Phishing: la modalidad de mayor ESTAFA en LATAM

El phishing es un tipo de estafa en línea, que se da como un ataque de ingeniería social, utiliza la manipulación como puerta de entrada a los datos de sus víctimas. Sigue leyendo para conocer no solo qué es, sino cómo protegerte de este enemigo invisible. 

¿Qué es el phishing? 

El phishing es un tipo de estafa cibernética que afecta a usuarios en todo el mundo, realidad de la que Latinoamérica también es protagonista. El phishing se da mediante el uso de correos electrónicos, llamadas telefónicas, mensajes de texto o mensajería instantánea, o sitios web fraudulentos. 

Por lo general, el estafador que está del otro lado, se presenta como alguien de autoridad o representante de una entidad. Este utiliza la manipulación para convencer a su víctima de que realice determinada acción, que suele ser abrir un enlace o el compartir datos personales confidenciales. 

Así, encubiertos bajo esta máscara de entidades legítimas como bancos, empresas u organismos gubernamentales, engañan a quienes están del otro lado. Lo que buscan es que revelen aquello que necesitan saber para concretar la estafa. 

¿Cómo funciona el Phishing?

Los atacantes crean un mensaje verosímil, es decir, que parece legítimo y proviene de una fuente confiable. Este mensaje puede ser enviado por correo electrónico, mensaje de texto, una llamada telefónica e incluso hasta una publicación en redes sociales. 

El mensaje suele contener un enlace a un sitio web falso o solicitar directamente información personal. Cabe destacar que quienes sufren de las consecuencias del phishing, no caen en la estafa por ingenuos, sino por las características del mismo que en muchos casos puede incluir logotipos, formatos y estilos que imitan a los de la empresa real. De allí que sea tan importante estar muy atentos para evitar además los otros 7 tipos de fraudes en línea que más afectan en LATAM. 

Es mediante técnicas de ingeniería social que los ciberdelincuentes logran hacer que el mensaje sea convincente y urgente. ¿Cómo? Por ejemplo, afirmando que hay un problema en la cuenta del usuario que es necesario resolver de inmediato. Es más, hasta a veces usan la supuesta vulneración de los datos personales como estrategia para convencer a su víctima. 

Si esta hace clic en el enlace, será dirigida a un sitio web que imita al original. Este sitio web le solicitará su información personal, como usuario, contraseña, número de tarjeta de crédito, entre otros. Una vez que los ciberdelincuentes obtienen la información que estaban buscando, pueden usarla para realizar fraudes, como acceder a cuentas bancarias, realizar compras no autorizadas o vender los datos de forma ilegal. 

¿De qué forma me puede llegar el phishing? 

Dependiendo del objetivo y las estrategias utilizadas por los ciberdelincuentes, el phishing se puede producir tanto de forma aleatoria como dirigida. 

Phishing aleatorio

Este tipo de phishing se realiza de forma masiva y no determinada mediante el envío de mensajes fraudulentos a un gran número de destinatarios y solo aguardando la respuesta de alguno o varios de ellos.  Por lo usual, se trata de mensajes genéricos no personalizados y sin mucha investigación previa. 

Phishing dirigido

Por su parte, en el phishing dirigido, los estafadores realizan una investigación previa y personalizan los ataques. ¿Cómo lo hacen? Recopilan información de la víctima en redes sociales, sitios web corporativos y otras fuentes que están disponibles de forma pública. De esta manera pueden obtener detalles personales como nombres, puestos de trabajo, intereses y otras características. 

Más allá de sus diferencias, los dos enfoques son peligrosos. No obstante, el dirigido utiliza técnicas más sofisticadas ya que aprovecha vulnerabilidades específicas no solo de una persona, sino de empresas u organizaciones con las que está vinculada. Por eso es muy importante que las organizaciones, sin importar su tamaño, implementen medidas de seguridad robustas y capaciten a su personal de forma constante para hacer frente a este tipo de peligros potenciales. 

