El phishing es un engaño que se ha reinventado para seguir robando información tanto a usuarios como a empresas en pleno 2024.
Años 90, la época de los Walkman y la fama de los videojuegos como Super Nintendo. Conectarse a internet era toda una aventura: ese sonido único del dial-up y la pelea constante por liberar la línea telefónica eran parte del ritual.
AOL y sus discos para probar internet gratis llegaron a millones de hogares, abriendo el mundo del correo electrónico y la navegación web.
Han pasado más de tres décadas desde entonces, pero hay algo que sobrevivió a esa época y sigue causando problemas hoy: el phishing, un engaño que se ha reinventado para seguir robando información tanto a usuarios como a empresas en pleno 2024.
Se trata de una técnica que utiliza ingeniería social, es decir, de engaño y manipulación, cuya efectividad recae en crear mensajes fraudulentos de una fuente que aparenta ser legítima, para acceder a dispositivos e infectarlos o robar información confidencial.
Haciendo clic aquí puedes conocer cuáles son las empresas más atractivas para los ciberdelincuentes.
El phishing ha sobrevivido a lo largo de tres décadas porque está basado en algo tan antiguo como la humanidad: nuestras emociones, apelando siempre a un sentido de urgencia para responder el mensaje que recibimos.
En esos nostálgicos noventas, un grupo de ciberdelincuentes se hicieron pasaron por personal de AOL, crearon cuentas falsas de esta plataforma y enviaron mensajes de spam a los usuarios pidiéndoles verificar sus cuentas de forma urgente, recopilando así contraseñas y números de tarjetas de crédito en perjuicio de miles de personas.
Esa vieja táctica ha proliferado de tal forma que, en la actualidad, todos recibimos mensajes de phishing varias veces por semana.
Las cifras del Panorama de Amenazas 2024 de Kaspersky nos dan una idea de la vigencia de esta amenaza: entre julio de 2023 y julio de 2024, nuestras soluciones bloquearon casi 7 millones de intentos de ataques de phishing en América Latina; es decir, más de 1,300 ataques por minuto en nuestros países, muchos de ellos impulsados por sofisticadas técnicas de Inteligencia Artificial como los Deep voice o los Deep fakes.
Más allá de cifras y nostalgia, la vigencia de esta amenaza nos mueve a reflexionar sobre la posición de vulnerabilidad de las empresas latinoamericanas pues justamente el auge de la Inteligencia Artificial (IA) es un factor que han propiciado el alza de los ataques de phishing dirigidos a empleados.
La situación es más preocupante en el caso de las PyMEs que suele estar más expuestas, pues son unidades de negocio con medidas de ciberseguridad menos robustas que las grandes corporaciones. Tan solo en 2023, detectamos más de 90 millones de ataques de phishing a PyMEs de la región y, considerando que el principal objetivo es hacerse de datos financieros, las consecuencias podrían haber sido devastadoras para estos negocios.
Pero el impacto de un ataque de phishing exitoso no se limita a aspectos financieros, la reputación de una organización también puede verse gravemente afectada, y todo podría desencadenarse a partir de un correo electrónico aparentemente inofensivo.
Y es que este tipo de ataques suelen estar dirigidos a los sistemas de correo electrónico corporativo debido a la gran cantidad de información valiosa que se puede encontrar ahí.
No es de extrañarse que 8 de cada 10 jefes de seguridad informática consideren que el email es la principal fuente de ciberataques, de acuerdo con recientes investigaciones.
El problema es que el correo empresarial supone para la mayoría un espacio confidencial, así que, si un empleado recibe un correo de parte de un socio, un proveedor u otra fuente confiable, que pide accesos, datos u otro tipo de información sensible, es probable que le parezca una comunicación común.
El punto medular de esta amenaza es que los correos de phishing a menudo imitan comunicaciones legítimas de fuentes confiables, además, para aumentar la credibilidad, se pueden emplear tácticas como suplantación de direcciones de envío o replicación de la propia marca corporativa.
La situación se ha hecho más crítica con la aparición de estos ataques impulsados por IA, que permite aprovechar algoritmos sofisticados para crear correos electrónicos fraudulentos altamente convincentes y personalizados.
Como ejemplo está el caso reciente de ataques dirigidos a cuentas empresariales en Facebook, los cuales utilizan la infraestructura legítima de la plataforma para enviar correos electrónicos amenazando con la suspensión de estos perfiles.
Los correos parecen legítimos porque proceden de esta red social y contienen mensajes alarmantes como: "Quedan 24 horas para solicitar la revisión. Vea por qué", lo que apela al sentido de urgencia de las víctimas y hace más probable que ingresen a los enlaces que se les pide.
Imaginemos el potencial e impacto que, en una empresa, pueden tener los mensajes falsos de voz o de video que hoy han cobrado auge con el uso de la Inteligencia Artificial.
Estafas de los 90 conviviendo con sofisticados fraudes con objetivos claros: robo de dinero y de credenciales de acceso corporativo que pueden poner en jaque a empresas de todos los tamaños.
Un mundo de generaciones convive hoy en los centros de trabajo, y sin importar la edad o cercanía con la tecnología, todas tienen un punto en común: las emociones y la posibilidad de caer en esos mensajes que apelan a la urgencia para hacer clic en un enlace con consecuencias nefastas.
Para todas ellas, la capacitación en ciberseguridad es la clave, no importa si es un colaborador de la generación Z o un nostálgico del inolvidable sonido de la conexión por dial-up.
(*) la autora es gerente general para el Norte de América Latina en Kaspersky.
Las opiniones expresadas en este artículo son única responsabilidad de su autora y no tienen que ver con la posición de Forbes República Dominicana.