Forbes Argentina
phishing
Innovacion

Ciberseguridad: ¿Qué es el “phishing” y cómo podemos evitarló

Forbes Digital

Share

21 Abril de 2020 10.58

El abogado penalista y especialista en cibercrimen Jorge Litvin explica uno de los delitos 2.0 más peligrosos: la “pesca” de información para extorsión o espionaje.

El avance de la tecnología nos ha brindado un sinnúmero de herramientas magníficas: la ilimitada conectividad, la capacidad de vender, comprar, trabajar y estudiar online. En tiempos en los que tenemos restricciones y prohibiciones para transitar, internet nos permite seguir a flote manteniendo reuniones a distancia y acceder remotamente a nuestra oficina desde casa.

Pero todos esos beneficios tienen como contra cara un sinnúmero de peligros. El “phishing” es uno de los más conocidos y para usted y su negocio puede ser el más dañino.

El término remite a “fishing”, que en inglés significa “pescar”. El pescador es un criminal, su línea un correo electrónico o un mensaje de texto, su anzuelo son hipervínculos o archivos adjuntos que vienen incluidos en ellos, y algo que llame la atención a su presa su señuelo. ¿Sabe quién es la presá Exacto, señálese con el dedo.

El phishing convencional suele actuar como una gigantesca red con anzuelos que el criminal tira al océano de internet sabiendo que algún pez va a caer.

Pero hay una modalidad más peligrosa llamada “Spear Phishing”, que significa “pesca con arpón”. Esa arma filosa y dañina fue creada específicamente para ser lanzada contra usted o su organización.

Ejemplificarlo es la mejor forma de explicarlo: Usted -o alguien dentro de su empresa- recibe un correo electrónico cuyo remitente aparenta ser de confianza, supongamos de un integrante propio equipo de IT o sistemas. En el mensaje se adjunta un enlace al que se invita a acceder para cambiar una contraseña o rellenar un formulario de la empresa; o bien se adjunta un archivo que se requiere instalar por seguridad.

Es natural e instintivo dar clic o descargar, si proviene de “esa persona de confianza” que conoce mi correo electrónico, me llama por mi nombre y trabaja en la misma empresa nada puede salir mal, ¿no es verdad? Lo acaban de engañar.

¿Qué sucede si muerde el anzueló Escenarios diversos. El robo de datos es el más común de ellos. ¿Qué datos? Generalmente credenciales que habilitan el acceso a cuentas bancarias, perfiles corporativos o sociales, o sólo información que pueden monetizarse con la competencia como espionaje, o puede ser utilizada para extorsionarle.

Otra posibilidad es que se descargue un troyano. ¿Recuerda al majestuoso caballo de madera que escondía al ejercito enemigo para infiltrarse por la puertá Así es como su sistema se infecta.

¿Consecuencias? Acceso remoto a toda su información, denegaciones de acceso o inclusive secuestrar el sistema y pedir a cambio de su liberación una suma de dinero como recompensa, son tan solo algunos ejemplos de una lista mucho más extensa.

¿Cómo protegersé El clásico antivirus/antimalware es necesario pero insuficiente, porque los ataques son cada vez más inteligentes. Apuntan al error humano, un paso en falso de usted o de un empleado hace que la propia empresa le abra la puerta al delincuente con una copa de bienvenida en la mano.

Uno de los recursos más valiosos que tiene una organización es su información, lo sabemos los criminales, usted y yo. Ellos están dispuestos a mejorar sus arpones, carnadas y anzuelos, nosotros debemos capacitar a todos nuestros peces para no sean seducidos por cualquier señuelo.

Nos van a atacar, cada vez más, y eso no lo podemos controlar, pero si podemos tomar los recaudos para que no tengan éxito al intentar.

Tips para cuidarse (para el destacado o llamada paralela a la nota)

Invierta en un software de protección integral y tenga los sistemas y aplicaciones actualizados a la última versión.

Capacítese y a su personal- para que estos correos maliciosos puedan identificar. Recuerde que el humano es el punto débil por el que intentará ingresar a su sistema el criminal.

Como premisa: no haga clic ni descargue ningún archivo del que desconfíe sin corroborar la autenticidad de quien se lo remite.

Por Jorge Litvin, abogado penalista especializado en cibercrimen.

10