DestacadoSeguridad InformáticaTrabajo Remoto

Phishing en Latinoamérica: El panorama 2020

En un análisis de diversas fuentes de datos del mundo de la ciberseguridad, miramos el panorama respecto a los ataques de phishing en América Latina.

El phishing es una amenaza creciente y latente en todo el mundo, tanto para personas como para empresas y corporaciones. Sólo el año pasado, un 22% de las brechas de datos reportadas involucraron alguna clase de ataque de phishing según los datos de Verizon. 

El nivel de penetración tecnológica mundial ha permitido que estos ataques de ingeniería social, altamente inteligentes e informados, se vuelvan cada día más comunes.

Sin embargo, los hackers apuntan hacia un mercado en crecimiento: los ataques de phishing en Latinoamérica. ¿Por qué nosotros? Es hora de mirar los datos y entender qué tiene de especial la región para una nueva camada de ciberdelincuentes.

El efecto COVID, ciberataques e ingeniería social

Sin lugar a dudas, la pandemia de COVID-19 que afecta al mundo es un punto de quiebre importante. La llegada del Coronavirus afectó de manera transversal a nuestra sociedad, y su influencia como enfermedad ha cambiado la manera en que los latinoamericanos vivimos y nos relacionamos.

Esta influencia ha generado cambios, por ejemplo, en las relaciones laborales. Cientos de endpoints, antes protegidos por redes de oficina custodiadas por cortafuegos, han llegado a las inseguras conexiones hogareñas. La proliferación de ataques de malware y ransomware en organizaciones de diversa índole durante este año tiene una importante correlación con la celeridad con que los trabajadores abrazaron el trabajo remoto, y la falta de herramientas de seguridad para los activos empresariales.

Por otro lado, un efecto secundario de la pandemia es el uso del Coronavirus como vector en ataques de ingeniería social. Los cibercriminales han aprovechado la falta de información sobre la enfermedad y la han usado para diversos ataques de phishing en Latinoamérica. En el Cono Sur, el equipo del CSIRT del Gobierno de Chile puso en evidencia una práctica bastante lógica: en medio de la necesidad, los delincuentes envían correos electrónicos suplantando a empresas que entregan ayuda económica para la población.

En nuestro podcast .local, la Directora Operativa del CSIRT, Katherina Canales, comentó que se reportaron casos relativos a dos hitos económico/sociales en Chile. El primero fue el retiro de emergencia de los fondos de pensiones, y el segundo el Bono Covid-19; ambos con sitios web fraudulentos buscando robar información personal. 

Estos sitios falsos incluso están inscritos de manera legal: un reciente reporte del CSIRT explica que los sitios con dominio .cl con términos relativos al Corononavirus se incrementaron a más del doble en menos de un mes. Si bien la correlación no supone causa, el mismo CSIRT aclaró que varias de esas URLs fueron usadas por ciberdelincuentes para ataques de ingeniería social y suplantación de identidad.

Por otro lado, una práctica muy extendida en todo el mundo es el uso de la emergencia para implantar malware y ransomware muy sencillo de adquirir. Hace algunos meses, entidades como Microsoft advirtieron sobre ataques de malware adjuntados a documentos enviados por correo electrónico, los que simulaban ser de entidades conocidas como la CDC (Centro para la Prevención y Control de Enfermedades, por sus siglas en inglés) en Estados Unidos, o la misma Organización Mundial de la Salud.

Este tipo de vectores son el método favorito de familias de malware como Lokibot o Emotet, las que han aumentado su presencia en Latinoamérica gracias a su disponibilidad en mercados como la dark web. En el caso de Emotet, grandes empresas como Cencosud en Chile y Argentina han sido víctimas de este poderoso ransomware.

Phishing móvil: En aumento

No podemos negar que la economía móvil llegó para quedarse. Con una tasa de penetración del 67% de suscripciones móviles en la región, el hecho de tener un teléfono móvil es una necesidad casi fundamental para la población en este lado del mundo.

Así como aumentan las conexiones en países como México, Chile y Brasil, aumenta el peligro. Según datos de la empresa de seguridad digital Lookout, las plataformas móviles engloban un porcentaje importante de los ataques de phishing en la región. Sus datos aseguran que Argentina y Panamá son los más susceptibles a ataques de esta naturaleza: 41% y 39% de sus usuarios se encontraron con algún tipo de phishing en sus dispositivos móviles. Le siguen Chile, Brasil y Costa Rica, con un 36%, 34% y 32%.

