Cómo el Phishing se ha vuelto la primera amenaza en ciberseguridad en el Perú

Por Julio Melgarejo

Con el pasar de los años, los ciberataques son más comunes y las empresas, tanto grandes como pequeñas, no están libres de ser víctimas de grupos de delincuentes que no dudarán un segundo en buscar la forma de robar datos o realizar brechas de seguridad. En ese sentido, de acuerdo a los expertos consultados por ITSitio, el phishing se ha vuelto la primera amenaza en ciberseguridad en el Perú en los últimos años.

Pero, ¿qué es el phishing? Se trata de un método que utiliza la ingeniería social para conseguir información confidencial. Es decir, el ciberdelincuente, mediante engaños, se hace pasar por una persona, empresa o plataforma para conseguir datos privados, los cuales posteriormente pueden ser material para un secuestro, también pueden ser vendidos en la Deep web o como parte de filtraciones masivas en la red.

En términos numéricos, durante el periodo de julio 2022 hasta julio 2023, la firma de ciberseguridad Kaspersky bloqueó 286 millones intentos de ataques de phishing en Latinoamérica, siendo 31,5 millones solo de Perú. Según la compañía, esto representa un aumento de 16 veces en comparación con el mismo periodo anterior (julio 2021 hasta julio 2022), cuando se registró 1,8 millones de ataques.

Sea cual sea su posterior uso o su presencia en números, los ciberdelincuentes que operan en Perú vienen utilizando el phishing para generar brechas de seguridad y así conseguir beneficios económicos.

El phishing, la primera amenaza en ciberseguridad en Perú en 2023

“Conforme al Informe de Ransomware 2023 de FortiGuard Labs, el phishing sigue siendo la táctica principal (53%) empleada por los ciberdelincuentes para infiltrar redes y ejecutar ataques de ransomware”, dice a ITSitio Elvis Rivera, gerente de ingeniería para Fortinet Perú. “Este fenómeno se atribuye al aumento en la accesibilidad y asequibilidad de las herramientas de generación de contenido basadas en inteligencia artificial, que los criminales aprovechan para sofisticar sus operaciones”.

Asimismo, el experto en ciberseguridad aseguró que en la primera mitad de 2023 el Perú ha recibido tres mil millones de intentos de ciberataque. “En dicho periodo, el Ransomware ha sido la principal preocupación de las empresas y el phishing el método preferido de los cibercriminales para acceder y bloquear las redes corporativas”.

Desde Fortinet Perú apuntan que los intentos de phishing en empresas cada vez son “más variados y creativos”, siendo algunos de ellos el phishing selectivo, phishing de clones, vishing, caza de ballenas, raquetas de nuevo y robo de correo electrónico corporativo.

“La constante evolución y sofisticación de estas técnicas subrayan la importancia de que las organizaciones actualicen continuamente sus estrategias de seguridad”, resalta Rivera.

Asimismo, el phishing es un enemigo a combatir no solo gracias a soluciones de seguridad, sino también con capacitaciones al personal.

“En 2022, el 82% de las brechas de seguridad exitosas involucran el factor humano, de acuerdo con el reporte Verizon Data Breach Investigations. Mientras que tener la tecnología y los procesos en orden es sin duda un factor clave para proteger a una organización, los humanos son casi siempre el eslabón más débil dentro del ecosistema de ciberseguridad corporativo. Por tanto, es mandatorio educar a los empleados en mejores prácticas”, añade el experto en Fortinet.

Las consecuencias del phishing en las empresas

Al inicio de este artículo mencionamos algunos resultados del phishing, pero la difusión de información privada o filtración de datos no son los únicos fines de los ciberdelincuentes. También está la pérdida de dinero en pagos o el compromiso de redes corporativas.

“Para una PyME, una brecha de seguridad puede llegar a costarle un promedio de US$100.000 dólares, lo que representa una afectación de la que es difícil que se puedan recuperar”, comenta Assolini. “De acuerdo al estudio de Kaspersky, ‘Ajuste de la inversión: alineando los presupuestos de TI con las prioridades de seguridad’, los incidentes de esta índole sufridos por las PyMES de la región provocaron que una de cada tres (36%) tuviera que pagar compensaciones a clientes, 32% pagará multas o penalizaciones, 31% perdiera socios de negocio y 29% enfrentará problemas para encontrar nuevos clientes”.

Cómo las pymes deben protegerse del phishing

Te dejamos cinco consejos de Elvis Rivera, gerente de ingeniería para Fortinet Perú para ayudar a las pequeñas y medianas empresas a no caer en el phishing:

• Habilitar filtros contra spam: esto es posiblemente la defensa más básica de una organización contra el phishing. Los filtros de spam son de gran ayuda ya que proveen una capa de seguridad extra a la red, lo que es especialmente importante dada la popularidad de un email como vector de ataque.
• Actualizar los softwares de manera regular: asegurar que tanto los sistemas operativos como los softwares que utiliza la organización se actualicen de forma regular, el parcheo puede fortalecer los softwares y sistemas operativos vulnerables en contra de algunos ataques.
• Implementar autenticación de múltiples factores (MFA): MFA requiere que un usuario provea múltiples piezas de información antes de iniciar sesión en una red corporativa y obtener acceso a sus recursos. En general, esto exige implementar al menos dos de estos tres elementos: algo que conoce (contraseña o PIN), algo que tiene (token físico) y algo que es (huella digital, escaneo de iris o reconocimiento de voz).
• Respaldar la información: todos los datos corporativos deben ser encriptados y respaldados de manera regular, ya que esto es crítico en caso de una brecha de seguridad o que alguna se vea comprometida.
• Bloquear los sitios web no confiables: utilizar un filtro web para bloquear acceso a sitios maliciosos en caso de que algún empleado sin querer dé clic a un enlace corrupto.