El 2020 no será olvidado fácilmente. En medio de las restricciones de la circulación y con gran parte de la población encerrada en sus hogares, comenzó a profundizarse una nueva ola de amenazas que, lejos de afectar a la salud de las personas, ataca directamente a otro de sus "puntos críticos": los bolsillos.
Y es que con los bancos con horarios reducidos y gran parte de la población abocada 100% a herramientas digitales, los estafadores virtuales encontraron un ambiente propicio para hacer de las suyas.
El fenómeno mundial de los ciberataques se evidenció en el aumento de ataques de ransomware –es decir, el "secuestro" de la información de una la empresa por el que se exige un pago por su rescate– que muestra cifras muy preocupantes según un estudio realizado por Check Point Research:
- En lo que va de 2021, se incrementó un 102% respecto a 2020
- Y también se duplicó el número de organizaciones afectadas
Argentina no es la excepción: se ubica en segundo lugar en el ranking de países más atacados. El primer puesto lo ocupa la India, con un promedio de 213 ataques semanales desde principios de año, y en tercer lugar está Chile con 103 ataques.
Por otro lado, los ciberdelitos más comunes en el país son:
- El fraude y estafa en cuentas bancarias
- El robo de claves de acceso a homebanking o datos de tarjetas de crédito
- El take over (toma de control, en español) de diversas cuentas
Pero esto no es todo lo que tiene en estado de alerta a los expertos. Según datos provistos a iProUP por la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), en 2019 se denunciaron solo 22 contra 641 en 2020. Esta cifra representa un alarmante incremento de casi el 3.000% luego de la migración masiva de usuarios a los distintos canales digitales que se dio en el contexto de la pandemia.
Profesionales y digitalizados
En diálogo exclusivo con iProUP, Horacio Azzolin, fiscal de la UFECI, explica que durante 2020 y 2021 lo que más crece son los fraudes en compras online, en los que el delincuente se hace pasar por un vendedor real y recibe el dinero, pero nunca manda el producto comprado.
"Además, una modalidad que no tenía tanta relevancia, pero tomó importancia, es la toma de control o take over de cuentas bancarias, billeteras digitales y usuarios de redes sociales o de WhatsApp, que después son usadas como disparadores de otro tipo de fraudes", añade.
Teresa Piraino y Pedro Adamovic, gerentes de operaciones de riesgo y fraude, y de seguridad informática de Banco Galicia, afirman a iProUP que las estafas más frecuentes se dan a través de redes sociales y correo electrónico.
"En el caso de redes, los estafadores crean perfiles falsos y desde allí contactan a los clientes ofreciéndoles ayuda para lo cual les solicitan datos confidenciales. Aprovechan la información que los usuarios difunden en los comentarios públicos de los perfiles oficiales del banco", explican.
Los expertos remarcan que el phishing tradicional ha vuelto a ser protagonista: los estafadores envían mails a los clientes para que ingresen a sitios falsos que copian la estética de una entidad bancaria para que sus víctimas brinden información sensible.
Nunca compartir datos bancarios por mail o Whatsapp: los atacantes se hacen pasar por una entidad para hacerse de las credenciales
"En ambos casos, el objetivo es robar credenciales, claves, tokens y otros datos. Lamentablemente, la mayor cantidad de estafas se da porque el usuario entrega esta información", añaden.
Además, remarcan: "En Galicia, la ciberseguridad es un tema estratégico e invertimos mucho en herramientas de protección, pero es muy importante que los clientes sepan que también son responsables de la seguridad de sus datos personales".
Otro de los mecanismos que se está volviendo cada vez más popular y es implementado con metodologías más profesionales consiste en hacerse pasar por alguna empresa y solicitar a los clientes datos personales que les permiten acceder a las cuentas.
El CEO de VU Security, Sebastian Stranieri, expresa a iProUP que "los ataques más frecuentes que ocurrieron en 2020 y 2021 fueron todos los que tuvieron que ver con la ingeniería social, es decir, engañar al usuario para que les brinde una contraseña o algún tipo de token".
