El phishing es una amenaza creciente y latente en todo el mundo. En latinoamérica ha visto un aumento drástico afectando a usuarios y empresas de manera crítica propiciando diversos ataques informáticos y fuga de datos. El retorno de las actividades económicas después de la pandemia, la falta de medidas de seguridad, asi como el uso de herramientas IA para ataques, han sido factores clave para el aumento de los ciberataques en la región.
Los ciberdelincuentes han aprovechado esta oportunidad única para explotar las debilidades en los sistemas de seguridad y poca preparación de los usuarios, lanzando un sinfín de ataques de troyanos bancarios, ataques de malware y otros vectores de ataque a través del phishing.
Por qué nosotros? Es hora de mirar los datos y entender qué tiene de especial la región para una nueva camada de ciberdelincuentes.
Phishing en Latinoamérica: los ataques se sextuplican en 2023
Según el informe de seguridad de Kaspersky de 2023, Latinoamérica experimentó un aumento del 617% en los intentos de phishing en comparación con el año anterior.
Brasil, México, Perú, Colombia, Ecuador, Chile y Argentina se encuentran entre los países más afectados de la región, con millones de usuarios expuestos a correos electrónicos fraudulentos, mensajes de texto engañosos y sitios web falsos.
Un estudio de ESET revela que el 60% de los usuarios en Latinoamérica ha recibido al menos un intento de phishing en el último año, siendo los sectores financiero, comercio electrónico y gubernamental los más afectados.
El nivel de penetración tecnológica mundial ha permitido que estos ataques de ingeniería social, altamente inteligentes e informados, se vuelvan cada día más comunes. De hecho, en el 2023 se produjo a una oleada de ataques de ransomware, de los cuales más del 77% se lograron mediante el uso de enlaces URL y navegación web.
Estadísticas de Phishing en México
En el caso particular de México y de acuerdo con el estudio Retail Report de 2024 de Ayden se estima que 5 de cada 10 mexicanos, es decir, el 55% de los consumidores fueron víctimas de ataques de phishing. Por otro lado, Kaspersky registró solo para México 43 millones de ataques en el 2023.
En este mismo contexto, el año 2023 estuvo marcado por el ransomware dirigido a empresas, el cual se ha percibido más sofisticados. En tal sentido, se presume que también está aunado a que las empresas no disponen de las medidas de ciberseguridad adecuadas y por ende presentan fugas de información sensible, lo cual facilita el trabajo a los ciberdelincuentes.
Es por ello que ahora más que nunca las empresas consideren la ciberseguridad como prioridad, ya que no solamente estarán salvaguardando sus datos sino ahorrando miles de dólares por brechas de seguridad.
Ahora bien, en cuanto a los fraudes más frecuentes vividos tanto por empresas como por individuos en México debemos indicar los siguientes:
- Créditos exprés: un flagelo que ha afectado a numerosos individuos y empresas, prometiendo soluciones rápidas pero resultando en pérdidas significativas.
- Pirámides financieras: una táctica antigua, pero persistente que continúa atrapando a aquellos que buscan ganancias rápidas e inverosímiles.
- Clonación de tarjetas: la sofisticación de las técnicas de clonación de tarjetas sigue siendo un desafío. La vigilancia en transacciones es esencial.
- Fraude de pagos automáticos autorizados: una modalidad que ha ganado popularidad, exigiendo una cuidadosa revisión de las transacciones.
- Credenciales Robadas: El robo de credenciales de usuarios genera ataques de suplantación de identidad para ejercer estafas entre los contactos o ingreso a los sistemas corporativos.
Qué tipo de phishing es más común en México
Phishing Tradicional: Este método implica el envío de correos electrónicos falsificados que parecen proceder de fuentes legítimas, como bancos, empresas de servicios o instituciones gubernamentales. Los correos suelen contener enlaces a sitios web falsos que solicitan información personal, como contraseñas o datos bancarios.
