Por Jorge González.
El Cofundador y CEO de BeyGoo, una plataforma de OSINT y Threat Intelligence, Emiliano Piscitelli, dijo a Ciberseguridad LATAM que “se están llevando a cabo distintas estafas en WhatsApp”, la aplicación de mensajería instantánea para teléfonos inteligentes, en la que se envían y reciben mensajes mediante internet, y resaltó que los delitos informáticos “vienen creciendo en forma exponencial” desde que comenzó la pandemia por coronavirus.
Piscitelli desde hace más de 10 años brinda capacitaciones y consultoría en Seguridad IT a empresas de Argentina y del exterior, y en la actualidad se desempeña como Director del Grupo de Investigación en Ingeniería Social de la Universidad Tecnológica Nacional de La Plata.
Los delitos informáticos vienen creciendo aceleradamente durante la pandemia por Covid-19. ¿De qué forma se pueden frenar?
Sí, desde que comenzó la pandemia, los ciberdelitos vienen creciendo en forma exponencial. Para evitar más víctimas, además del cumplimiento de las distintas normativas y regulaciones, también es necesaria la implementación y gestión de soluciones. Hay que prestar mayor atención a los programas de concientización, pero no solo “para cumplir”, sino realmente para poder crear hábitos seguros y una cultura segura dentro y fuera de las organizaciones.
“Muchas suplantaciones podrían llegar a evitarse si desde empresas como las registradoras de dominios o redes sociales, entre otras, se llevara adelante un análisis más exhaustivo en el alta de dominios y perfiles”.
¿Cómo actúan los ciberdelincuentes para penetrar la seguridad de las entidades financieras?
Si bien se siguen dando distintos tipos de ataques que apuntan a la tecnología, una de las acciones que más creció fue la suplantación de identidad, y en Argentina más precisamente en redes sociales.
¿También se pueden realizar estafas a través de WhatsApp?
Sí, totalmente, ya hace tiempo se están llevando a cabo distintas estafas en WhatsApp, ya sea desde falsas ofertas, subsidios, o premios, que se aprovechan del reenvío y viralización por parte de los usuarios, hasta los mensajes y/o llamadas haciéndose pasar por personas y organizaciones.
¿Cómo se protege el ciudadano común de este tipo de delitos?
Lo más importante es identificar cuando estamos frente a una estafa y así evitar ser víctima. Para ello creé el Método PICO, en el cual detallo 4 constantes que siempre están presentes en todo tipo de estafas:
- Pretexto: nos van a contactar con un pretexto que nos va a llamar la atención y nos va a generar una emoción positiva (ganaste un premio, tenés asignado un subsidio, otros) o negativa (una multa o un consumo excesivo en una tarjeta de crédito, por ejemplo). Ya que cuando la emoción se prende, la razón se apaga. Si estamos muy contentos o tristes/asustados, es muy probable que reaccionemos por impulso y sin pensar.
- Impostor: se van a presentar cómo una persona u organismo reconocido para darle validez al pretexto.
- Contexto: se van a aprovechar de un contexto específico (salud, económico, social, otros). De esta manera tendrán más chance que la estafa funcione.
- Oportunidad: nos van a dar una oportunidad “única” e “increíble” que va a estar acompañada por algo que siempre está presente, y nos generan urgencia para poder acceder a la misma. De esta manera se garantizan nuevamente que las víctimas no puedan pensar y reaccionen por impulso.
¿Cuáles son las principales modalidades de fraude virtual?
Si bien existen muchas modalidades, a mí me gusta simplificar y definirlas como *ishing (Phishing, Smishing, Vishing, otros). Todas apuntan a lo mismo, ni más ni menos que la suplantación de identidad. La única diferencia es el medio que utilizan para llevarlas adelante (Phishing: generalmente email, Smishing: mensaje de texto, Vishing: teléfono).
“Una de las acciones que más creció fue la suplantación de identidad”.
Como pudimos observar, el objetivo son las personas, las cuales pueden ser empleados, proveedores o incluso los mismos clientes de las organizaciones.
Por ello es tan importante abstraerse de tantos conceptos cuando comunicamos y tratar de ser lo más simple posible. De esta manera, se comprenderá mejor el verdadero riesgo y se estará ayudando a crear hábitos seguros.
La suplantación de identidad es un delito que crece. ¿Hay una forma de evitarlo?
Muchas suplantaciones podrían llegar a evitarse si desde empresas como las registradoras de dominios o redes sociales, entre otras, se llevara adelante un análisis más exhaustivo en el alta de dominios y perfiles. Siendo que en el corto plazo no vamos a poder contar con esto, las organizaciones pueden tomar dos posturas:
- Reactiva: realizar acciones luego de haber recibido denuncias y en muchos casos estafas ya consumadas.
- Proactiva: utilizar plataformas que monitoreen los activos digitales en forma constante (Dominios, IPs, perfiles en redes sociales, otros), en búsqueda de posibles suplantaciones de identidad. De esta manera se podrá estar alerta y realizar las denuncian correspondiente junto a las bajas de esos sitios/perfiles, incluso mucho antes de que los ciberdelincuentes intenten captar víctimas.
