Según Eset, el 70% de las organizaciones en latinoamericana consideran que el phishing es la forma de ataque más común a la que están expuestas. La banca, a pesar de las exigencias y controles de seguridad a las que están acostumbradas, no está exenta de padecer este problema.
En setiembre, el Centro Nacional de Seguridad Digital, entidad que gestiona la seguridad digital del país, identificó en sus alertas dos páginas destinadas a engañar a los clientes bancarios. Se trataba de estrategias de phishing orquestadas por los ciberdelincuentes con el fin de robar sus números de tarjetas y claves, entre otros datos personales. Y si se revisan las alertas de todo el año, se encuentran más de estas campañas.
El 19 de setiembre informaron que, a través del monitoreo y búsqueda de amenazas en el ciberespacio, detectaron una campaña en la que se suplantaba el sitio web de solicitud de préstamos del Banco Interbank, con la finalidad de robar información sensible. Al día siguiente volvieron a advertir de esta campaña en una nueva alerta.
Días antes, el 14 del mismo mes, detectaron otra campaña de phishing, en la cual se suplantaba el sitio web del Banco de Crédito del Perú (servicio online de préstamo personal), con la finalidad de robar información bancaria de los usuarios. Para cautivar a las víctimas se utilizan las redes sociales, SMS, correo electrónico, videos de internet, entre otros.
El phishing es un conjunto de técnicas desplegadas con el objetivo de engañar, ganándose la confianza de la víctima al hacerse pasar por una persona, empresa o servicio de confianza para manipularla y conseguir información personal. Una vez que tienen los datos de las tarjetas, realizan consumos en tiendas o retiran efectivo.
Hasta setiembre, Indecopi recibió 4406 reclamos y 2054 denuncias contra empresas del sistema financiero por operaciones no autorizadas en sus aplicativos bancarios, informó Ojo Público. De hecho, Indecopi ha detallado a la Agencia Andina que entre el 2021 y julio del 2023 las áreas resolutivas impusieron 1284 sanciones a bancos y entidades financieras por operaciones no reconocidas a nivel nacional, es decir, por permitir que se afecten las cuentas de sus usuarios.
¿La culpa es del banco o del usuario? Depende de cada caso. De cara a los consumidores es importante estar alertas porque los ciberdelincuentes atacan al usuario por las redes sociales con engaños, haciéndose pasar por financieras o bancos. “Revise constantemente sus movimientos y estados de cuenta: algunas operaciones fraudulentas ocurren sin que el usuario note que está siendo víctima de estas”, advirtieron desde Indecopi.
Eso no significa que no haya responsabilidad alguna por parte del banco, que está obligado a cuidar a su consumidor. Como ejemplo más inmediato tenemos el caso de Interbank. El sábado 16 de setiembre las redes sociales se llenaron de quejas porque algunos clientes del banco encontraron sus saldos en cero. Al parecer se habían duplicado operaciones de días anteriores o abonado descuentos injustificados. Tras las disculpas del banco, Indecopi comunicó a la prensa que iniciaría una investigación de oficio con la finalidad de salvaguardar los derechos de los consumidores establecidos en el Código de Protección y Defensa del Consumidor.
¿En el citado caso se trató de usuarios víctimas de phishing o hubo un secuestro de datos y vulneración de la seguridad del banco? Bruno Francavilla, analista de la compañía de seguridad Eset, aclaró que no se puede responder por el caso en particular desde fuera – corresponderá al banco aclararlo ante las instancias correspondientes – pero, sin duda, hay múltiples motivos que pueden dar lugar a un hecho de estas características, incluido el secuestro de sus sistemas.
«El phishing es un conjunto de técnicas desplegadas con el objetivo de engañar, ganándose la confianza de la víctima al hacerse pasar por una persona, empresa o servicio de confianza para manipularla y conseguir información personal».
“Pueden ser usuarios que desprevenidos hayan caído en técnicas de phishing, o bien pudieron haber sido vulnerados o presentado fallos los sistemas del banco. Para poder determinarlo es necesario analizar con mayor precisión el caso. Si hablamos de una cantidad muy extensa de usuarios damnificados, podría ser un posible indicio de que los sistemas del banco fueron vulnerados o han sufrido fallos”, aclaró.
Alta incidencia
El phishing se sigue presentando como el vector de ataque más utilizado por los cibercriminales, comentó Bruno Francavilla. En el Eset Security Report 2023, precisó, el 70% de las organizaciones consultadas consideró que el phishing es la forma de ataque más común, seguida por los ataques con malware (63%) y en tercer lugar los que buscan robar las credenciales de acceso (56%).
En 2022, informaron, se registró un aumento del 26% en la cantidad de vulnerabilidades reportadas, y el 49% de las empresas confirmó que recibió intentos de ataque que buscaban explotar una vulnerabilidad. Además, el 66% de las empresas señalaron que el robo o fuga de información era su mayor preocupación en materia de ciberseguridad. Pese a ello, el 65% consideró que el presupuesto asignado al área de ciberseguridad no era suficiente.
Según Eset, el 69% de las organizaciones sufrió algún incidente de seguridad durante el último año en América Latina y el mayor porcentaje de detecciones de códigos maliciosos en campañas de phishing estuvieron en Ecuador (8%), Costa Rica 7,2% y Colombia (5,7%). El Perú representó el 2,2%.
A nivel global, sólo el año pasado, la prensa internacional informó que Google indexó un poco más de dos millones de sitios de phishing y más del 30% de las empresas en América Latina han experimentado un aumento en estos ataques cibernéticos. El phishing siguió siendo la mayor amenaza, siendo los bancos los más afectados, con un aumento del 52% en esta práctica.
En el caso del ransomware, el reporte de Eset señaló que el 96% de las organizaciones considera que este tipo de amenaza representa una especial preocupación y el 21% confirma haber sido objetivo de un ataque de ransomware en los últimos dos años. De hecho, en 2022 varios organismos gubernamentales y empresas privadas de América Latina fueron sonadas víctimas de grupos de ransomware como Conti, Hive, LockBit o Vice Society.
También ha sido cada vez más frecuente encontrar campañas orientadas específicamente para el robo de datos y el espionaje usando malware de tipo spyware. En esta categoría Eset encontró a los keyloggers, RAT (o herramientas de acceso remoto), troyanos bancarios, infostealers, entre otras. El país con un mayor índice de detección de este tipo de amenaza es Brasil (8,1), seguido por México (7,1) y Uruguay (5,8).
