El phishing es una amenaza creciente y latente en todo el mundo, tanto para personas como para empresas y corporaciones. Sólo el año pasado, Google indexó un poco más de dos millones de sitios de phishing, según datos de Tessian.
El nivel de penetración tecnológica mundial ha permitido que estos ataques de ingeniería social, altamente inteligentes e informados, se vuelvan cada día más comunes.
Sin embargo, los hackers apuntan hacia un mercado en crecimiento: los ataques de phishing en Latinoamérica. ¿Por qué nosotros? Es hora de mirar los datos y entender qué tiene de especial la región para una nueva camada de ciberdelincuentes.
El efecto COVID, ciberataques e ingeniería social
Sin lugar a dudas, la pandemia de COVID-19 que afecta al mundo es un punto de quiebre importante. La llegada del Coronavirus afectó de manera transversal a nuestra sociedad, y su influencia como enfermedad ha cambiado la manera en que los latinoamericanos vivimos y nos relacionamos.
Más del 30% de las empresas en América Latina están experimentando un aumento en los ataques cibernéticos debido a la pandemia de COVID-19, siendo ataques como el phishing la mayor amenaza, siendo los bancos los más afectados, con un aumento del 52%.
Esta influencia ha generado cambios, por ejemplo, en las relaciones laborales. Cientos de endpoints, antes protegidos por redes de oficina custodiadas por cortafuegos, han llegado a las inseguras conexiones hogareñas. La proliferación de ataques de malware y ransomware en organizaciones de diversa índole durante este año tiene una importante correlación con la celeridad con que los trabajadores abrazaron el trabajo remoto, y la falta de herramientas de seguridad para los activos empresariales.
Como resultado de la introducción del trabajo remoto, el 70% de las organizaciones de la región permiten que sus empleados trabajen desde dispositivos personales, lo que aumenta significativamente el riesgo de ciertos tipos de incidentes cibernéticos, pero el acceso a la gestión remota segura es la prioridad número uno con sólo el 12% de los encuestados.
Por otro lado, un efecto secundario de la pandemia es el uso del Coronavirus como vector en ataques de ingeniería social. Los cibercriminales han aprovechado la falta de información sobre la enfermedad y la han usado para diversos ataques de phishing en Latinoamérica. En el Cono Sur, el equipo del CSIRT del Gobierno de Chile puso en evidencia una práctica bastante lógica: en medio de la necesidad, los delincuentes envían correos electrónicos suplantando a empresas que entregan ayuda económica para la población.
En nuestro podcast .local, la Directora Operativa del CSIRT, Katherina Canales, comentó que se reportaron casos relativos a dos hitos económico/sociales en Chile. El primero fue el retiro de emergencia de los fondos de pensiones, y el segundo el Bono Covid-19; ambos con sitios web fraudulentos buscando robar información personal.
Estos sitios falsos incluso están inscritos de manera legal: un reporte del CSIRT del año 2020 explica que los sitios con dominio .cl con términos relativos al Corononavirus se incrementaron a más del doble en menos de un mes. Si bien la correlación no supone causa, el mismo CSIRT aclaró que varias de esas URLs fueron usadas por ciberdelincuentes para ataques de ingeniería social y suplantación de identidad.
Por otro lado, una práctica muy extendida en todo el mundo es el uso de la emergencia para implantar malware y ransomware muy sencillo de adquirir. Hace algunos meses, entidades como Microsoft advirtieron sobre ataques de malware adjuntados a documentos enviados por correo electrónico, los que simulaban ser de entidades conocidas como la CDC (Centro para la Prevención y Control de Enfermedades, por sus siglas en inglés) en Estados Unidos, o la misma Organización Mundial de la Salud.
Este tipo de vectores son el método favorito de familias de malware como Lokibot o Emotet, las que han aumentado su presencia en Latinoamérica gracias a su disponibilidad en mercados como la dark web. En el caso de Emotet, grandes empresas como Cencosud en Chile y Argentina han sido víctimas de este poderoso ransomware.
Phishing móvil: En aumento
No podemos negar que la economía móvil llegó para quedarse. Con una tasa de penetración del 67% de suscripciones móviles en la región, el hecho de tener un teléfono móvil es una necesidad casi fundamental para la población en este lado del mundo.
Así como aumentan las conexiones en países como México, Chile y Brasil, aumenta el peligro. Según datos de la empresa de seguridad digital Lookout, las plataformas móviles engloban un porcentaje importante de los ataques de phishing en la región. Sus datos aseguran que Perú y Argentina son los más susceptibles a ataques de esta naturaleza: 60% y 58% de sus usuarios se encontraron con algún tipo de phishing en sus dispositivos móviles. Le siguen Colombia, Bahamas, y Brasil, con un 50%, 44% y 41%.
A este riesgo se suma un nuevo tipo de ataque en crecimiento en la región: el malware telefónico.
