Ingresar
Edición Nº 94 | Setiembre/Diciembre 2024
Phishing: casos reales y cómo combatirlo
Hoy en día, podemos ver que los casos de phishing han mutado ampliamente, pasando del típico de recibir un correo de un banco con el mensaje «actualice su contraseña» o un mensaje de texto indicando que «te ha llegado un paquete» a encontrar intentos de phishing utilizando todo tipo de marcas.
Dra. Lucía Cantera, Dr. David Oliva, Dra. Isabel Méndez
Cervieri Monsuárez
Concepto
El phishing es el acto ilícito de suplantar la identidad de una persona o empresa a fin de recabar información y datos personales de los usuarios de internet.
Se lleva adelante mediante actos de ingeniería social, los cuales se definen como «una de las formas en las que los cibercriminales usan las interacciones entre personas para que el usuario comparta información confidencial. Ya que la ingeniería social se basa en la naturaleza humana y las reacciones humanas, hay muchas formas en que los atacantes pueden engañar, en línea o sin conexión».1
Busca afectar directamente a los usuarios de internet, al recabar de forma ilegítima sus datos personales para venderlos a terceras empresas, o recabar datos e información de los usuarios para estafas y lograr un perjuicio económico en contra de estos.
Los ataques de phishing también pueden afectar directamente derechos de la empresa o persona física que está siendo suplantada, al emplear sus signos distintivos para generar confusión en los usuarios. Mediante el uso de marcas, imágenes de productos, o directamente la imitación de los sitios web oficiales, los phishers (individuos responsables de los ataques de phishing) buscan inducir confusión en los usuarios de que se trata de páginas oficiales o respaldadas por las empresas cuyas marcas utilizan, para así sustraer su información personal.
Esto también puede llevar a que, al momento de ser víctimas de phishing, los usuarios busquen respuestas o soluciones con las empresas cuyas marcas figuraban en el sitio malicioso.
Identificación y baja de sitios
En Cervieri Monsuárez contamos con un área especializada que se dedica a detectar y combatir estos sitios maliciosos. La finalidad de identificar y dar de baja estos sitios de forma célere es que estos estén activos por el menor tiempo posible, y así evitar que el problema escale y se genere un posible daño al consumidor y a la empresa cuyos derechos de propiedad intelectual e industrial están siendo violados.
Al detectar los sitios maliciosos, o si el cliente nos informa de uno posible, realizamos una investigación del sitio para determinar dónde se encuentra alojado, si posee más sitios vinculados y recabar de esta forma toda la información posible para tomar medidas pertinentes.
Una vez que se cuenta con la información necesaria, se procede a tomar las medidas legales, trabajando en conjunto con nuestro equipo de IT, para lograr la baja de los sitios maliciosos.
Casos de phishing
Hoy en día, podemos ver que los casos de phishing han mutado ampliamente, pasando del típico de recibir un correo de un banco con el mensaje «actualice su contraseña» o un mensaje de texto indicando que «te ha llegado un paquete» a encontrar intentos de phishing utilizando todo tipo de marcas, desde tiendas online de venta de bebidas alcohólicas, hotelería, sorteos, etc. Todos estos casos tienen en común el uso, por parte del phisher, de marcas y nombres reconocidos por los usuarios, para hacerlos caer en el engaño a costas de la confianza y la reputación de las marcas afectadas.
Estas nuevas modalidades se caracterizan con contar con un sitio madre alojado en un dominio determinado y que ramifica los diferentes sitios relacionados en otros subdominios, haciendo más difícil la localización de la totalidad de los sitios maliciosos.
A continuación, podemos ver algunos ejemplos de sitios maliciosos que, tras un análisis, pudimos determinar que se trataba de sitios de phishing.
Medidas que se llevaron a cabo
En todos los casos mencionados, se procedió a analizar el sitio web donde se realizaban los actos de suplantación en internet, y habiendo identificado tanto el sitio inicial como todos los sitios relacionados, se procedió a la denuncia de cada sitio ante las plataformas en donde el enlace estaba siendo compartido. Luego de varias comunicaciones con las correspondientes áreas legales de las plataformas en cuestión, todos los sitios fueron retirados no solo de los buscadores, sino que ya no se encuentran disponibles.
Phishing por suplantación de identidad
Otra de las modalidades de phishing es la suplantación de la identidad de una persona con el fin de recabar información y datos personales de los usuarios de internet.
Un caso relevante de esta índole fue el del cocinero uruguayo Hugo Soca. En este caso, se crearon múltiples perfiles de Instagram pretendiendo suplantar la identidad de este reconocido chef. Así, se contactaban con los participantes del sorteo que el Sr. Soca estaba llevando adelante en su perfil, y les solicitaban números de tarjetas de crédito con la excusa de que eran los ganadores del sorteo, para de esta forma hacerse de esos datos y luego usarlos en su beneficio.
En este caso, presentamos denuncia penal en la Fiscalía y solicitamos investigación de Delitos Informáticos de Interpol para solicitarle a Instagram la baja de ese perfil, a efectos de evitar que se confundiera a los consumidores.
Uruguay a la vanguardia de los delitos informáticos
Es importante destacar que este año se aprobó en Uruguay la ley 20.327 «Regulación para la prevención y represión de la ciberdelincuencia», que modifica el Código Penal uruguayo tipificando múltiples delitos informáticos,2 entre ellos los de fraude informático y suplantación de identidad.
Suscribirse o Ingrese a su cuenta para continuar leyendo.
IngresarEdición Nº 94 | Setiembre/Diciembre 2024
MAS NOTAS