Spear Phishing: A diferencia del phishing tradicional, el spear phishing es un ataque más dirigido y personalizado. Los ciberdelincuentes investigan a sus víctimas y crean mensajes adaptados para aumentar las probabilidades de éxito. Este tipo de phishing es común en ataques a empresas y empleados de alto rango.
Smishing: El smishing es una variante del phishing que utiliza mensajes de texto (SMS) en lugar de correos electrónicos. Los mensajes suelen contener enlaces maliciosos o números de teléfono que redirigen a sitios fraudulentos o a operadores de phishing.
Vishing: Similar al smishing, el vishing utiliza llamadas telefónicas para engañar a las víctimas. Los atacantes se hacen pasar por representantes de bancos, servicios técnicos o instituciones gubernamentales para obtener información sensible.
Estadísticas de Pishing en Colombia
Los ataques de phishing cada vez son más frecuentes convirtiéndose en la principal amenaza digital en este país latinoamericano, Kaspersky registró 30,9 millones de ataques en el 2023, donde miles de personas han sido afectadas a través de correos electrónicos maliciosos y demás métodos.
A pesar de este contexto, el gobierno nacional colombiano ha realizado esfuerzos para contrarrestar la situación con la creación de la Dirección de Ciberseguridad del Ministerio de las Tecnologías de la Información y las Comunicaciones (MinTIC), que tiene como objetivo formular la política de ciberseguridad del país, desarrollar y ejecutar programas y proyectos de ciberseguridad, promover la cooperación internacional y brindar asistencia técnica a las entidades públicas y privadas.
Qué tipo de phishing es más común en Colombia
Phishing Tradicional: En Colombia, el phishing tradicional sigue siendo uno de los métodos más utilizados por los ciberdelincuentes. A través de correos electrónicos falsificados que parecen proceder de fuentes confiables, como bancos, proveedores de servicios y entidades gubernamentales, los atacantes intentan engañar a los usuarios para que ingresen sus datos personales en sitios web fraudulentos.
Spear Phishing: Este tipo de phishing es más sofisticado y dirigido. Los ciberdelincuentes investigan a sus objetivos y crean mensajes personalizados que parecen legítimos. En Colombia, este método se utiliza frecuentemente para atacar a empresas y organizaciones, donde los empleados reciben correos electrónicos personalizados que buscan obtener acceso a sistemas internos o información sensible.
Smishing: El smishing, que utiliza mensajes de texto para engañar a las víctimas, es otra forma común de phishing en Colombia. Los mensajes suelen contener enlaces maliciosos o números de teléfono falsos que redirigen a sitios fraudulentos, haciéndose pasar por bancos, empresas de telecomunicaciones o instituciones gubernamentales.
Vishing: Similar al smishing, el vishing implica el uso de llamadas telefónicas. Los atacantes se hacen pasar por representantes de bancos, servicios técnicos u otras entidades confiables para persuadir a las víctimas de que proporcionen información personal o financiera. En Colombia, este tipo de ataque ha sido utilizado para estafar a personas mayores y a aquellos con menos conocimientos sobre ciberseguridad.
Estadísticas de Phishing en Chile
Chile se destaca contradictoriamente por 2 cosas: por ser uno de los países más adelantados en materia de ciberseguridad pero también por ser el tercer país de la región latinoamericana con mayores reportes de ataques de phishing especialmente con un repunte en el primer trimestre de 2024. En cuando a industrias, el retail fue uno de los sectores más atacados, empatando con finanzas y seguros en el primer lugar, con 25% cada uno.
Según IBM X-Force observó un aumento en las campañas que aprovechan extensiones maliciosas de Chrome, la mayoría enfocadas en entidades financieras de la región. Por su lado Kaspersky, de los poco más de 286 millones de ataques registrados en 2023, 10,5 millones fueron a nivel local y aumentando en 17 veces.
Dentro de los ataques de phishing es recurrente que se produzca en contextos bancarios (solicitando contraseñas, por ejemplo, o pidiendo recambio de credenciales y, en ese momento, sustrayendo los datos del usuario), seguido de sitios web falsos que van adjuntos a mensajes, o fraudulentos e-shops que se hacen con la información.
