En la era digital en la que estamos viviendo, el phishing se ha consolidado en el mercado como una de las amenazas más persistentes en el ciberespacio, y Chile no ha estado ajeno a este problema. Instituciones públicas -y fundamentales para un país- se han visto afectadas, por ejemplo, un ataque dirigido al Servicio Nacional del Consumidor (Sernac) reveló las vulnerabilidades de nuestras instituciones públicas y privadas frente a este tipo de cibercrimen.
Por Damarys Álvarez
La utilización de inteligencia artificial en estos ataques ha ayudado al aumento del secuestro de datos, posicionando a Chile como el cuarto país más afectado por intentos de ciberataques en Latinoamérica.
El incidente reciente en el Sernac, donde se comprometieron sus bases de datos durante cinco días, sirve como un claro ejemplo de las tácticas modernas de los ciberatacantes. Los hackers lograron infiltrarse en los sistemas de la institución, produciendo una grave disrupción en sus operaciones y limitando el acceso a su portal.
Este ataque fue facilitado por técnicas de phishing que utilizaron correos electrónicos fraudulentos para engañar a los empleados y obtener acceso a sus sistemas. Para que esto ocurra, los cibercriminales emplean métodos avanzados de ingeniería social, mezclados con inteligencia artificial, que permiten personalizar los mensajes de forma que resulten casi indistinguibles de las comunicaciones legítimas.
De acuerdo con los expertos de Kaspersky, el phishing ha alcanzado niveles de «epidemia» en Chile. Con el aumento de la digitalización y la proliferación de usuarios en plataformas en línea, los intentos de fraude han crecido de manera considerable en el último año, derivando que los ataques de phishing sean más sofisticados, dirigiéndose a individuos, empresas e instituciones gubernamentales.
Los atacantes aprovechan fechas como, el Cyber Monday de este mes de octubre, cuando el tráfico de datos y las transacciones en línea son más altos. También es común que crean sitios web falsos que imitan o enmascaran a tiendas o instituciones financieras para robar credenciales de los usuarios desprevenidos que intentan realizar compras nerviosas.
Para reducir esta brecha, una de las estrategias más efectivas para mitigar el riesgo de phishing es la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la norma ISO 27001. Esta norma internacional ofrece un marco para la protección de la información y establece controles específicos que pueden ayudar a reducir la exposición a ataques de phishing.
Un SGSI debe incluir políticas que definan cómo se gestiona y protege la información en la organización, abarcando desde la formación del personal hasta la gestión de incidentes. La norma ISO 27001 exige que se realicen evaluaciones periódicas de riesgos, permitiendo identificar vulnerabilidades en las comunicaciones y posibles vectores de ataque. Esto es básico para priorizar los riesgos más críticos y establecer controles preventivos adecuados, como la implementación de autenticación de dos factores (2FA), que dificulta el uso indebido de credenciales robadas.
La capacitación continua del personal es clave para minimizar el éxito de los ataques de phishing. La norma ISO 27001 solicita que los empleados reciban formación constante en temas de ciberseguridad y que se les mantenga informados sobre las últimas tácticas empleadas por los ciberdelincuentes. Una correcta implementación de estas políticas y formaciones puede prevenir ataques al asegurar que los empleados estén preparados para identificar y responder ante intentos de phishing.
En conclusión, Chile ha sido testigo del perfeccionamiento de las técnicas de los cibercriminales, quienes utilizan tecnologías avanzadas para realizar ataques cada vez más difíciles de detectar. Por ello, el caso del Sernac nos aporta lecciones sobre la importancia de la preparación y la rápida respuesta ante incidentes.