El phishing continúa siendo uno de los principales riesgos cibernéticos para las compañías peruanas; sin embargo, se empieza a observar una nueva dirección u objetivos de estos ataques.
“Una modalidad que avanza bastante es el spear phishing, un ataque que está dirigido a determinadas personas, sobre todo a gerentes”, reveló Giovanni Pichling, gerente de Seguridad Estratégica de la Asociación de Bancos (Asbanc).
Últimamente, ya no envían correos masivos, sino que están canalizando estos mensajes a los CEO de una empresa, aquellos que tienen la potestad de hacer transferencias institucionales, alertó.
Este ciberataque puede enfocarse en altos mandos, que toman las decisiones en una compañía, o en todos los colaboradores de una entidad específica, especialmente del sector financiero o retail donde pueden obtener una retribución económica, señaló Gianncarlo Gómez, coordinador académico del Diploma Internacional en Gestión de la Ciberseguridad y privacidad de ESAN.
Se envía un correo a los jefes y trabajadores sobre un tema de interés de la empresa, por ejemplo, el reparto de bonos de productividad, que incluye un link para derivarlos hacia una página web fraudulenta a la que deberán ingresar sus datos, que finalmente serán utilizados por los ciberdelincuentes para cometer fraudes, detalló.
Esto puede tener impacto, como el robo de información, pérdida reputacional, o hasta caída de las acciones de la empresa -si el ataque se hace público-, agregó.
LEA TAMBIÉN Bancos tendrán listo en noviembre plan frente a fraude digital
Personas con grandes cuentas amenazadas por “cacería de ballenas”
Otra modalidad de ataque reciente identificada por Pichling, de Asbanc, es el whaling, que consiste no solo en la búsqueda de altos ejecutivos sino también de personas con una cantidad significativa de dinero en sus cuentas, similar a una “cacería de ballenas”.
Asimismo, en la lista de ciberataques está el “ransomware”, que implica llegada de un malware (software malicioso) por correo electrónico, con el objetivo de encapsular la información de una empresa y solicitar un rescate, refirió.
“Obviamente, es algo que nunca va a ocurrir (rescate); la víctima puede pagar lo que quiera y nunca le van a devolver la información, la cual muchas veces termina vendiéndose a cualquier persona en la Deep Web”, advirtió.
En la misma línea, un ataque que crece con fuerza es el APT, Advanced Persistent Threat (Amenaza Avanzada Persistente), que son piezas de software malicioso que transitan en la red de forma oculta, señaló Pichling.
Estos delitos cibernéticos llamados APT están enfocados en infraestructuras críticas, como las de empresas generadoras de electricidad, aeropuertos, empresas de telecomunicación que proveen de Internet a la ciudad o entidades del sector salud, mencionó Gómez.
El objetivo es que el servicio brindado colapse, lo que genera cuantiosas pérdidas económicas por la suspensión de actividades o tiene impacto social en caso de un servicio como Reniec u hospitales públicos, detalló.
Según los especialistas, estas modalidades también se utilizan con el fin de espionaje industrial, para conocer los secretos de una empresa, hurtar su información o simplemente a modo de protesta.
LEA TAMBIÉN Ciberataques contra empresas peruanas crecen, ¿a cuánto ascienden sus pérdidas?
- 5,200 millones de intentos de ciberataques se registraron en Perú en el primer semestre, según Fortinet.
- Un millón de personas vieron vulnerada su información personal y bancaria, luego de que la División de Investigación de Alta Complejidad (Divindat) confirmara la comercialización de esta base de datos en Wilson.