Quienes llevan años navegando en la red probablemente recuerden aquellas cadenas de correos que llegaban masivamente a la bandeja de entrada con mensajes como “Si rompes esta cadena, tendrás un día terrible”. Estos correos, a menudo acompañados de solicitudes de información personal o archivos adjuntos infectados con malware, eran en realidad intentos de engaño cibernético.
MIRA: Inseguridad en el Perú: ¿cómo puede ayudar la tecnología y la IA a combatir el robo y la extorsión?
Se trataba —y aún se trata— de ataques de phishing, una forma de ingeniería social que busca manipular a los usuarios para que entreguen voluntariamente datos sensibles, como contraseñas, números de tarjetas o accesos a cuentas. Aunque el formato ha evolucionado —hoy llega por correo, mensajes de texto, llamadas o redes sociales—, el objetivo es el mismo: hacerse pasar por una entidad confiable para robar información.
El phishing de siempre
Mientras más informado esté evitará ser estafado. Foto: Freepik.
Hoy en día, con la ayuda de herramientas al alcance de cualquiera, el phishing incluso se ha perfeccionado. Crear mensajes más convincentes, que suplantan la identidad de terceros y cuidan mucho más el estilo de redacción, resulta muy sencillo.
A veces, dichos correos maliciosos buscan obtener información sensible de las víctimas; otras veces incluyen malware, archivos maliciosos que pueden ir desde los más simples hasta los más sofisticados. En algunos casos, estos programas infectan los equipos de sus víctimas y permiten a los atacantes tener acceso remoto, espiar y robar información, muchas veces sin ser detectados.
Uno de los tipos de malware más prevalentes en este contexto es el infostealer, diseñado para robar información confidencial. En nuestro país, los más detectados son Win32/Spy.LummaStealer, especializado en el robo de contraseñas, criptomonedas y cookies; MSIL/Spy.AgentTesla, un troyano espía que registra pulsaciones de teclado y datos del sistema; y finalmente MSIL/Spy.RedLine, enfocado en extraer credenciales y datos financieros, que suele ocultarse en cracks de software o sitios fraudulentos.
¿Cómo es que, después de tantos años, seguimos siendo víctimas del phishing? Para Fabiana Ramírez, security researcher para Latinoamérica de ESET, lo que vemos es una falta de concientización.
“La tecnología avanza todos los días, y con ella, las técnicas de phishing se perfeccionan: ya no llegan solo por correo electrónico, sino también por mensajes, llamadas u otras formas de ingeniería social. El problema es que muchas personas no se toman el tiempo de aprender sobre estos riesgos o no están tan familiarizadas con la tecnología, lo que las hace más vulnerables. Los cibercriminales lo saben y lo aprovechan. Esa falta de conciencia es, para mí, el núcleo del problema”, explica a El Comercio la especialista.
Ramírez señala además que, según informes de UNICEF, los niños son los más vulnerables a este tipo de amenazas.
“Por un lado, porque aún no tienen la conciencia ni el entendimiento de los riesgos digitales y, por otro, porque son quienes más tiempo pasan conectados a la tecnología, muchas veces sin supervisión. A esto se suma que sus padres, por desconocimiento, no siempre saben cómo manejar o controlar estas cuestiones”.
MIRA: Los ciberdelincuentes no necesitan tu contraseña: este es el error que abre la puerta a tu información privada
Vulnerados: nadie se salva
Algunos de los malwares mencionados aprovechan vulnerabilidades de los sistemas. Ningún sistema digital es perfecto: todos tienen puntos débiles y, por tanto, están expuestos. Puede haber vulnerabilidades que pasan mucho tiempo desapercibidas, hasta que un ciberdelincuente descubre que puede explotarlas.
Lo llamativo en el caso peruano es que muchas de las vulnerabilidades más explotadas son antiguas, todas ya corregidas por sus respectivos fabricantes mediante parches de seguridad. Sin embargo, en el país no se aplican estas actualizaciones con la frecuencia necesaria.
Entre las más explotadas están:
- CVE-2012-0143 (43%): falla crítica en Windows que permite ejecución remota de código.
- CVE-2017-0199 (16%): usada para comprometer equipos mediante archivos de Office.
- Log4Shell – CVE-2021-44228 (4%): vulnerabilidad en Apache Log4j que sigue siendo explotada en entornos desactualizados.
En este caso, ya no solo se trata de falta de conciencia.