El especialista también señala que esta metodología apunta directamente a empresas de créditos. "Los atacantes emulan cuentas oficiales de redes sociales de entidades o negocios, y ante comentarios de insatisfacción de clientes, se comunican con ellos y así les roban sus contraseñas para acceder sin problemas a sus cuentas", asevera Stranieri.
En la misma sintonía, Gonzalo García, vicepresidente de Fortinet para Sudamérica, revela a iProUP que registraron un incremento sustancial de actividad cibercriminal durante la pandemia, principalmente relacionado con campañas de phishing o spear-phishing. Esta última está dirigida a personas seleccionadas previamente.
"Detectamos en Argentina más de 900 millones de intentos de ciberataques en el 2020", advierte el ejecutivo, y agrega que el ransomware también está impactando más fuertemente en América Latina, con muchos casos públicos, como el de Cencosud y Migraciones en Argentina.
El vector principal para esto sigue siendo las campañas de phishing a través de correos electrónicos con archivos maliciosos .DOCX, de Word, con mayor frecuencia; y PDF adjuntos, que al abrirlos inyectan programas ransomware que encriptan la información de las computadoras de la empresa víctima que deberá pagar el rescate para volver a usar esos datos.
¿Cómo podemos cuidarnos?
Stranieri advierte que "si el mensaje es demasiado bueno, hay que dudar. Si te llega un mail que te dice que te bloquearon tu tarjeta de crédito, hay que llamar a la empresa y no responder el correo". Y agrega: "Si te contactan por redes sociales, hay que verificar que sea una cuenta oficial, si bien tampoco es garantía de nada: muchos delincuentes informáticos se robaron cuentas identificadas".
Por otro lado, el especialista añade que en Argentina el sistema está pensado "a favor del usuario", ya que "en la mayoría de los casos, el cliente está protegido, así que hay que hacer la denuncia en una fiscalía o comisaría e ir directamente al banco o fintech para avisar sobre el delito".
Los expertos sugieren hacer la denuncia ante un ataque ya que la ley argentina protege al usuario
Asimismo, Azzolin agrega que es crucial "usar el sentido común" y no brindar claves y datos cuando se los piden por correo electrónico o páginas web a las que se accede vía email, llamadas telefónicas o contactos de WhatsApp.
"Hay que cuidar las claves como si fueran las llaves de nuestras casas y, ante cualquier duda, consultar con el banco directamente. Y además se debe hacer la denuncia e intentar litigar para evitar el cobro de la cuota de los préstamos, por ejemplo", advierte el fiscal.
Subraya que "de ahí en más, dependerá de lo que haya pasado en el caso concreto, su jurisdicción y la acción que la persona decida realizar. Las penas van hasta los 6 años de prisión por estafa".
Las palabras de expertos y las proyecciones de informes recientes advierten que el panorama es desalentador: 2021 será incluso peor que 2020 en materia de ciberseguridad.
"Aunque el volumen de intentos de ataques sigue siendo extremadamente alto, lo más preocupante es el grado de sofisticación y eficiencia que están logrando los ciberdelincuentes mediante el uso de tecnologías avanzadas e inteligencia artificial (IA) para desarrollar ataques dirigidos con mayores posibilidades de éxito", explica García, de Fortinet.
Y remarca que, además de ofrecer soluciones, una parte muy importante recae en la educación de la ciudadanía. Para eso, la firma pone disposición de forma gratuita más de 30 cursos de capacitación en línea para que cualquier persona pueda ampliar sus conocimientos y habilidades.
"Incluyen tanto entrenamientos introductorios sobre ciberseguridad para usuarios como niveles de ciberseguridad avanzada para profesionales en el tema", acota.
De esta forma, el contexto de pandemia y la segunda ola del Covid suman un nuevo condimento que preocupa a los argentinos y ataca directamente a sus organizaciones y, más importante aún, a sus bolsillos...