Los daños causados por el phishing –ciberataque– pueden ser muy variados, y van desde la pérdida de acceso a cuentas de correo electrónico, redes sociales, sitios de compraventa online, hasta perjuicios y daños económicos derivados.
Pablo Gonzáles Caíno y Santiago Resset son doctores en Psicología, investigadores del CONICET y se especializan en problemáticas vinculadas al uso de las tecnologías. Ambos dialogaron con UNER Medios acerca de los crecientes engaños on line mediante el acceso a información privada, de carácter financiera o personal.
“Phishing –definen los profesionales– es un término informático que distingue a un conjunto de técnicas para ganar la confianza de alguien haciéndose pasar por una persona, empresa o servicio, manipularla y lograr que concrete acciones que no debería realizar”. Consultados acerca de la cantidad de ataques a la seguridad informática que hay en nuestro país, los especialistas responden que “son muchos, especialmente con el aumento de las criptomonedas y el uso de las billeteras virtuales, que es donde más se ha estado apuntando. Así cualquier banner o mail que intente captar la atención de un usuario puede luego convertirse en una amenaza para su billetera virtual, o el clásico robo de información delicada”.
Los investigadores además señalaron que “el ataque más frecuente es el Ramsomware, donde el agresor pide un rescate por liberar la información encriptada de un usuario determinado. Es un tipo de extorsión que secuestra los datos de las personas y en teoría los libera cuando se paga un rescate, pero esto no siempre pasa. El phishing también es bastante conocido pero lo importante es darse cuenta que la mayoría de los ataques son posibles gracias a errores humanos, a diferencia de como se cree o como se ve en las películas. La mayoría de las veces siempre va a haber alguna participación del usuario involucrada, que va a facilitar el papel del atacante”, advirtieron.
Redes Sociales y Ciberfraude
En referencia a si las redes sociales contribuyen al ciberataque, Resset y Gonzáles Caíno explican que “la mensajería electrónica en sí mismo no aumenta los delitos informáticos, pero sí las redes son un medio más para que se cometan delitos debido a un uso descuidado o a la poca cautela de las personas, lo que se aplica a usuarios de todas las edades. En este sentido los delincuentes y estafadores roban información, como datos personales o fotos que los sujetos comparten en las redes con descuido o –cuando disponen del sitio sin configuración de privacidad– aprovechándose de la falta de conocimientos de las personas sobre seguridad informática”.
Los doctores también especificaron que los adultos mayores son las víctimas más buscadas, porque “poseen más dinero o recursos económicos que los adolescentes”. Otra modalidad, describieron, “es mandar correos masivos con mensajes fraudulentos: ‘usted ha ganado tanto dinero o nos comunicamos desde el banco’, que tienen la meta de captar posibles víctimas que respondan. Generalmente en estos mensajes se solicitan datos de tarjetas de crédito o CBU del banco del usuario”. Se trata –según los especialistas– de “una estafa semejante a la que se hace telefónicamente y tiene un acceso masivo e inmediato a muchos usuarios de correo electrónico”.
“En numerosas ocasiones se suman varios delitos, como el robo de base datos y la estafa. Los delincuentes se aprovechan de las necesidades que tiene la gente utilizando temas de actualidad y preocupación, por ejemplo ‘nos comunicamos con usted por el IFE, por las dosis del COVID o desde el banco porque están por salir de circulación los billetes en dólares, etc’. En ocasiones los piratas, más que altos conocimientos de la informática poseen una gran creatividad, persuasión y astucia, en otras palabras, es lo que se denomina ingeniería social”, aseveraron.
En Argentina, la Ley 26.388 introduce los delitos informáticos en el Código Penal y los define como la representación de actos o hechos sin importar el soporte utilizado para almacenarlo o transmitirlo. Dentro de este apartado se encuentra el ‘grooming online’, la violación de secretos o de la intimidad, acceso a banco de datos o sistemas informáticos sin permiso, publicación de comunicación o mensajes privados y el fraude o daño informático.
