- Demasiado bueno para ser verdad: ciberdelincuentes usan IA para ofrecer empleos falsos y robar tu data
- ¿Por qué el Google Pixel es el teléfono favorito de los narcotraficantes?
La técnica maliciosa del ‘phishing’ es tan antigua como los albores del internet. Sin embargo, en el Perú sigue siendo el ataque preferido de ciberdelincuentes para engatusar a sus víctimas. De acuerdo con la compañía de ciberseguridad ESET, ocupa el primer lugar con el 34% del total de detecciones. Y lo que es peor: dos de cada tres campañas con esta técnica incluyen archivos maliciosos, lo que potencia su efectividad y alcance. ¿Cabe preguntarse entonces por qué seguimos cayendo ante este viejo truco?
El ‘phishing’ es un antiguo tipo de ciberataque que utiliza medios como correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsos para hacer caer a sus víctimas y lograr que compartan datos confidenciales, descarguen ‘malware’ o queden expuestas a los ciberdelincuentes.
Es muy probable que alguna vez te hayas topado con un mail informándote que un producto tuyo se ha quedado retenido en aduana o que has ganado algún jugoso premio. La intención de los criminales es conseguir que les brindes datos sensibles como información personal, números de cuenta o tarjetas.
En el marco de los ESET Security Days, El Comercio pudo conversar con varios especialistas en seguridad informática sobre el crecimiento sostenido del malware diseñado para el robo de datos en Perú.
El Comercio Mario Miucci, investigador de seguridad de ESET Latinoamérica.
/
Del spam al engaño sofisticado: cómo ha mutado el ‘phishing’
Aunque a primera vista podrían parecer muy tontos, lo cierto es que el nivel de profesionalización de este tipo de ataques ha sido tremendo. Quienes están detrás de ellos muchas veces hacen estudios rigurosos de sus víctimas —sobre todo cuando atacan compañías grandes— y, en más de una ocasión, han logrado engañar a empresas del nivel de Uber, Sony, Facebook, Telefónica… entre otras. La lista es larga.
“Los ciberatacantes hacen un trabajo de inteligencia previa, perfilan a la víctima y diseñan mensajes muy creíbles, con un objetivo claro: que la persona haga clic o ejecute una acción específica”, comenta a El Comercio Mario Miucci, investigador de seguridad de ESET Latinoamérica.
Miucci señala que el ‘phishing’ está en constante evolución. Busca manipular emocionalmente al usuario para inducirlo a una acción: hacer clic en un enlace o descargar un archivo. Y esta estructura se adapta.
“Cuando entra la emoción, se va la razón”. Esta frase conocida se aplica también al mundo de la ciberseguridad. Cuando recibimos un phishing, solemos emocionarnos, ya sea por una oferta atractiva o por miedo ante una supuesta amenaza. Esa alteración emocional nubla el juicio y, a veces, logra su cometido haciendo que caigamos. “Y seguimos cayendo porque los atacantes renuevan sus estrategias constantemente”, dice el experto.
Hoy el enfoque de los ciberatacantes no solo está puesto sobre los usuarios finales, también en las organizaciones. Y la profesionalización del cibercrimen ha llegado a niveles insospechados hace algunos años.
“En el caso de los grupos APT (Amenazas Persistentes Avanzadas), hablamos de organizaciones criminales con presupuestos similares al de una empresa real. Incluso tienen estructuras internas con departamentos de recursos humanos, reclutadores, contabilidad, etc.”, expresa a este diario el especialista en seguridad.
“Son ataques sofisticados, con inteligencia previa, objetivos estratégicos y un nivel técnico muy alto. Es distinto al caso de los ciberdelincuentes que atacan usuarios finales, donde los ataques son masivos, más simples y fáciles de detectar”, añade.
En entrevista con El Comercio, André Goujón, estratega en ciberseguridad en Chile, rememora los primeros años del milenio como “la época romántica del malware”. Y al compararla con la actualidad, expresa:
“Eran códigos maliciosos diseñados para causar daño: formateaban el equipo, corrompían el sistema operativo, infectaban archivos. Pero no buscaban dinero. No había un rédito económico”.
Incluso, señala, había virus diseñados simplemente para demostrar pericia técnica. “El ‘malware’ polimórfico, por ejemplo, cambiaba cada vez que infectaba un archivo. Era una forma de decir: ‘Mira lo que puedo hacer’. Era una especie de carta de presentación para quienes sabían programar bien”, añade.
