El phishing es el delito de engañar a las personas para obtener información sensible como usuarios y contraseñas de cuentas bancarias y la forma más común en la que los ciberdelincuentes logran que sus víctimas caigan en la trampa es enviando un correo electrónico o un mensaje de texto suplantando la identidad, en este caso, del banco en donde el cuentahabiente tiene depositado su dinero.
Cuando la víctima abre el correo electrónico o el mensaje de texto, normalmente encontrará un mensaje pensado para alarmarle, que le exige que vaya a un sitio web y actúe de inmediato para no tener alguna consecuencia. Esto implica entrar a su cuenta ingresando sus credenciales.
Si un usuario pica el anzuelo y hace clic en el enlace, se le envía a un sitio web que es una imitación del legítimo, en donde debe ingresar su usuario y contraseña. Si es lo suficientemente ingenuo y lo hace, la información de inicio de sesión llega al atacante, quien la puede utilizar para, no solo, saquear cuentas bancarias, sino también para robar identidades, vender información personal en el mercado negro, secuestrar información, entre otras ilegalidades.
EN ESTE MOMENTO
Recientemente ha crecido el debate respecto a ese tipo de hechos en Guatemala, donde, incluso los ciberdelincuentes se han abocado a empresas de telefonía para obtener la identidad de sus víctimas, según denuncias en redes sociales.
“Actualmente se encuentran en análisis denuncias donde se puede identificar el fenómeno de phishing y, además, el fenómeno de fraude en la identidad”, señaló Juan Carlos Tohom, analista de la Dirección de Análisis Criminal del MP, quien agregó que en estos casos es importante determinar la forma en que los delincuentes obtuvieron los datos personales de las víctimas.
“Las denuncias que se han hecho virales en redes sociales y que también ya se han denunciado acá en la Fiscalía del Distrito Metropolitano tienen como característica en común que se realizaron trámites en agencias bancarias o en empresas de telefonía a nombre de estas personas sin su autorización”, agregó Tohom.
Añadió que lo primero que se intenta es determinar la forma cómo lo delincuentes obtuvieron los datos de las víctimas; además, dijo que han identificado que en muchos de los casos el dinero se desvía a una misma cuenta, lo que permite determinar que se trata de una misma estructura.
“Otro indicio que es bastante frecuente en los casos de phishing es que las personas ingresan a una página que simula ser la página del banco; sin embargo, tiene como finalidad obtener su usuario y contraseña y cuando se individualizan estas páginas se puede establecer que es un grupo de personas que la creó con el objetivo de estafar a varias personas”, detalló.
Dónde hay más denuncias
Tohom dijo que la mayor cantidad de denuncias por casos de phishing se concentra en el área metropolitana, especialmente en la Ciudad de Guatemala y Mixco, mientras que en la provincia, Quetzaltenango, Alta Verapaz y Jutiapa son los más afectados, respectivamente.
“Actualmente se ha observado un crecimiento aproximado de 86 por ciento anual” en casos de phishing, señaló el analista del MP.
“Actualmente se encuentran en investigación diferentes estructuras que tienen en común el uso de cuentas para transferir el dinero. En estos casos siempre la finalidad primordial de los delincuentes va a ser obtener el dinero y moverlo a otras cuentas”, refirió.
Además, detalló que “a través del seguimiento de estas cuentas se han identificado personas que reciben de forma recurrentes este tipo de transacciones y se encuentran en investigación”.
Para evitar ser víctima de este delito, el MP recomienda a los usuarios de plataformas bancarias “activar los servicios de notificación”, porque “es importante que ellos puedan tener algún servicio de mensajes y al momento de que puedan observar una transacción no es autorizada comunicarse inmediatamente con el banco”.
También se recomienda a las personas “ser muy celosas en el uso de sus documentos de identificación, porque se ha identificado que una fase previa al ataque de phishing es obtener los documentos de la persona”.
“Muchas veces estas estructuras primero engañan a las personas, por ejemplo, a través de ofertas laborales, y les piden que envíen sus documentos de identificación y a través de eso tienen el expediente completo de una persona que luego pueden utilizar para cometer un fraude de identidad”, detalló.
Además, dijo que “es importante que puedan tener guardados en su teléfono y que sean de consulta inmediata los números de atención al cliente de los bancos” y luego presentar la denuncia “de forma oportuna, ya sea en la Policía Nacional Civil o en el Ministerio Público”.
“Es importante también que al momento de presentar la denuncia puedan acudir acompañados de fotografías de las comunicaciones, de los enlaces, de los números de teléfono con los cuales se sostuvieron algún tipo de comunicación, porque el phishing tiene como característica en común que engañan a la persona para que esta dé su contraseña o algún token”, dijo el analista.
También señaló que es importante conservar la información, porque en muchos casos “lo que hacen los delincuentes es amenazar a las personas, por eso eliminan los mensajes, se asustan, eliminan todas las conversaciones, cambian el teléfono y cuando presentan la denuncia no hay elementos con los cuales se pueda iniciar una investigación”.
Qué dice la SIB
La Superintendencia de Bancos (SIB) señaló que “en los últimos días han circulado muchas denuncias en redes sociales respecto a que está aumentando la clonación de tarjetas de débito y crédito, aparte del robo de datos por ciberdelincuentes que se hacen pasar por bancos del sistema y engañan a cuentahabientes para después robarles”.
Añade que “la rápida evolución de las tecnologías de la información y su uso intensivo en el sector financiero, han impulsado de manera significativa el desarrollo y crecimiento de la digitalización en los productos y servicios financieros y en los sistemas de pago”, lo que conlleva a que “los clientes y usuarios de las entidades bancarias estén más expuestos a riesgos y vulnerabilidades, tal como la estafa, acto que en la actualidad es cometido en buena medida a través de técnicas de ingeniería social (principalmente phishing)”.
“En Guatemala existe una reglamentación específica que deben observar las entidades bancarias en materia de gestión del riesgo tecnológico (Resolución JM-104-2021), la cual comprende, entre otros aspectos, lo relativo a las operaciones y servicios financieros a través de canales electrónicos, en cuyo caso, se requiere a dichas instituciones que cuenten con mecanismos para la protección y control relacionados con las tecnologías de la información, seguridad y ciberseguridad; registro y bitácoras de las transacciones efectuadas; así como, programas de educación y divulgación de información para clientes”, detalla la SIB.
Agrega que “en cuanto a los citados programas, considerando que el phishing lleva implícita la manipulación de la voluntad de los usuarios, los bancos han venido implementado a nivel individual y de la Asociación Bancaria de Guatemala campañas de educación financiera, capacitación y concientización a través de diferentes medios de comunicación, para fomentar una cultura de prevención y crear conciencia en sus clientes y usuarios sobre la utilización responsable de canales digitales”.
Además, detalla que la SIB “ha formulado una serie de requerimientos y recomendaciones prudenciales a las entidades bancarias, a efecto de que, como parte de la mejora continua, dichas entidades actualicen y fortalezcan constantemente sus políticas, procedimientos y procesos en materia de la seguridad de la información, la ciberseguridad y los programas de concientización a sus usuarios”.
La SIB refiere que publica “de manera recurrente” recomendaciones de seguridad dirigidas a los usuarios de las entidades financieras, enfocadas en aspectos como no brindar información de contraseñas o cualquier otra información personal mediante llamadas telefónicas, mensajes de texto, sitios web, correos electrónicos o redes sociales.
Además, evitar el acceso a servicios de banca en línea mediante redes Wi-Fi públicas o poco confiables, así como el ingreso a sitios web de dudosa procedencia y no prestar documentos personales, tarjetas o números de cuenta.