Santiago Resset
Protocolos de seguridad
Con relación a las entidades bancarias, los especialistas detallan que “las políticas internas de las entidades financieras no son conocidas, pero ellos tienen distintos protocolos de seguridad informática para evitar estos ataques. Los bancos utilizan campañas de uso responsable hacia los usuarios, como así también el pedido de contraseñas seguras o mails de alertas donde explican buenas prácticas de seguridad”.
Sobre la utilización de redes sociales, aconsejaron “tener configuraciones en privacidad, no responder mensajes sospechosos o de desconocidos, no aceptar solicitudes de amistad de desconocidos o perfiles sospechosos, no subir ni compartir datos personales como teléfonos, direcciones, fotos, y usar claves o passwords que sean difíciles, e ir cambiándolas periódicamente. Esto es con el fin de evitar un fraude o cualquier tipo de robo de datos con fines negativos”.
Los investigadores reflexionaron sobre el tema y destacaron que “resulta muy difícil, por el avance de la tecnología, estar al día con los tipos de ataques, siempre van a estar un paso más adelante de los usuarios”. En tal sentido, sostuvieron que “se necesitan grandes campañas de concientización y educación para el correcto uso de Internet y evitar esas invasiones a través de la prevención, especialmente en población mayor donde resulta más fácil el engaño, por el desconocimiento que tiene esta franja etaria”.
Inseguridad informática durante la pandemia
En 2020 Mauro Formaroli y Mónica Tugnarelli, docentes de la asignatura Comunicaciones y Redes de la Licenciatura en Sistemas, que dicta la Facultad Ciencias de la Administración UNER, desarrollaron diferentes videoconferencias abordando la problemática de seguridad informática.
“El contexto de pandemia y aislamiento social ha producido un incremento en el uso de las tecnologías y a la par, un gran crecimiento de una amplia variedad de delitos y ataques a la seguridad. El uso de la tecnología creció en un 80% incentivada por el teletrabajo, la educación virtual y las herramientas necesarias para mantenerse conectados. A la par de este desarrollo, han aumentado en un 70% los problemas como ataques y delitos informáticos, tanto en entornos hogareños como en sectores organizacionales públicos y privados”, manifestaron.
Buenas prácticas
En el mismo ciclo, Formaroli y Tugnarelli enumeraron algunos consejos de prevención. Entre ellos, que el equipo a utilizar para trabajar tenga el sistema operativo y las aplicaciones actualizados, verificando que se instalen las últimas actualizaciones publicadas, tanto de parches de seguridad para el Sistema Operativo así como de las correspondientes bases de datos de virus del software antivirus. Otras de las consignas es mantener actualizado el antivirus, de esta manera aumenta la protección.
En lo posible, recomendaron, no se debe compartir con otros el equipo que se usa para trabajar. Usar contraseñas fuertes, por ejemplo que combine letras mayúsculas, minúsculas, números y caracteres especiales para iniciar sesión en recursos remotos, como correo electrónico o aplicaciones de trabajo y también en la red WIFI hogareña. Realizar backups de la información relevante en forma periódica. Contar con copias de respaldos de la información ayudará a recuperarse no solo de fallas en el hardware/software de sus equipos (ejemplo: daños en discos rígidos) sino también ante un incidente de seguridad, como un ataque de Ramsomware. Constatar la autenticidad de los sitios homebanking tratando de no acceder desde lugares/redes públicas, y recordar que no se deben entregar por teléfono o por mail datos personales o de acceso a sitios/aplicaciones, salvo que la persona sea quien haya iniciado la comunicación, por ejemplo con el banco o entidad emisora de una tarjeta de crédito. En caso de recibir este tipo de correos o llamadas, bloquear el número de teléfono o dirección de correo y marcar como spam.
Finalmente, remarcaron que la educación de las personas en temas de seguridad informática marca una diferencia en la protección de los datos, siendo fundamental mantenerse actualizado tanto desde el punto de vista técnico como informativo.
