Quienes llevan años navegando en la red probablemente recuerden aquellas cadenas de correos que llegaban masivamente a la bandeja de entrada con mensajes como “Si rompes esta cadena, tendrás un día terrible”. Estos correos, a menudo acompañados de solicitudes de información personal o archivos adjuntos infectados con malware, eran en realidad intentos de engaño cibernético. MIRA: Inseguridad en el Perú: ¿cómo puede ayudar la tecnología y la IA a combatir el robo y la extorsión? Se trataba —y aún se trata— de ataques de phishing, una forma de ingeniería social que busca manipular a los usuarios para que entreguen voluntariamente datos sensibles, como contraseñas, números de tarjetas o accesos a cuentas. Aunque el formato ha evolucionado —hoy llega por correo, mensajes de texto, llamadas o redes sociales—, el objetivo es el mismo: hacerse pasar por una entidad confiable para robar información. El phishing de siempre Mientras más informado esté evitará ser estafado. Foto: Freepik. Hoy en día, con la ayuda de herramientas al alcance de cualquiera, el phishing incluso se ha perfeccionado. Crear mensajes más convincentes, que suplantan la identidad de terceros y cuidan mucho más el estilo de redacción, resulta muy sencillo. A veces, dichos correos maliciosos buscan obtener información sensible de las víctimas; otras veces incluyen malware, archivos maliciosos que pueden ir desde los más simples hasta los más sofisticados. En algunos casos, estos programas infectan los equipos de sus víctimas y permiten a los atacantes tener acceso remoto, espiar y robar información, muchas veces sin ser detectados. Uno de los tipos de malware más prevalentes en este contexto es el infostealer, diseñado para robar información confidencial. En nuestro país, los más detectados son Win32/Spy.LummaStealer, especializado en el robo de contraseñas, criptomonedas y cookies; MSIL/Spy.AgentTesla, un troyano espía que registra pulsaciones de teclado y datos del sistema; y finalmente MSIL/Spy.RedLine, enfocado en extraer credenciales y datos financieros, que suele ocultarse en cracks de software o sitios fraudulentos. ¿Cómo es que, después de tantos años, seguimos siendo víctimas del phishing? Para Fabiana Ramírez, security researcher para Latinoamérica de ESET, lo que vemos es una falta de concientización. “La tecnología avanza todos los días, y con ella, las técnicas de phishing se perfeccionan: ya no llegan solo por correo electrónico, sino también por mensajes, llamadas u otras formas de ingeniería social. El problema es que muchas personas no se toman el tiempo de aprender sobre estos riesgos o no están tan familiarizadas con la tecnología, lo que las hace más vulnerables. Los cibercriminales lo saben y lo aprovechan. Esa falta de conciencia es, para mí, el núcleo del problema”, explica a El Comercio la especialista. Ramírez señala además que, según informes de UNICEF, los niños son los más vulnerables a este tipo de amenazas. “Por un lado, porque aún no tienen la conciencia ni el entendimiento de los riesgos digitales y, por otro, porque son quienes más tiempo pasan conectados a la tecnología, muchas veces sin supervisión. A esto se suma que sus padres, por desconocimiento, no siempre saben cómo manejar o controlar estas cuestiones”. MIRA: Los ciberdelincuentes no necesitan tu contraseña: este es el error que abre la puerta a tu información privada Vulnerados: nadie se salva Algunos de los malwares mencionados aprovechan vulnerabilidades de los sistemas. Ningún sistema digital es perfecto: todos tienen puntos débiles y, por tanto, están expuestos. Puede haber vulnerabilidades que pasan mucho tiempo desapercibidas, hasta que un ciberdelincuente descubre que puede explotarlas. Lo llamativo en el caso peruano es que muchas de las vulnerabilidades más explotadas son antiguas, todas ya corregidas por sus respectivos fabricantes mediante parches de seguridad. Sin embargo, en el país no se aplican estas actualizaciones con la frecuencia necesaria. Entre las más explotadas están: CVE-2012-0143 (43%): falla crítica en Windows que permite ejecución remota de código. CVE-2017-0199 (16%): usada para comprometer equipos mediante archivos de Office. Log4Shell – CVE-2021-44228 (4%): vulnerabilidad en Apache Log4j que sigue siendo explotada en entornos desactualizados. En este caso, ya no solo se trata de falta de conciencia. “También es una cuestión de recursos. Muchas aplicaciones son pagas, y aunque no parezcan caras en otros contextos, para muchas personas en Latinoamérica representan un gasto considerable. Eso lleva a que se opte por no actualizar o por instalar versiones piratas. Además, en nuestros países, la piratería está tan naturalizada que parece algo común, aunque sea ilegal. Es una conducta socialmente aceptada”, comenta Ramírez. “¿Quién no usó Ares para descargar música hace años? Todos sabíamos que era pirata, pero nadie nos hablaba de los riesgos que eso implicaba. Y hoy sigue pasando algo similar, con la diferencia de que ahora tenemos expuestos datos mucho más sensibles, como los de nuestras cuentas bancarias”, añade. Fabiana Ramírez, security researcher de ESET Latinoamérica. / Difusión Sin embargo, esta no es solo una realidad que afecta al usuario común. Incluso las empresas enfrentan este panorama. Muchas comenzaron a digitalizar su información hace años con herramientas como Excel 2008, y hasta hoy las siguen usando. ¿Por qué? Por miedo al cambio, al error, a la curva de aprendizaje de nuevos sistemas. “Ese miedo hace que no actualicen ni las herramientas ni capaciten a sus empleados, y eso abre la puerta a muchas vulnerabilidades. No se trata solo de ignorancia, sino también de una falta de estrategia tecnológica”. Y ni el Estado se salva de las constantes incursiones de los ciberatacantes. Instituciones gubernamentales han sido blanco de ataques reiterados. Una de las más golpeadas ha sido RENIEC, cuyas bases de datos se ofrecen en el mercado negro, exponiendo información de millones de ciudadanos: nombres, fechas de nacimiento, direcciones, datos familiares, laborales, entre otros. Muchas veces ni siquiera se trata de ciberataques, sino de filtraciones internas. MIRA: Las ‘pandillas sádicas y violentas’ online que están integradas principalmente por adolescentes “Todo sistema, por más seguro que sea, puede ser vulnerable. Incluso si estás protegido, puedes ser víctima de un ataque”, señala Ramírez. “Es cierto que entidades como RENIEC han sido vulneradas, y no es exclusivo del Perú. La raíz del problema vuelve a ser