Qué tipo de phishing es el más común en Chile
Trojan.PDF/Phishing: Este phishing se camufla dentro de archivos PDF aparentemente legítimos, pero que, al abrirse, ocupan ingeniería social para seducir que los usuarios realicen acciones que pueden exponer los datos. Usualmente, estos archivos intentan engañar al usuario para que revele información sensible o descargue software malintencionado adicional.
Trojan.HTML/Phishing: Similar al anterior, este phishing utiliza archivos HTML para engañar a los usuarios y obtener información confidencial como contraseñas o datos bancarios. Los archivos HTML son comúnmente utilizados en campañas de phishing debido a su capacidad para crear páginas web falsas que imitan a sitios legítimos. Estas páginas falsas pueden ser difíciles de distinguir de las auténticas, lo que aumenta el riesgo de caer en la trampa.
Smishing: El smishing, que utiliza mensajes de texto (SMS) en lugar de correos electrónicos, es otra forma común de phishing en Chile. Estos mensajes suelen contener enlaces maliciosos o números de teléfono que redirigen a sitios fraudulentos. Los ciberdelincuentes se hacen pasar por bancos, empresas de telecomunicaciones u otras instituciones para engañar a las víctimas.
Estadísticas de Phishing en Argentina
En el 2023 en Argentina se recibieron 2.000 millones de intentos de ciberataques, según datos de FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de Fortinet, que si bien fue una reducción en comparación al 2022, siguen siendo unas cifras preocupantes, debido a que los ataques no están siendo masivos sino cada vez más específicos y, por ende, de mayor peligrosidad.
Uno de los casos de ataques de phishing específico es hacia entidades gubernamentales.Entre el 1° de enero y el 14 de diciembre de 2023, los sistemas de prevención de intrusos de la Corte Suprema de Justicia de la Nación detectaron y bloquearon el ingreso de 1.030.530 correos no deseados (spam) y 930 intentos de phishing. En respuesta, la Corte Suprema, por medio de la acordada 32/2023, creó una Oficina de Ciberseguridad que funciona bajo la órbita de la Dirección de Sistemas y tiene como misión gestionar la seguridad del tribunal.
Otro caso llamativo es el envío de mensajería de texto para hacerse pasar por el Correo Argentino, indicando que el paquete no pudo ser entregado porque la dirección de envío está incompleta, y pide que se haga click en un link y así los ciberdelincuentes pueden realizar compras en línea con los datos de las tarjetas de crédito de las víctimas.
Según el Informe Anual de Incidentes de Seguridad registrados en el 2023 por el equipo de respuesta ante Emergencias Informáticas Nacional, fueron registrados 117 ataques de phishing en el sector finanzas, 3 en el sector estatal, 64 en el sector transporte
Qué tipo de phishing es el más común en Argentina.
Phishing Tradicional: Es uno de los más comunes en Argentina. Los correos contienen enlaces a sitios web falsos que imitan a los originales. Estos sitios solicitan información personal y financiera. Por ejemplo, un correo que parece venir de un banco local, solicitando que el usuario verifique su cuenta haciendo clic en un enlace proporcionado.
Phishing de redes sociales: El phishing por redes sociales se da en el caso de phishers que acceden a cuentas de redes sociales y logran que la gente envíe enlaces maliciosos o spam a sus contactos, ya sea a través del servicio de mensajería o en el etiquetado de posteos públicos. También es frecuente el robo de datos personales mediante cuentas falsas.
Clone Phishing: Este método implica la creación de una copia exacta de un correo legítimo previamente enviado al usuario. Como por ejemplo un correo que parece ser una actualización de un envío reciente de un proveedor de servicios, con un enlace que dirige a una página de inicio de sesión falsa.
