El internet y la tecnología han tenido grandes avances en la última década, en cuanto a su alcance y formas de uso. Hoy en día, las personas utilizan la tecnología como una herramienta primordial para realizar sus actividades cotidianas, de tal suerte que se ha vuelto esencial para la humanidad, especialmente ante el confinamiento provocado por el Covid-19.
Este nuevo panorama ha generado un aumento en los ciberataques a través de una técnica de defraudación informática denominada “phishing”.
¿Qué es el phishing?
La suplantación de identidad o Phishing (término informático utilizado en inglés) se ha vuelto una de las técnicas más comunes de ciberataque.
Según la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) este es un método de estafa en línea, a través de sitios falsos, mensajes y spam, donde se busca extraer información personal y confidencial de los usuarios, como números telefónicos, cuentas bancarias o contraseñas.
El phishing está basado en la estrategia que utiliza el pescador para atraer a su presa. En este caso, el phisher, también conocido como hacker, espera a que el usuario de internet “muerda el anzuelo” y sea víctima de mensajes fraudulentos, donde proporcionará voluntariamente sus datos.
Las formas más comunes de ataque son: 1) cuando los phishers se hacen pasar por una empresa o persona para obtener información; 2) a través de redes sociales cuando se requiere cambiar la contraseña; 3) clonando correos electrónicos y adjuntando archivos maliciosos; 4) manipulando enlaces y hacerse pasar por otra página web.
El phishing derivado del Covid-19
Recientemente, TrendMicro, empresa líder en soluciones de ciberseguridad, ubicó a México entre los 25 países con el mayor número de ciberataques durante la contingencia sanitaria.
La Organización para la Cooperación y el Desarrollo Económicos (OCDE) dictaminó que las campañas de phishing por medio de correos electrónicos se basan en lo siguiente:
- El tema del correo o documento adjunto está relacionado a “información de último momento” del coronavirus.
- El sujeto se hace pasar por instituciones gubernamentales.
- Personifica a instituciones como la Organización Mundial de la Salud (OMS) o empresas privadas.
- Crean enlaces que imitan iniciativas sanitarias.
Las campañas más recientes de phishing involucran herramientas como Zoom; la compañía Cyble, alertó que existen más de 500.000 cuentas de esta plataforma a la venta en la Dark Web.
Su “modus operandi” funciona de tal forma que la víctima recibe un mensaje para acceder directamente a una reunión, el enlace es una imitación de la página de inicio y tiene como fin extraer información personal del usuario.
Otra forma de operar que se ha vuelto popular entre los phishers, es por medio de Whatsapp. Los mensajes estafadores que utilizan los hackers prometen regalar productos, servicios o cupones de descuentos; en cuanto se accede, se crea una trampa para extraer y robar datos.
Así se le hace creer a la víctima que se trata de una promoción oficial, y el phisher obtiene no solamente sus datos personales, sino que logra que se comparta a los contactos del usuario.
¿Cómo protegerte a ti y a tu empresa?
Debemos recordar que nadie está exento a ser sujeto de ciberataques. La forma más sencilla de evitar el phishing es informándote. Es fundamental que tanto los individuos, empleados, empresarios y público en general se mantengan informados sobre lo importante que es este tema, y con ello, será más difícil para los phishers utilizar engaños para atacar vulnerabilidades y conseguir información valiosa.
Para reducir el riesgo a este tipo de fraude la Condusef y empresas internacionales como Google y Facebook recomiendan:
- Acudir directamente a los sitios webs oficiales si se va a proporcionar información personal.
- Estar informado y ser escéptico; en todo momento se deberá de estar alerta de posibles engaños.
- Al recibir un correo electrónico, verificar el remitente del mensaje así como del enlace.
- Revisar que el contenido del mensaje sea oficial, sirve localizar errores ortográficos o saludos genéricos.
- Evitar tomar una decisión precipitada.
¿Mordiste el anzuelo del phisher…?
Lo primero que deberás hacer es acudir al auxilio de la autoridad competente, en este caso, la Policía Cibernética (la podrás contactar por medio de correo electrónico o Twitter) que forma parte de la Comisión Nacional de Seguridad (CNS), ésta autoridad tiene como objetivo investigar los delitos digitales.
La CNS junto con la policía remitirán la información que recaben al Ministerio Público para que inicie el proceso correspondiente por la vía penal.
Ahora bien, el internet es una plataforma compleja y nuestro marco jurídico no es capaz de regularlo en su totalidad, por ello, se han creado lagunas legales que limitan la protección de la autoridad para darle su adecuado seguimiento.
¿Qué dice la ley en México sobre el phishing?
Nuestra legislación tipifica este delito cibernético en el Código Penal Federal en su Título Noveno como “Revelación de secretos y acceso ilícito a sistemas y equipos de informática”.
Asimismo existen leyes especiales y reglamentos que han aumentado el panorama de protección, tal como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Aun así, a nuestro país le queda un gran camino por delante para lograr regular y proteger a los usuarios de internet de una forma adecuada y menos generalizada.
Las víctimas de este delito siempre buscarán la solución más rápida y eficaz, actualmente tus vías para solucionarlo están limitadas.
Si fuiste víctima del phishing puedes presentar una denuncia ante la Policía Cibernética vía correo electrónico a ceac@cns.gob.mx; acudir directamente con la empresa que fue hackeada o reportar tu cuenta de correo electrónico, pero siempre la mejor estrategia será la prevención, ya que hasta el día de hoy es poco probable que se encuentre al responsable por la inmensa red que conforma el internet y sus usuarios.
En conclusión, depende de ti como usuario prevenir los ciberataques y evitar “morder el anzuelo”, denuncia para prevenir fraudes a otros usuarios, cambia tus contraseñas personales y corporativas constantemente, verifica las páginas de internet a las que accedes e informa a los que están a tu alrededor acerca del tema.
El phishing no fue una actividad que se suspendió durante la pandemia, en realidad, se ha creado una nueva vulnerabilidad en los usuarios. Protege tu información personal y la de tu empresa, de tal forma que el Covid-19 no se utilice como una excusa más para ser objeto de actos criminales en línea.
Correo electrónico: erickalucia@maldonadomendozagc.com
Las opiniones publicadas en esta columna son responsabilidad del autor y no representan ninguna posición por parte de Business Insider México.