Los
casos contabilizados en los últimos años de robo de datos bancarios, por medios
electrónico y digitales en nuestro país, definieron que existieron fugas económicas
de más de RD$120 millones, según estableció la Asociación de Bancos Comerciales.
El
Phishing o Suplantación de Identidad no es más que la captación de los datos
personales realizado de una manera ilícita o fraudulenta por medio del uso de
las herramientas tecnológicas como la internet. Esta es una palabra del inglés
que se originó de su homófona Fishing, el cual su traducción fiel es Pesca, por
ende, el adjetivo del término Phishing sería el de Pescar datos, ejecutados
directamente por el Phisher.
Según
uno de los asesores de seguridad informática más famosos de la historia, Kevin
David Mitnick, establece claramente que el método más utilizado para la
captación de los datos personales, datos bancarios, cuentas de correo
electrónico y cuenta de redes sociales es por medio del uso de la técnica
llamada “Ingeniería Social”, algo que va más allá de las técnicas del Hardware
o del Software, que es la práctica de obtener información confidencial a través
de la manipulación de usuarios legítimos; recolectar información vital a través
de cuentos, mentiras y engaños; su teoría principal es que muchas veces son las
personas y no las tecnologías quienes presentan el punto débil en la seguridad
de una compañía o una plataforma.
Las
campañas de phishing son uno de los porcentajes más altos al momento para
comprometer una infraestructura de una empresa. Estos ataques pueden ser por
correo electrónico, minimensajes, llamada telefónica y vía redes sociales.
Todos estos vectores de ataques logran ser posible cuando existen varias
informaciones falsas (ej. COVID-19), esto ocurre cuando una persona no solo
escucha información a través de medio sin una verificación de información y
autenticidad de la persona que tiene información correcta acerca de la pandemia
actual. Es aquí donde un atacante utiliza estos vectores de ataques para su
propio beneficio, para un robo de información, comprometer infraestructuras,
suplantación de identidad, etc.
Esta
pandemia que ha surgido durante los primeros meses de este año ha permitido a
un atacante expandir informaciones falsas para alertar a los usuarios para
realizar ataques de phishing. También, las empresas son afectadas no solo por
información falsa, sino por ser forzado de enviar a sus empleados a trabajar desde
la casa. Dado al volumen tan alto de usuarios estando remoto, implica nuevas
tecnologías implementadas en tan poco tiempo para que esto sea posible. La red
de un usuario desde su hogar puede ser la brecha de seguridad de una empresa.
Esto puede hacer posible si esta entidad no tiene en buena práctica la
seguridad de la información.
Ya que
durante toda esta pandemia que está ocurriendo global, los ciberdelincuentes
están realizando ataques enfocados a empresa para comprometer usuarios mediante
correos electrónicos malicioso con el pretexto de información acerca del
COVID-19. Esto es una de las razones en la cual el usuario debe de estar atento
de identificar el correo phishing para entender cuál es la información
verdadera y cuál es la falsa.
Se
debe de tener siempre en cuenta que los correos con intenciones maliciosas
siempre enviaran un mensaje que llame al usuario a hacer clic al enlace.
También, el motivo de ellos es que descargue algún tipo de archivo malicioso
con un pretexto de tener información verídica acerca de esta pandemia. Siempre
he de recordar que las instituciones que contiene información verídica nunca
solicitarían cuenta de banco, tarjeta de crédito, número de
identificación(cédula), enviar algún tipo de mensaje que le ocasione pánico o
miedo sino hace clic al enlace. Además, siempre se debe de validar el remitente
del correo electrónico para asegurar que el correo fue enviado por la persona
que dice ser en el cuerpo del correo.
Ley Sancionadora: El
Departamento de Crímenes y Delitos de Alta Tecnología (DICAT), es una entidad
subordinada a la Dirección Central de Investigaciones Criminales (DICRIM) de la
Policía Nacional, se encarga de dar apoyo en las investigaciones de casos y
sometimientos ante la justicia por crímenes y delitos relacionados con la
Tecnología, en conjunto con el Ministerio Público han resuelto 709 casos de
Suplantación de Identidad en los últimos dos años; la Ley 53-07 de Crímenes y
delitos de Alta Tecnología establecen sanciones claras a las personas que
delinquen utilizando los medios electrónicos como herramientas para cometer los
mismos; esta ley prevé sanciones privativas de libertas y económicas.
Objetivos del
ataque: Las informaciones que son solicitadas de manera regular por los
atacantes o Phisher a los usuarios legítimos son las siguientes: Los Usuarios y
sus contraseñas; Información de las Tarjetas de Crédito y/o Debito; Datos del
Token de Seguridad; Números de Sincronización de la Tarjeta Dinámica... Entre
otras.
Medios de ataque:
Los correos que se reciben que pertenecientes a el envío masivo para la
recolección de datos de usuarios es, en muchas ocasiones; geo focalizada, con
esto queremos dejar claro que los usuarios por medio de sus exploradores o el
uso de su correo electrónico poseen una dirección Ip que determina su
localización geográfica y los Phisher utilizan esa herramienta para poder
ejecutar en una zona específica el ataque y se pueden valer con las
herramientas del envío de correo electrónico de las siguientes entidades: Web
mails; Redes Sociales; Bancos; Sitios de Compras en Línea; Otro tipo de
empresas (Ofertas de empleo) y Juegos de Computadoras.
Características
del ataque: Las características de ataque que poseen en común los ciber
delincuentes de este tipo de delito tecnológico son las siguientes: Pueden ser
Informaciones por correo Electrónico, Páginas Web, Malware, Ventanas
Emergentes, Redes Sociales, Llamadas Telefónicas, SMS y Páginas Web en motores
de Búsqueda.
Siempre se
presentan como un problema de carácter técnico en una de las cuentas del
Usuario legítimo. En ocasiones informan que es para actualizar la información
del usuario por recientes detecciones de fraude y un incremento en el nivel de
seguridad.
Recomendaciones
de seguridad para la prevención del fraude: Cambios en la Política de seguridad
de la entidad; Promoción de Nuevos Productos; Premios, Regalos o Ingresos
económicos inesperados; Accesos o usos anómalos a la cuenta; Desactivación
inminente de los servicios o algún servicio; Falsas ofertas de empleo, entre
muchos otros.
Recomendaciones:
Las recomendaciones que hay que tomar muy en cuenta para no ser víctimas del
Phishing son las siguientes: Siempre confirmar que los portales web a los
cuales accedemos son los oficiales de las entidades bancarias; Observar en la
Barra de direcciones que la url (dirección) pertenece a la entidad a la cual
pensamos acceder y que la misma tiene un acceso seguro; No acceder a las
peticiones de solicitud de información. Al momento de tener alguna duda,
debemos consultar directamente a la empresa o servicio a través de los
mecanismo oficiales que facilitan en su página web oficial; En ninguno de los
casos contestar o responder a ninguna solicitud de información solicitada por
medio de los correos electrónicos de procedencia dudosa o por medio de vínculos
adjuntados a los mismos; No se debe, por ninguna situación, instalar
aplicaciones que vengan adjuntas a correos de procedencia dudosa o que se
descarguen por algún vínculo agregado al contenido del mismo; Conocer al
remitente o autor de la publicación. Si entiendes que alguna página, correo o
archivo que recibes por algún medio electrónico es un posible medio para captar
información legítima; denúncialo a Departamento de Crímenes y Delitos de Alta
Tecnología. @Dicat_PN
Fuentes
estadísticas y opinión: Diario Libre R.D – Acento R.D
www.diariolibre.com
– www.acento.com.do