Estadísticas de Phishing en Brasil
Brasil fue el segundo objetivo de ciberataques durante el 2022, duplicando el número de ataques de phishing bloqueados, seguido de Turquía, India, Alemania e Italia, donde también creció la actividad de phishing a través de Telegram. De acuerdo con Kaspersky, en 2022, el análisis anual de Kaspersky sobre el panorama de amenazas de spam y phishing reveló un incremento en los ataques de phishing. Esta tendencia continuó escalando en 2023, aumentando en más del 40% y alcanzando un total de 709.590.011 intentos de acceder a enlaces de phishing.
Asimismo, Brasil resalta porque el mayor porcentaje de ataques de phishing a nivel mundial fue a través de WhatsApp con más de 76 mil intentos de fraude, según el nuevo informe Spam and Phishing 2022 de Kaspersky. La investigación también muestra que el país es el cuarto del mundo que más sufre phishing por correo electrónico. El informe también muestra que, en 2022, hubo un aumento en la distribución de mensajes maliciosos a través de aplicaciones de mensajería, siendo la mayoría WhatsApp (82%), Telegram (14%) y Viber (3%).
La técnica más utilizada fue la ingeniería social con la creación de páginas web idénticas a los sitios web originales y seguidamente los clientes de servicios de paquetería fueron las víctimas más atacadas por phishing, con un 27% del total de bloqueos contabilizados.
Qué tipo de phishing es el más común en Brasil
Phishing en videojuegos: A las víctimas potenciales se les promete ver gratis la próxima novedad (a veces incluso un tiempo antes del lanzamiento oficial), o participar en un torneo de videojuegos con una atractiva bolsa de premios. Para ello, el sitio de phishing podía pedir al usuario que inicie sesión en una de sus cuentas de videojuego. En cuanto la víctima introducía datos en el formulario de phishing, le robaban la cuenta.
Phishing por WhatsApp: En 2023, los estafadores intentaron seducir a las víctimas con algo más que dinero. Por ejemplo, vimos un plan bastante original en el que se invitaba a los usuarios a participar en una lotería para ganar un visado que les permitiera emigrar a otro país para trabajar o estudiar. A los interesados se les pedía que rellenaran una “solicitud” y luego reenviaran la información del “sorteo” a un determinado número de contactos en WhatsApp.
Spear Phishing: Los ciberdelincuentes investigan a sus víctimas y crean mensajes personalizados para aumentar las probabilidades de éxito. Suelen dirigirse a empleados de empresas, especialmente a aquellos en posiciones clave. Por ejemplo, un correo electrónico dirigido a un ejecutivo de una empresa brasileña, haciéndose pasar por el CEO y solicitando información confidencial o la transferencia de fondos.
Estadísticas de Phishing en Perú
En el caso específico de Perú, los ataques de phishing representan una de las ciberamenazas más comunes y es uno de los métodos más utilizados para realizar compras ilegales en línea, las cuales cada vez se están haciendo con mayor frecuencia, de acuerdo con lo reseñado por División de Investigación de Delitos de Alta Tecnología (Divindat) de la Policía Nacional de Perú.
En el mismo contexto, la Policía Nacional de Perú reportó que en el año 2023 registraron 294 casos de phishing. Sin embargo, el phishing es uno de varios ciberataques que afectan en este al momento al Perú.
Asimismo, informaron que los métodos empleados por los ciberdelincuentes se han vuelto más sofisticados, recurriendo al uso de la inteligencia artificial para crear tácticas de engaño más convincentes, de modo que les permite simular voces, generar imágenes falsas de personas inexistentes, e incluso imitar patrones de escritura, lo que dificulta a las personas distinguir entre un mensaje verdadero de uno falso.
Qué tipo de phishing es el más común en Perú
Phishing tradicional: El más utilizado es es phishing mediante el envío de correos electrónicos que pretender ser un banco o una institución gubernamental donde en el contenido del mensaje existe un link malicioso.
De igual forma son comunes el vishing, el smishing y el clone phishing.