A este riesgo se suma un nuevo tipo de ataque en crecimiento en la región: el malware telefónico.

Los troyanos de acceso remoto (RATs) se han vendido al mejor postor, a disposición de cualquier persona con conocimientos mínimos de programación capaz de pagar los costos de acceso. Troyanos de Android como Cerberus y Alien utilizan el Servicio de Accesibilidad para interponer pantallas de phishing, las que roban tu información personal, contraseñas, datos bancarios, tarjetas de crédito y otros; dicha información se envía a un servidor privado donde el atacante puede aprovecharlos.

Sin embargo, y si bien los ataques en móviles van en aumento, la seguridad móvil relativa a las amenazas de ingeniería social no es proporcional. La empresa de seguridad ESET en su Security Report pone el dato sobre la mesa: sólo un 12% de las organizaciones encuestadas en el reporte aseguran haber implementado una solución de seguridad móvil. Con el aumento de datos del negocio disponibles en nuestros smartphones, este dato es profundamente preocupante.

Vishing, amenaza en pandemia

Otro de los peligros documentados este año es el vishing, o “voice phishing”.

Este tipo de ataques funcionan de la misma manera que un phishing tradicional; esto es, buscando extraer información personal o confidencial haciéndose pasar por una entidad “oficial” o conocida. El fraude se basa en llamadas a través de servicios Vo-IP, con números que a simple vista no parecen sospechosos.

Según el Laboratorio de Investigación de ESET, el vishing es uno de los ataques que más ha aumentado este año debido a la pandemia. La comunicación a través de métodos distanciados socialmente, sumado al ya complicado panorama de estafas telefónicas en países como Chile y México, han acentuado una problemática que ahora no solo busca la ganancia económica, sino el robo de información personal.

El blog de ESET Latinoamérica lo explica: “En Estados Unidos organismos alertaron en agosto sobre el incremento de este tipo de ataques aprovechando que muchas personas están teletrabajando. En América Latina también se están aprovechando de esta situación donde desde hace varios meses se registran casos de estafas telefónicas en las que se hacen pasar por organismos como la Administración Nacional de la Seguridad Social (ANSES) o instituciones bancarias para robar datos personales y dinero”.

Conclusiones

Este año ha puesto a prueba a los equipos informáticos en toda la región en una multitud de frentes. En un mercado que no suele estar a la vanguardia, organizaciones públicas y privadas han sido blanco de sofisticados ciberataques en numerosos frentes. La defensa, si bien comparte vectores y víctimas, es más variada y compleja que nunca.

Ante los numerosos ataques que no dimensionan tamaño ni seguridad en nuestras organizaciones, se hace necesario estar preparados. Conforme nos acercamos al inicio del 2021, es imperativo evaluar el gasto destinado a ciberseguridad en nuestras empresas. De este modo, necesitamos poner en la balanza las potenciales pérdidas en caso de un ataque, la información confidencial o propiedad intelectual que se podría filtrar, o las reparaciones en caso de una fuga de datos de usuarios respecto a la inversión contra ciberataques.

Tanto el CISO como los encargados del área informática deben también complementar esta inversión con un claro flujo de información a todas las áreas del negocio. Hemos visto que los ataques de ingeniería social no distinguen blanco, por lo que toda nuestra organización debería poder entenderlos, detectarlos y reportarlos. Esto es especialmente clave en organizaciones que se hayan comprometido con el trabajo remoto, ya que la línea entre el uso de oficina y personal en los dispositivos tecnológicos se hace más borrosa en el contexto de remoticidad y pandemia.

Por su parte, los usuarios ya saben que hacer: informarse sobre las amenazas y posibilidades del phishing, evitar caer en estafas de ningún tipo y jamás entregar información personal sin una confirmación fidedigna. No lo olviden: los ataques de phishing pueden ocurrirnos a todos, y en cualquier momento.

trabajo remoto seguridad
Sobre el autor

Norman Gutiérrez

Norman Gutiérrez is our Security Researcher at Prey, one of the leading companies in the security and mobility industry, with more than 8 million users worldwide. In addition to this, Norm is Prey's Content and Communication Specialist, and our Infosec ambassador. Norm has worked for several tech media outlets such as FayerWayer and Publimetro, among others. In his free time, Norman enjoys videogames, cool gadgets, music, and fun board games.