Phishing, el delito cibernético que tiene en alerta a las autoridades en Colombia; conozca cómo no ser víctima

Por Valentina Moreno Rosero, subeditora de Medios Sociales de El País

El ciberdelincuente se ha convertido en un dolor de cabeza, no solo para las autoridades, sino en especial para los ciudadanos, quienes día a día se enfrentan a los cientos de modus operandi que estos criminales han tenido la capacidad de desarrollar a lo largo de los años recientes.

Incluso, esta problemática ha llevado a que las autoridades colombianas estén en máxima alerta ante los masivos reportes de las víctimas de aquellos sujetos que se aprovechan de la tecnología para cometer cientos de delitos cibernéticos.

Este es el caso del phishing, uno de los métodos más utilizados por ciberdelincuentes para estafar y obtener información confidencial de forma fraudulenta; un delito en el que, según el Ministerio de las TIC, los ciudadanos pueden llegar a entregar desde una contraseña hasta información detallada sobre tarjetas bancarias u otros datos personales.

De hecho, según las cifras de Kaspersky, compañía multinacional de ciberseguridad y privacidad digital, el phishing es uno de los ciberdelitos que más víctimas ‘pesca’ en Colombia, tanto así que en el periodo 2023 - 2024, este delito registró un aumento del 120% en comparación con los datos del periodo 2022 - 2023.

En ese sentido, el estudio de la mencionada compañía también detalló que entre julio de 2023 y la misma fecha de 2024, en el territorio nacional se presentaron 166 mil ataques de phishing al día, lo que significó que por minuto ocurrieron 115 de estos robos tecnológicos.

¿Cuál es el modus operandi?

El phishing es un ciberdelito que está latente y que no distingue de niveles educativos ni socioeconómicos, incluso, es una estafa de la que cualquier ciudadano corre el riesgo de ser víctima porque a lo que se dedica el criminal es a engañar a los usuarios mediante mensajes de texto, correos electrónicos, llamadas telefónicas o sitios web fraudulentos.

“Los cibercriminales envían mensajes haciéndose pasar por el banco, una tienda en línea o incluso por una persona conocida; los casos más comunes son los correos electrónicos suplantando entidades financieras o del Gobierno, indicando que hay supuestos problemas con las cuentas del usuario y que se debe ingresar a determinado sitio para ampliar la información”, explicó Camilo Gutiérrez, jefe del laboratorio de investigación de ESET Latinoamérica.

A su vez, Fabio Assolini, director del Equipo de Investigación para América Latina de Kaspersky, detalló que otra de las características de los ataques de phishing es que se busca despertar ilusión en la víctima, diciéndole que fue seleccionada como ganadora de una oferta única o una promoción.

“Le piden a la persona una acción que es hacer clic, el mensaje llega por mensaje de texto, correo o WhatsApp y las demás redes sociales. De ahí lleva a una página falsa similar a una de popular conocimiento y en esta al usuario se le pide número de tarjeta y de cuenta, contraseñas o token de sus bancos. Este es, sin duda, el ataque más popular en todo Latinoamérica”, indicó Assolini.

Los que más caen en el engaño

De acuerdo con lo detallado por Camilo Gutiérrez, los más afectados por este delito son las personas que no son conscientes de que existen esas amenazas o que no reconocen cuándo hay un riesgo en los mensajes que reciben por redes sociales.

Particularmente, según dijo, la mayoría de las víctimas son personas mayores por el hecho de que no están tan familiarizadas con la tecnología, pero también los ciudadanos más jóvenes que al ser muy confiados en el uso de las redes, entonces están más propensos a caer en los engaños.

“Las personas sienten miedo de que sus cuentas estén en peligro, de que les hayan impuesto una multa, pero también se ilusionan con algún premio o promoción y el desespero de que si no actúa rápidamente traerá consecuencias, entonces las lleva a darle clic a enlaces maliciosos que lo único que buscan es quedarse con su información”, manifestó Gutiérrez.

¿Qué hay detrás de los ataques?

De acuerdo con los expertos, el phishing es un ataque común porque para los cibercriminales es “barato” de llevar a cabo. Incluso, Assolini manifestó que “cualquier delincuente, sea junior o senior, puede hacer este tipo de ataques masivos. Envían mensajes a 10 mil personas y con que el 1 % de esos usuarios caiga, el criminal ya tiene su ganancia”.

Incluso, ante la duda de qué es lo que verdaderamente buscan los delincuentes, desde el CAI Virtual de la Policía Nacional especificaron que todo depende del tipo de dato que fue robado, es decir que si fue una contraseña de acceso a la cuenta bancaria entonces los cibercriminales entran y se roban el dinero que haya en estas.

Pero si lo que hurtaron fue el acceso a las redes sociales del usuario, entonces usarán el perfil de la persona para enviar mensajes maliciosos o para “secuestrar” dicho perfil a cambio de una exigencia monetaria.

“Hay otros datos que pueden robar, por ejemplo con el número de tarjeta clonan esos documentos y con eso hacen compras en línea hasta que la cuenta quede sin saldo. Otra opción es que aglomeran todos los datos personales que fueron robados a miles de personas para luego venderlos a otros criminales”, dijo Fabio Assolini, de Kaspersky.

Evite ser víctima

Ante el latente aumento de casos de phishing en el país, desde la Policía Nacional compartieron una serie de tips para que los ciudadanos no caigan en las trampas de los ciberdelincuentes y se protejan de las amenazas que hay en la era digital.

Al respecto, el CAI Virtual de la Policía destacó que no se debería enviar información sensible como datos personales o bancarios por medio de correo electrónico. Además, resaltaron que se debe evitar hacer clic en enlaces de dudosa procedencia o descargar archivos de sitios desconocidos.

“Lo más importante es que todos debemos ser conscientes de que existen los riesgos en internet, así será más fácil aplicar las estrategias de protección como lo es ser cauteloso con los mensajes desconocidos que se reciben con mucha urgencia o con información extraordinaria”, indicó el jefe del laboratorio de investigación de ESET Latinoamérica.

Otra de las recomendaciones de las autoridades es que no se ingresen contraseñas de ningún tipo si un enlace parece sospechoso, sobre todo porque los ciberdelincuentes pueden ocultar malware en los archivos que los usuarios reciben por correo electrónico, por lo cual, también es clave tener programas de antivirus en los dispositivos que cada persona utilice.

Según resaltaron desde el CAI Virtual, hay que ir un paso adelante de los delincuentes, es decir desconfiar de todos los enlaces de supuestas promociones o de presuntos errores bancarios, lo que se debe hacer es ir directamente a las páginas oficiales de las entidades y verificar que la información recibida sea verídica.

“El segundo factor de autenticación es clave tenerlo en las cuentas de redes sociales y bancarias porque si alguien logra acceder a ellas no va a poder usarlas”, puntualizó Gutiérrez.

Ojo con las contraseñas

Uno de los objetivos de los ciberdelincuentes es tener accesos a contraseñas que les permitan cometer más delitos, como lo es acceder a las redes sociales de los usuarios para pedir dinero a cambio de devolver dichas cuentas.

Para evitar que las contraseñas sean fáciles de hurtar, las autoridades recomendaron no utilizar las mismas en todas las plataformas. Es clave habilitar la autenticación en dos pasos en todas las cuentas bancarias, así como en las de redes sociales.

Expertos recomendaron que, a la hora de elegir una contraseña, estas sean mayores a ocho caracteres y que las vocales se conviertan en números para aumentar la seguridad de estas.