Ante el aumento de más de un 1.000% del phishing en Chile, desde Flow, plataforma de pagos online, explican cómo prevenir ser víctima de esta amenaza, consistente en enviar engañosamente correos electrónicos que parecen provenir de fuentes confiables y que buscan robar información confidencial.
De acuerdo a información difundida en la prensa, Kaspersky registró 592 millones bloqueos de intentos de phishing en Chile entre junio de 2022 y julio de 2023, lo que representa un aumento del 1700% en comparación con los 12 meses anteriores.
Frente a esta situación Carlos Durán, director de Flow señaló que “el phishing es un tipo de ataque que aprovecha nuestras vulnerabilidades psicológicas, explota nuestras confianzas y nos empuja mediante un engaño a entregar información confidencial.
El experto en ciberseguridad explicó que lo tradicional es que el phishing se propague a través de correo electrónico, sin embargo, cada vez se ve más la incidencia del smishing, que llega mediante mensajes de texto en el teléfono celular.
“Últimamente también se están recibiendo ataques por medio de llamadas (vishing) donde se suplanta a alguien que conocemos (algún familiar, o el gerente de la empresa) y que nos solicita realizar alguna acción que compromete algún tipo de activo. El vishing es particularmente peligroso porque se está teniendo cada vez mayor acceso a herramientas de Inteligencia Artificial Generativa que pueden producir audios cada vez más convincentes”, agregó.
¿Cómo evitar ser víctima del phishing?
Carlos Durán indicó que lo principal es ser consciente de que uno puede ser víctima de un engaño. Teniendo esto en mente, uno está más alerta a los posibles indicadores de un ataque de phishing, los cuales típicamente son:
-El mensaje que se recibe no es habitual, pues se pide hacer algo que normalmente no se solicita.
-El mensaje no está personalizado correctamente. Se refieren a la persona como ‘cliente’ o por su dirección de correo electrónico y no por su nombre.
-El origen del mensaje no es reconocible. Muchas veces llegan mensajes de correo desde direcciones que no corresponden a la empresa o institución.
-En el mensaje se incluyen conceptos que introducen el sentido de urgencia en tomar acción. Se llama a actuar rápido para evitar consecuencias (como bloqueo de cuentas, alzas de precio, pago de multas, etc.). Esto es muy potente en nuestro cerebro, pues cuando nos vemos sometidos a una urgencia nos enfocamos en resolverla y eso baja algunas barreras de defensa y nos hace caer en los engaños.
-Los llamados a acción no son reales. Se usan enlaces o botones que llevan a sitios web que simulan ser los reales, pero son falsos. No tienen las líneas gráficas actualizadas, la dirección web (URL) no corresponde a un dominio de la empresa o institución, sino a “algo parecido”.
En suma, una buena medida es no sobre reaccionar ante un mensaje de alerta. “Debemos tomarnos algo de tiempo en evaluar la situación y mirar estos detalles. Si algo nos parece extraño o poco habitual, debemos tratarlo como sospechoso de un ataque y, en lo posible, se debe verificar con el supuesto remitente del mensaje si fue él quien lo envió. Para esto se debe utilizar un canal de comunicación diferente al que se usó para recibir el mensaje. Por ejemplo, si el mensaje llegó por correo electrónico, se debe preferir confirmar vía teléfono, mensaje instantáneo o, idealmente, una video llamada”, destacó el experto.
Pasos a seguir si ya se fue víctima de phishing
Lo primero es alertar a quién corresponda según los datos comprometidos en el ataque.
Si lo que se expuso es información de la empresa, se debe alertar a los encargados de seguridad de la misma.
Si se comprometió credenciales bancarias, entonces el afectado se debe poner en contacto con su banco para bloquear la posibilidad de ser defraudado.
Si se vulneró credenciales de una red social, la víctima tiene que comunicar a sus contactos de esta situación, pues es posible que los delincuentes intenten contactarlos para engañarles haciéndose pasar por ella y solicitar dinero u otro activo.
En todos los casos, la persona defraudada debe cambiar sus credenciales de acceso (contraseña) que han sido comprometidas en el ataque. Aquí es muy importante destacar que hay que evitar usar la misma contraseña en distintos servicios o redes sociales, pues si se filtra una, los delincuentes tendrán acceso a todas ellas.
