En el 95% de los ciberataques la "culpa" es de la víctima

Por: Leonel García

Ciencia & Tecno

6/06/2018 13:11

En el 95% de los ciberataques la "culpa" es de la víctima

Pixabay

Más que los botnets, ransonware, y la ingeniería social, juega la falta de educación en ciberseguridad, dice experto de visita en el país.

En el 95% de los ciberataques exitosos, la culpa es del usuario. Es él quien va a la página web que no debe, responde a un correo malicioso o descarga la amenaza en forma de aplicación. Es una víctima de una amenaza masiva, que puede llegar a afectar a millones de personas, de las que los menos educados en cuestiones de ciberseguridad son los primeros en caer.

Así resumió a ECOS Camilo Gutiérrez, un colombiano que es jefe de Awareness & Research (Conciencia e Investigación) de la compañía de ciberseguridad Eset Latinoamérica, quiénes son los más pasibles de ser atacados por delincuentes informáticos. De esto estuvo hablando el martes en las Jornadas de Informática de Actualización Profesional (JIAP), en la Torre de Comunicaciones, y en la Universidad de Montevideo.

“Dentro de lo que más solemos ver hoy hay tres tipos de amenazas que pueden afectar más a los usuarios. Unos son los códigos maliciosos de botnets, que permiten tomar el control del dispositivo de forma remota: otros son los ransomware, que permite cifrar todo un dispositivo y luego pedir un rescate, como el Wannacry del año pasado; y otros tienen que ver con el minado de las criptomonedas”, expresó. En este último no hace falta que el usuario víctima tenga las bitcoins; alcanza con que el atacante use a varios dispositivos para las transacciones. “Y, sin dudas, hay algo más transversal que son las amenazas de ingeniería social”.

Un ejemplo de esto último fue el caso de “phishing” por el cual un centenar de usuarios del Banco República fueron estafados en 25 mil dólares, a través de retiros ilícitos de sus cuentas. Las víctimas fueron afectadas a través de un correo presuntamente de la institución, con un link al portal “oficial” (muy similar al real) donde se le solicitaron los datos. Cuando el caso tomó conocimiento, el BROU recordó que ellos nunca piden información confidencial tales como contraseñas.

La apariencia real de esa web tiene mucho que ver. “Los ataques son cada vez más dirigidos. Diez años atrás, estas ‘campañas’ estaban hechas todas en inglés y eran más fáciles de detectar, de generar sospechas. Ahora se puede ver que los ciberdelincuentes se están concentrando más en Latinoamérica”, indicó Gutiérrez.

El uso de logos de marcas conocidas son anzuelos para los descuidados, variantes actuales del viejo “cuento del tío” o de la llamada “estafa nigeriana”: correos electrónicos en los cuales a través de un español dudoso un desconocido ofrece fortunas a cambio de un giro de dinero.

“Estas son campañas bastantes masivas. Los usuarios que terminan cayendo son aquellos que, por desconocimiento, van hacia la página web y terminan dando los datos o descargando la amenaza. Son aquellos que no tienen ‘educación’ respecto a las ciberamenazas. Y que tampoco tienen sistemas de seguridad, antivirus”, indicó el experto.

Según estimaciones de distintas compañías, caen entre el 7% y el 8% del total de contactos por una amenaza (y hay casos que se han propagado en hasta 22 millones de personas). Pocos dólares por personas, en “campañas” muy masivas, equivalen a un cuantioso ciberbotín.

“En el 95% de las amenazas, los usuarios para ser afectados tienen que ir ellos mismos a un sitio web, a un link en un correo o descargar algo. En el resto de los casos sí son ataques más sofisticados. Si el usuario fuera más precavido, serían más fácil de detener estos ataques. Es cuestión de preguntarse: ¿para qué pueden querer mi información? Y lo que buscan los cibercriminales es dinero”, subrayó Gutiérrez.

Sin embargo, para este especialista la responsabilidad es compartida. El usuario tiene que generar conciencia. “Y las entidades financieras (o las empresas) deben hacer campañas de concientización, educar a sus clientes a verificar primero”. Eso y tener el antivirus actualizado.