Phishing en LATAM vs USA
En ambas regiones, el phishing sigue siendo una amenaza significativa, pero con algunas diferencias clave. Los Estados Unidos como potencia económica es donde se concentra la gran mayoría de los ciberataques, en especial del phishing. De hecho, en los últimos dos años se ha producido un aumento de los ataques de phishing en un 136%, de acuerdo con el Informe Anual de Delitos en Internet 2023 publicado por el FBI, siendo California, Texas, Florida, Nueva York, Ohio, Arizona, Pensilvania, Illinois, Michigan y Washington los 10 estado más afectados. A diferencia de LATAM, en USA los ataques suelen ser más sofisticados y dirigidos a grandes corporaciones y servicios globales para obtener una mayor recompensa.
Por su parte la región de Latinoamérica, tal como comentamos al inicio, Kaspersky registró para el 2023 un crecimiento del 617% y del 50% en intentos de ataques de phishing y troyanos bancarios respectivamente. Esto debido a que la región presenta un escenario atractivo para los ciberdelincuentes ya que hay una menor madurez en ciberseguridad. Los ataques en latam se enfocaron a industrias de servicios financieros locales, comercio electrónico y entidades gubernamentales.
En cuanto a los países más afectados sobresalen: Brasil, con 134 millones de intentos de ataque, incluso lidera las posiciones mundiales. Luego está México (43 millones), Perú (31,5 millones), Colombia (30,9 millones), Ecuador (12,2 millones), Chile (10,5 millones) y Argentina (9,4 millones).
Phishing móvil: En aumento
No podemos negar que la economía móvil llegó para quedarse. Con una tasa de penetración del 72% de suscripciones móviles en la región, el hecho de tener un teléfono móvil es una necesidad casi fundamental para la población en este lado del mundo.
Así como aumentan las conexiones en países como México, Chile y Brasil, aumenta el peligro. Según datos de la empresa de seguridad digital Lookout, las plataformas móviles engloban un porcentaje importante de los ataques de phishing en la región. Sus datos aseguran que Mexico, Colombia, Peru, Chile y ArgentinaPerú y Argentina son los más susceptibles a ataques de esta naturaleza.
Sin embargo, y si bien los ataques en móviles van en aumento, la seguridad móvil relativa a las amenazas de ingeniería social no es proporcional. La empresa de seguridad ESET en su Security Report pone el dato sobre la mesa: sólo un 12% de las organizaciones encuestadas en el reporte aseguran haber implementado una solución de seguridad móvil. Con el aumento de datos del negocio disponibles en nuestros smartphones, este dato es profundamente preocupante.
Conclusiones
Este año ha puesto a prueba a los equipos informáticos en toda la región en una multitud de frentes. En un mercado que no suele estar a la vanguardia, organizaciones públicas y privadas han sido blanco de sofisticados ciberataques en numerosos frentes. La defensa, si bien comparte vectores y víctimas, es más variada y compleja que nunca.
Ante los numerosos ataques que no dimensionan tamaño ni seguridad en nuestras organizaciones, se hace necesario estar preparados. Conforme nos acercamos a la mitad del año 2024, es imperativo evaluar el gasto destinado a ciberseguridad en nuestras empresas. De este modo, necesitamos poner en la balanza las potenciales pérdidas en caso de un ataque, la información confidencial o propiedad intelectual que se podría filtrar, o las reparaciones en caso de una fuga de datos de usuarios respecto a la inversión contra ciberataques.
Tanto el CISO como los encargados del área informática deben también complementar esta inversión con un claro flujo de información a todas las áreas del negocio. Hemos visto que los ataques de ingeniería social no distinguen blanco, por lo que toda nuestra organización debería poder entenderlos, detectarlos y reportarlos. Esto es especialmente clave en organizaciones que se hayan comprometido con el trabajo remoto, ya que la línea entre el uso de oficina y personal en los dispositivos tecnológicos se hace más borrosa en el contexto de remoticidad y pandemia.
Por su parte, los usuarios ya saben que hacer: informarse sobre las amenazas y posibilidades del phishing, evitar caer en estafas de ningún tipo y jamás entregar información personal sin una confirmación fidedigna. No lo olviden: los ataques de phishing pueden ocurrirnos a todos, y en cualquier momento.