85% De empresas sufrieron de Phishing

Distintos informes llevados a cabo de forma reciente, muestran cómo los ataques de phishing incrementaron en los últimos años, generando pérdidas de miles de millones de dólares. Países como México, Brasil, Colombia y Argentina reportaron un aumento de este tipo de delitos desde el 2022 a esta parte, siendo los sectores más afectados la banca, el comercio electrónico y el sector financiero. 

Según Statista, en 2022 el 30% de los adultos a nivel mundial estuvieron expuestos a ser víctimas de phishing. En el último trimestre de ese mismo año, hubo más de 1,35 millones de sitios de phishing únicos en todo el mundo. A su vez, tomando como referencia el mismo 2022, el tipo de phishing más extendido fue el aleatorio, con alrededor del 85% de las empresas víctimas.  

Ya en el primer trimestre de 2024, el 37,6% de los ataques de phishing en todo el mundo tuvieron como objetivo las redes sociales. Los servicios de software basados en la web y el correo web le siguieron con un 21%, mientras que las instituciones financieras representaron el 9,8% de los ataques. 

5 medidas para prevenir el phishing

Prevenir el phishing requiere, por un lado, de estrategias técnicas y, por el otro, de concientizar a la sociedad. En este sentido, estas son 5 medidas que pueden ayudar tu organización a evitar este tipo de delito cibernético: 

1. En la educación está la respuesta: Realizar programas de capacitación continua para educar a los empleados y a los usuarios sobre cómo identificar correos electrónicos, mensajes sospechosos y sitios web fraudulentos es un gran primer paso. 
2. La autenticación multifactor (MFA), tu mejor aliada: Utilizar autenticación multifactor en todas las cuentas críticas no debería ser una decisión a evaluar, tendría que ser una realidad. La MFA añade una (o más) capa adicional más allá de la contraseña. Esto hace que para los ciberdelincuentes sea más difícil acceder a cuentas incluso si obtienen las credenciales del usuario.En este sentido, Segpass, el producto orientado a prevenir el fraude desarrollado por Ionix, garantiza la seguridad y el control de acceso adecuados en sistemas y servicios mediante tres procesos clave, Identificación, Autenticación y Autorización.
3. Atención a los filtros de correo electrónico y seguridad web: Configurar y mantener filtros de spam y soluciones de seguridad de correo electrónico que bloqueen emails de phishing antes de que lleguen a la bandeja de entrada es una buena alternativa. Lo mismo con el utilizar software de seguridad web y servicios de DNS que bloqueen el acceso a sitios web de phishing conocidos. 
4. Cómo verificas la identidad de los remitentes: Establecer políticas que requieran la verificación de la identidad del remitente antes de realizar cualquier acción solicitada en correos electrónicos, sobre todo si implican transferencias de dinero o cambios en la información de la cuenta es otro gran complemento. 
5. Revisar y auditar de forma regular: Es importante realizar auditorías de manera recurrente. Esta es una estrategia efectiva para identificar y corregir vulnerabilidades en los sistemas y procesos de la organización. Asimismo, es recomendable examinar cada cierto tiempo las políticas de seguridad para adaptarse a las nuevas amenazas y tecnologías. 

Implementar todas o algunas de estas medidas, puede fortalecer significativamente la postura de ciberseguridad de tu empresa. Así podrás evitar no solo pérdidas millonarias sino a su vez, la pérdida de confianza y credibilidad de tus clientes. 

Acceder a soluciones de avanzada en materia de seguridad digital y prevención del fraude, es posible con Ionix. Podemos acompañarte con herramientas a medida, personalizadas y escalables para minimizar los riesgos a los que te enfrentas día a día, casi sin saberlo. 

Con el empoderamiento de los ciudadanos para que puedan identificar y protegerse de este tipo de fraudes, y la inversión en productos que marcan la diferencia, mitigar los ciberdelitos es posible. Si necesitas ayuda en este proceso, contacta a nuestro equipo de expertos.