El negocio del robo de información
Después del ‘phishing’, los ‘infostealers’ ocupan el segundo en detecciones maliciosas, con un 16%. Estos son códigos maliciosos diseñados para robar información. Hay varios tipos; quizás el más conocido —aunque con su propia naturaleza— es el ‘ransomware’, que bloquea archivos y exige un rescate. Hoy en día, su foco ha pasado de cifrar datos a extorsionar y exfiltrar información.
También encontramos amenazas como los ‘filecoders’, los ‘bankers’ (o troyanos bancarios), y ‘malware’ orientado al universo móvil. En el caso de Perú, por ejemplo, destaca ‘Kaleidoscope’, un ‘malware’ que estimula la descarga de aplicaciones maliciosas. Es decir, el top 3 de amenazas estaría compuesto por: ‘phishing’, ‘infostealers’ y ‘filecoders’.
El Comercio Mario Miucci, investigador de seguridad de ESET Latinoamérica.
/
Mucci comenta que otra técnica frecuente entre los atacantes es el uso de herramientas legítimas para automatizar tareas dentro de una estrategia maliciosa. Muchas veces, lo que detectamos en campañas de ‘phishing’ no es ‘malware’ en sí, sino piezas de código que se conectan con servidores de comando y control para descargar malware posteriormente.
“Se utilizan para hacer actividades maliciosas porque esas actividades son legítimas para los sistemas. Es una manera de evadir defensas o de no generar sospechas”, explica a este diario el investigador de ESET. “En lugar de mandar un ‘malware’, mandan un código desarrollado en ‘PowerShell’, que para el sistema va a ser legítimo. O sea, es una especie de camuflaje”.
“El ciberatacante puede enviar una pieza en ‘PowerShell’, y cuando el usuario la ejecuta, esa pieza se conecta a un servidor X para descargar el código malicioso. Así, una herramienta legítima termina ejecutando una acción maliciosa”, finaliza.
Pero los atacantes no solo aprovechan herramientas legítimas, también manipulan elementos visuales en los que solemos confiar, como los ‘captchas’. Según Tony Anscombe, Chief Security Evangelist de ESET Global, esto responde a una evolución natural del ‘phishing’: si los usuarios comienzan a detectar mejor los correos engañosos, los atacantes deben buscar nuevas formas de convencerlos de ejecutar una acción.
Tony Anscombe, Chief Security Evangelist de ESET Global.
/
“Muchos usuarios confían en los captchas porque los asocian con una medida de seguridad. Pero los ciberdelincuentes se aprovechan de esa confianza. Simulan ‘captchas’ falsos que, tras un clic aparentemente inofensivo, inducen al usuario a ejecutar acciones que terminan descargando ‘malware’”, explica el experto.
Esta técnica —cada vez más usada en campañas como ‘ClickFix’, detectadas en Perú— se basa en ingeniería social visual: “Como ya confiamos en esos recuadros que nos piden verificar si somos humanos, el atacante solo necesita pedirnos un paso adicional. Y muchos lo seguirán sin sospechar”.
Cuando cumplir la ley no es suficiente
Tony Anscombe, Chief Security Evangelist de ESET Global; Mario Micucci, Security Researcher de ESET Latinoamérica; André Goujon, estratega en ciberseguridad en Chile, y Jorge Zeballos, gerente general de ESET Perúen los ESET Security Days.
/
Más allá de la evolución técnica de las amenazas, existe otro aspecto fundamental: el marco legal de cada país y la capacidad de respuesta de las empresas. En el caso peruano, la Ley de Protección de Datos Personales establece lineamientos sobre cómo deben tratarse los datos sensibles de los ciudadanos. Sin embargo, cumplir con la ley no basta. Las regulaciones suelen enfocarse en aspectos específicos —como el resguardo de información personal—, pero no contemplan todos los riesgos que puede enfrentar una organización en términos de ciberseguridad.
Por eso, Anscombe recomienda adoptar un enfoque híbrido: combinar el cumplimiento normativo con la implementación de ‘frameworks’ técnicos de ciberseguridad. Las empresas deben asumir que el ciberdelito no es solo un problema técnico, sino un riesgo financiero y estratégico. Y actuar en consecuencia. Tener un protocolo de respuesta ante incidentes, auditar sus sistemas, capacitar al personal y tomar decisiones desde la alta dirección puede marcar la diferencia entre contener un ataque o quedar expuesto frente a millones.