(por Francesco Pagano, Director de Aidr y Jefe de servicios de TI en Ales spa y Scuderie del Quirinale) El fenómeno de las estafas en línea y el robo de identidad en Internet está creciendo exponencialmente. Según datos publicados por Interpol el pasado mes de agosto, el auge de los ciberataques coincidió con la pandemia de Covid-19 y marca, en particular, un aumento en el uso de técnicas de phishing.
El phishing es un tipo de ataque extremadamente sutil que utiliza comunicaciones por correo electrónico (pero también en redes sociales y plataformas de chat) para atraer a las víctimas a sitios maliciosos o sitios diseñados para robar credenciales de inicio de sesión en servicios web. Los ciberdelincuentes implican el uso de correos electrónicos "empaquetados" para parecer perfectamente legítimos, en los que los piratas informáticos se hacen pasar por empresas, organizaciones o instituciones bancarias.
El mensaje, a menudo realizado de forma extremadamente convincente, tiene como objetivo inducir al destinatario a hacer clic en el enlace que lo secuestra en la página controlada por los piratas. Para lograr el objetivo, los estafadores utilizan técnicas de ingeniería social, es decir, estratagemas que aprovechan el estado de ánimo de la víctima potencial. Por lo general, estas estrategias aprovechan dos factores diferentes: entusiasmo y miedo.
En el primer caso, se utilizan mensajes que prometen obsequios, premios u ofertas especiales dedicadas al destinatario del mensaje. En el segundo, los correos electrónicos prevén en cambio el riesgo de tener que pagar multas o hacer referencia a solicitudes de pago, facturas o plazos.
El objetivo es el mismo: provocar una reacción en la víctima que haga que actúe impulsivamente y haga clic en el enlace.
En algunos casos, esto conduce a una página web que contiene malware, en otros a un sitio que a primera vista parece ser el de la empresa u organización suplantada por los piratas informáticos. En este segundo caso, el objetivo de los ciberdelincuentes es inducir a su víctima a ingresar las credenciales de inicio de sesión al servicio (por ejemplo, las del servicio de banca a domicilio en línea) para poder robarlas.
No es nada nuevo Quienes utilizan habitualmente los servicios online ahora han aprendido a reconocer (y evitar) este tipo de ataques. La pandemia de Covid-19, sin embargo, afectó al fenómeno de dos maneras. Por un lado, ha puesto a disposición de los ciberpiratas un tema, el del coronavirus, especialmente indicado para despertar miedo o alarma en quienes reciben los mensajes. Por otro lado, el bloqueo de primavera y las restricciones de movimiento en esta segunda ola han llevado a muchas personas a usar herramientas digitales por primera vez o a intensificar su uso en comparación con el pasado.
El resultado es que los ciberdelincuentes ahora pueden llegar a una audiencia extremadamente vulnerable de víctimas potenciales, que carecen de la malicia para reconocer mensajes sospechosos y tienen poca experiencia en el uso de Internet. Las herramientas de protección como los cortafuegos y el software antivirus pueden ayudar a frenar el fenómeno, pero no pueden garantizar una protección absoluta contra este tipo de ataque, que a menudo no utiliza código malicioso, sino trucos que tienen como objetivo engañar a los usuarios desprevenidos.
Más bien, lo que necesitamos desesperadamente es un proceso de alfabetización dirigido a toda la población, que les permita adquirir esas habilidades críticas necesarias para desactivar los ataques de los piratas cibernéticos. Algo que probablemente sucederá de forma natural tras el aumento de la digitalización que estamos atravesando, pero que sin una intervención que tenga como objetivo crear una verdadera "cultura de seguridad" corre el riesgo de ser demasiado lento y dejar una cantidad increíble de escombros ( digital) en camino.