Me llegó un mail exactamente igual al de mi banco, tiene los mismos logos, la misma gráfica, la misma fuente de letra, la misma forma de redacción y me dice que mi clave expiró. Yo hice clic y la página que se abre es exactamente la de mi banco, con el mismo logo, la misma interfaz, los mismos banners, la misma publicidad y aprieto el log-in. Se abre la misma ventana de siempre y pongo mi RUT y clave porque, según se ve, es la página de mi banco. En ese instante aparece un mensaje de que la página está caída, me ofusco e intento más tarde asumiendo que es verdad. Ingreso a la página de mi banco directamente poniendo la dirección web, pongo mi RUT y clave y magia, ingreso sin problemas, la clave no ha caducado y hago mis transacciones como si nada.
Claramente en el intento desde el link del correo, una persona o una máquina, quién sabe dónde, ya tiene mi clave, con mi RUT y tendrá, al menos, acceso a observar toda la información de mi banco y podrá ejecutar todas las acciones que no tengan segunda clave.
¿Le ha pasado? ¿Conoce a alguien que le pasó? Déjeme decirle que ha sufrido de phishing. No se sienta “leso”, usted no es el único, le ha pasado a mucha gente, es más, ha habido más de 4.000 envíos de phishing, de miles de correos cada uno, solo en el último mes en Chile.
¿Quién es el culpable?
El phishing es una de las formas más populares de hackeo o de usurpación de claves y lo que produce tiene consecuencias importantes para el dueño de la cuenta. Es por esto que se han puesto claves de seguridad dinámicas como segunda barrera, de tal forma que al momento que el ladrón quiera hacer una transacción, no pueda. Estas mismas políticas de doble clave las han adoptado las redes sociales, como Facebook, Instagram o LinkedIn y, por supuesto, Google. Sin embargo, las personas mal intencionadas siguen intentándolo, cada vez más y sobre todo con aquellas que no entienden cómo funciona la estafa. Son estas las personas que tienen más que perder y los esfuerzos de educación deben ser inagotables.
El phishing, desde mi punto de vista, solo puede detenerse si todos actuamos de la misma forma, conocemos los protocolos, nos interesamos en la educación cibernética y seguimos las recomendaciones de los expertos; sin embargo, si aún en la vida diaria caemos en estafas simples, ¿cómo no caeremos en estas estafas cada vez más sofisticadas?
En general nos preocupamos de buscar culpables en el sistema, y no nos dedicamos a identificar y a alertar al sistema de los potenciales phishing. Usted dirá entonces que es el banco del ejemplo el culpable. No lo es. El banco inagotablemente avisa que sus correos van sin links. Son las empresas de telecomunicaciones entonces las culpables que dejan pasar esto. Déjenme decirles que es prácticamente imposible detectarlo.
Pongámosle un pelo a la sopa adicional, el tiempo en que una persona, con conocimientos de web y correos electrónicos, se demora en montar un correo de phishing se mide en minutos; no en horas ni días, en minutos. Es fácil, de verdad lo es, enviar un correo de phishing a una base de datos que conseguí en Internet, sabiendo que al menos un par podría caer en una base de correos no muy grande, ya es un éxito para el estafador.
¿De qué manera enfrentarlo?
¿Cómo combatirlo entonces? Con educación. Es la única forma. Sea majadero, sea insistente. Desarrolle políticas de seguridad de la información dentro de la empresa y genere los canales de comunicación, no solo para que toda la organización sepa detectar un phishing, sino que vaya más allá: genere los canales y la cultura para que esa persona avise a las personas competentes.
Cambiar la cultura es complejo, pero no podemos escatimar esfuerzos, a la larga, es más barato educar que dejar de hacerlo por costos u otras razones.
Toma tiempo, me imagino que lo saben, es complejo, pero es indiscutiblemente muy grave que una clave de una persona con accesos a información confidencial esté en manos de otros con intenciones detestables. Aún más, ese ciberdelincuente tiene la posibilidad de cambiar configuraciones o incluso puede acceder a una clave de correo electrónico y enviar un e-mail haciéndose pasar por usted.
Es cierto que el que envía el correo es el culpable, pero como organización siempre debemos hacernos responsables de estos temas, porque siempre pudimos haber hecho más. Las empresas de altos niveles de seguridad lo saben y hoy incluso se han desarrollado software para intentar detectar este tipo de fraudes.
En Chile que tenemos poca cultura en este tipo de temas, las áreas de TI hacen lo que más pueden para intentar comunicar al respecto, pero es mucho más relevante que el cuidado venga desde las altas gerencias de las empresas.
En la medida en que el cuidado de nuestras claves sea cultural, sea inherente a nuestro ímpetu por apretar un link y haya educación permanente, bajaremos el riesgo. Porque es evitable, de hecho, es fácilmente evitable, sin embargo, lo es para personas que están conscientes de esto.
Eduque a su empresa, hágala consciente de los riesgos, de lo que puede pasar, de lo que podemos perder. Eduque en la alerta al resto, genere los canales y sea majadero, desde un nivel corporativo, en el asunto. Con esto al menos sentirá que lo está dando todo, porque si los que hacen phishing no desisten, usted tampoco debe hacerlo.