Phishing sigue siendo recurrente.
Los fallos de seguridad en el transcurso de 2020 derivaron en ataques cibernéticos con los que se cometieron más de 100 mil compras fraudulentas y acceso indebido a servicios, que afectaron a un gran número de aplicaciones, entre ellas Zoom y Nintendo.
La cantidad de registros con información personal de usuarios expuestos tuvo un aumento durante la pandemia y fue cinco veces mayor que en años pasados, esto debido a que persiste la “falta de conciencia sobre la importancia del cuidado de los datos personales, como nombres, edad y direcciones, y buenas prácticas de seguridad en cada dispositivo o actualización de sistemas”, advirtió Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.
Aunque no todos los registros tienen el mismo valor y en algunos casos no parecen tener un valor monetario significativo, para los atacantes esta información sí tiene un valor estratégico, pues las contraseñas y datos financieros suelen ser de mucha utilidad para actividades fraudulentas dentro o fuera de una aplicación.
En el caso de Zoom y Nintendo, que estuvieron en el centro de los ataques, los cibercriminales utilizaron técnicas de phishing o de fuerza bruta, como password spraying y credential stuffing, para obtener credenciales de acceso a cuentas.
El phishing, una práctica que tiene más de 20 años, es el envío de mensajes maliciosos a través de correo electrónico o incluso WhatsApp en los que piden a la víctima que abra un link o un archivo adjunto; en tanto, la estrategia de “fuerza bruta” está asociada a los intentos por conseguir averiguar una o varias contraseñas.
Al obtener datos de contacto, identificación, biométricos o laborales, así como direcciones de correo electrónico, identificadores gubernamentales, contraseñas, o información financiera, pueden suplantar identidades, realizar compras a nombre del titular o para comercializarlos en el mercado negro.
“Además de que es importante que las compañías detrás de los servicios y aplicaciones tomen las medidas necesarias para proteger que los datos de los usuarios puedan verse comprometidos tras la explotación de una vulnerabilidad propia, los usuarios también tienen su cuota de responsabilidad y es importante que sepan cómo minimizar los riesgos en caso de que sus datos se vean afectados y cómo actuar en caso de que eso suceda”, destacó la experta.
De ahí la recomendación de crear contraseñas seguras, instalar antivirus o actualizar sistemas, ya que con sólo contar con una dirección de correo electrónico, el atacante puede enviar archivos maliciosos o enlaces a páginas web donde llevan a cabo del robo de la información.
Asimismo, con contraseñas y datos financieros puede intentar acceder a otros servicios probando si el usuario reutilizó la misma combinación o con pocas variaciones en otra cuenta, pues estudios revelan que los usuarios siguen utilizando criterios débiles al crear sus passwords.
C$T-GM