La persistente amenaza del phishing continúa siendo un dolor de cabeza para usuarios y empresas en Perú. A pesar de su antigüedad, esta técnica de engaño cibernético sigue siendo la táctica predilecta de los ciberdelincuentes para obtener datos confidenciales. Este problema se agudiza considerando que el Perú experimentó un aumento del 33% en ataques cibernéticos durante el último año, según datos del Ministerio del Interior, lo que subraya la necesidad urgente de fortalecer las defensas digitales.
Según la investigación publicada por El Comercio, el phishing representa el 34% de las detecciones de ciberataques en el país, según la compañía de ciberseguridad ESET.
El phishing, en esencia, se basa en la suplantación de identidad. Los delincuentes utilizan correos electrónicos, mensajes de texto, llamadas telefónicas o sitios web falsificados para persuadir a las víctimas de compartir información sensible, descargar programas maliciosos o exponerse a fraudes. Un ejemplo común son los correos que simulan notificaciones de aduanas o falsos premios, diseñados para obtener datos personales, números de cuentas bancarias o detalles de tarjetas de crédito.
Especialistas en seguridad informática, reunidos en los ESET Security Days, destacaron la creciente sofisticación del malware diseñado para el robo de datos en Perú. Los ataques, que a primera vista pueden parecer ingenuos, son el resultado de estudios detallados de las víctimas, especialmente cuando se trata de grandes compañías. Esta preparación permite a los ciberdelincuentes crear mensajes convincentes que engañan incluso a empresas de renombre como Uber, Sony, Facebook y Telefónica.
Mario Miucci, investigador de seguridad de ESET Latinoamérica, explica que el phishing está en constante evolución, buscando manipular las emociones del usuario para inducirlo a realizar acciones específicas, como hacer clic en un enlace o descargar un archivo. Esta manipulación emocional es clave para el éxito del ataque, ya que, como señala el experto, “cuando entra la emoción, se va la razón”. La renovación constante de las estrategias por parte de los atacantes es lo que explica la persistencia de este tipo de fraude.
Además, los ciberataques ya no se limitan a los usuarios finales, sino que también se dirigen a las organizaciones. Los grupos APT (Amenazas Persistentes Avanzadas) son organizaciones criminales con presupuestos equiparables a los de una empresa real, con estructuras internas que incluyen departamentos de recursos humanos, reclutamiento y contabilidad. Estos ataques sofisticados implican inteligencia previa, objetivos estratégicos y un alto nivel técnico, diferenciándose de los ataques masivos y simples dirigidos a usuarios finales.
Frente a este panorama, después del phishing, los ‘infostealers’ ocupan el segundo lugar en detecciones maliciosas, con un 16%. Estos códigos maliciosos están diseñados para robar información, y dentro de esta categoría se encuentra el ‘ransomware’, que bloquea archivos y exige un rescate. Adicionalmente, se identifican amenazas como los ‘filecoders’, los ‘bankers’ (o troyanos bancarios) y ‘malware’ dirigido a dispositivos móviles. En Perú, destaca ‘Kaleidoscope’, un ‘malware’ que fomenta la descarga de aplicaciones maliciosas.