“También es una cuestión de recursos. Muchas aplicaciones son pagas, y aunque no parezcan caras en otros contextos, para muchas personas en Latinoamérica representan un gasto considerable. Eso lleva a que se opte por no actualizar o por instalar versiones piratas. Además, en nuestros países, la piratería está tan naturalizada que parece algo común, aunque sea ilegal. Es una conducta socialmente aceptada”, comenta Ramírez.
“¿Quién no usó Ares para descargar música hace años? Todos sabíamos que era pirata, pero nadie nos hablaba de los riesgos que eso implicaba. Y hoy sigue pasando algo similar, con la diferencia de que ahora tenemos expuestos datos mucho más sensibles, como los de nuestras cuentas bancarias”, añade.
Fabiana Ramírez, security researcher de ESET Latinoamérica.
/
Sin embargo, esta no es solo una realidad que afecta al usuario común. Incluso las empresas enfrentan este panorama. Muchas comenzaron a digitalizar su información hace años con herramientas como Excel 2008, y hasta hoy las siguen usando. ¿Por qué? Por miedo al cambio, al error, a la curva de aprendizaje de nuevos sistemas.
“Ese miedo hace que no actualicen ni las herramientas ni capaciten a sus empleados, y eso abre la puerta a muchas vulnerabilidades. No se trata solo de ignorancia, sino también de una falta de estrategia tecnológica”.
Y ni el Estado se salva de las constantes incursiones de los ciberatacantes. Instituciones gubernamentales han sido blanco de ataques reiterados. Una de las más golpeadas ha sido RENIEC, cuyas bases de datos se ofrecen en el mercado negro, exponiendo información de millones de ciudadanos: nombres, fechas de nacimiento, direcciones, datos familiares, laborales, entre otros. Muchas veces ni siquiera se trata de ciberataques, sino de filtraciones internas.
MIRA: Las ‘pandillas sádicas y violentas’ online que están integradas principalmente por adolescentes
“Todo sistema, por más seguro que sea, puede ser vulnerable. Incluso si estás protegido, puedes ser víctima de un ataque”, señala Ramírez.
“Es cierto que entidades como RENIEC han sido vulneradas, y no es exclusivo del Perú. La raíz del problema vuelve a ser la falta de conciencia, pero también la falta de inversión. En muchos gobiernos, la ciberseguridad no se ve como una prioridad, aunque los datos que manejan sean extremadamente sensibles”.
Hacia una legislación más robusta
La Ley N.º 31814, promulgada en julio de 2023, establece un marco normativo para promover el uso de la IA de forma ética, segura y transparente.
/
No todo, sin embargo, son malas noticias. El país avanza en la creación de leyes que protejan los datos de los ciudadanos y regulen el desarrollo de la inteligencia artificial.
De acuerdo con el Índice de preparación del Gobierno para la IA 2023, el Perú ocupa la posición 58 a nivel mundial y el sexto lugar en Latinoamérica. Este avance se debe a diversas iniciativas orientadas a la promoción y regulación tecnológica.
Una de ellas es la Estrategia Nacional de Inteligencia Artificial (ENIA), una iniciativa del gobierno peruano para el período 2021-2026 destinada a promover la investigación, desarrollo y adopción de la IA, priorizando sectores clave para el desarrollo nacional.
Por otro lado, la Ley N.º 31814, promulgada en julio de 2023, establece un marco normativo para promover el uso de la IA de forma ética, segura y transparente, con el objetivo de contribuir al desarrollo económico y social del país.
Para su implementación, se elaboró el Proyecto de Reglamento de la Ley N.º 31814, que detalla los procedimientos, obligaciones y medidas de seguridad necesarios para aplicar la ley de manera efectiva.
Para Ramírez, la ley va en la dirección correcta:
“Está inspirada en modelos de Europa y Estados Unidos, que están avanzados en estos temas. Para el contexto actual del Perú, es una ley adecuada. Obviamente, a medida que la tecnología avance y se implemente más, quizás se necesiten ajustes. Pero hoy por hoy, va por buen camino”.
Uno de los grandes desafíos que la legislación aborda es la formación de profesionales capacitados:
“Hoy en día usamos IA en Latinoamérica, pero no la desarrollamos: la compramos. La estrategia del país está poniendo el foco en el desarrollo de talento local, y eso me parece fundamental”.
Otro aspecto clave es establecer protocolos mínimos de seguridad:
“Hasta ahora se ha trabajado mucho en el uso, pero no tanto en el entorno seguro para ese uso. Y eso es algo que la legislación busca cambiar”.
