectada, a incrementar las compras en línea, acceder a sistemas de banca móvil y estar siempre pendientes a su teléfono. Usuarios que, de acuerdo a las cifras, no estaban debidamente educados en herramientas digitales.

“La pandemia terminó básicamente ayer y las políticas educacionales toman tiempo para mejorar, pero son necesarias para que esto no afecte”, propone. De hecho, hay todo un sector de la población, como los menores de edad, que se inició digitalmente en ese mismo periodo y que puede ser de riesgo.

Claudio Martinelli dice que Chile es uno de los principales ejemplos a nivel regional. Quizás el primero. Existe una gran comunidad de ciberseguridad y su característica de mayor relevancia es el diálogo. “Los CISO’s, las personas del mundo de la ciberseguridad, tanto del medio público como el privado, hablan entre ellos y se comparten información; me pasó esto, qué sucede en esos casos, ¿pasó contigo también?, vamos a estudiar y aprender”, asegura.

La conversación entre los distintos sectores es relevante, “porque lo peor que puede pasar es que yo tenga un incidente, no te diga nada y caes en el mismo fraude”. “A veces, en otros países, se da un sentimiento de ‘No voy a compartir mi caso, porque voy a exponer mi reputación’, entonces, si se tiene miedo a eso, toda la cadena deja de funcionar”, afirma Martinelli, de Kaspersky.