Los troyanos de acceso remoto (RATs) se han vendido al mejor postor, a disposición de cualquier persona con conocimientos mínimos de programación capaz de pagar los costos de acceso. Troyanos de Android como Cerberus y Alien utilizan el Servicio de Accesibilidad para interponer pantallas de phishing, las que roban tu información personal, contraseñas, datos bancarios, tarjetas de crédito y otros; dicha información se envía a un servidor privado donde el atacante puede aprovecharlos.
Sin embargo, y si bien los ataques en móviles van en aumento, la seguridad móvil relativa a las amenazas de ingeniería social no es proporcional. La empresa de seguridad ESET en su Security Report pone el dato sobre la mesa: sólo un 12% de las organizaciones encuestadas en el reporte aseguran haber implementado una solución de seguridad móvil. Con el aumento de datos del negocio disponibles en nuestros smartphones, este dato es profundamente preocupante.
Según David López Agudelo, vicepresidente de ventas de Appgate, el riesgo de ataques de Phishing a incrementado exponensialmente en toda Latinoamérica. Los ataques de Phishing en México aumentaron un 61% este año con respecto al 2021, en Brasil se desactivaron 47% de los incidentes detectados, mientras que un 45% fueron detectados en Sudamérica (Colombia, Ecuador, Perú, y Chile).
El Phishing no es la única amenaza a la seguridad digital. En este artículo puedes leer sobre algunas de las estadísticas más importantes de seguridad informática y algunos de los riesgos inminentes que podrían tomar desprevenido a tu negocio.
Vishing: la amenaza del voice phishing
Otro de los peligros documentados este año es el vishing, o “voice phishing”.
Este tipo de ataques funcionan de la misma manera que un phishing tradicional; esto es, buscando extraer información personal o confidencial haciéndose pasar por una entidad “oficial” o conocida. El fraude se basa en llamadas a través de servicios Vo-IP, con números que a simple vista no parecen sospechosos.
Según el Laboratorio de Investigación de ESET, el vishing es uno de los ataques que más ha aumentado este año debido a la pandemia. La comunicación a través de métodos distanciados socialmente, sumado al ya complicado panorama de estafas telefónicas en países como Chile y México, han acentuado una problemática que ahora no solo busca la ganancia económica, sino el robo de información personal.
El blog de ESET Latinoamérica lo explica: “En Estados Unidos organismos alertaron en agosto sobre el incremento de este tipo de ataques aprovechando que muchas personas están teletrabajando. En América Latina también se están aprovechando de esta situación donde desde hace varios meses se registran casos de estafas telefónicas en las que se hacen pasar por organismos como la Administración Nacional de la Seguridad Social (ANSES) o instituciones bancarias para robar datos personales y dinero”.
Conclusiones
Este año ha puesto a prueba a los equipos informáticos en toda la región en una multitud de frentes. En un mercado que no suele estar a la vanguardia, organizaciones públicas y privadas han sido blanco de sofisticados ciberataques en numerosos frentes. La defensa, si bien comparte vectores y víctimas, es más variada y compleja que nunca.
Ante los numerosos ataques que no dimensionan tamaño ni seguridad en nuestras organizaciones, se hace necesario estar preparados. Conforme nos acercamos al inicio del 2023, es imperativo evaluar el gasto destinado a ciberseguridad en nuestras empresas. De este modo, necesitamos poner en la balanza las potenciales pérdidas en caso de un ataque, la información confidencial o propiedad intelectual que se podría filtrar, o las reparaciones en caso de una fuga de datos de usuarios respecto a la inversión contra ciberataques.
Tanto el CISO como los encargados del área informática deben también complementar esta inversión con un claro flujo de información a todas las áreas del negocio. Hemos visto que los ataques de ingeniería social no distinguen blanco, por lo que toda nuestra organización debería poder entenderlos, detectarlos y reportarlos. Esto es especialmente clave en organizaciones que se hayan comprometido con el trabajo remoto, ya que la línea entre el uso de oficina y personal en los dispositivos tecnológicos se hace más borrosa en el contexto de remoticidad y pandemia.
Por su parte, los usuarios ya saben que hacer: informarse sobre las amenazas y posibilidades del phishing, evitar caer en estafas de ningún tipo y jamás entregar información personal sin una confirmación fidedigna. No lo olviden: los ataques de phishing pueden ocurrirnos a todos, y en cualquier momento.
Norman Gutiérrez es Investigador en Ciberseguridad en Prey, compañía con 10 años de experiencia solucionando problemas asociados a la movilidad en todo el mundo. Además, Norman tiene una larga trayectoria como periodista de tecnología y tendencias digitales, con publicaciones en medios como FayerWayer y Publimetro Latinoamérica, entre otros. Entre sus pasiones, se cuentan los videojuegos, los juegos de mesa y la música.
