Cuidado con tus fondos de AFP y CTS: Perú es uno de los países con más ataques de phishing en Latinoamérica

Con el reciente retiro de los fondos de las Administradoras de Fondos de Pensiones (AFP) y la Compensación por Tiempo de Servicios (CTS), se ha reportado un aumento significativo en los intentos de estafa, especialmente a través de la modalidad de 'phishing', táctica que sigue siendo una de las más utilizadas por los ciberdelincuentes en el país.

Sin embargo, ¿Qué es el 'phishing'? Según Fabiana Ramírez, especialista en seguridad informática del laboratorio de ESET Latinoamérica, son mensajes que "suplantan la identidad de organismos estatales, empresas privadas o demás". Estos mensajes suelen solicitar información sensible o incitar a las víctimas a descargar archivos o acceder a enlaces maliciosos.

Según datos de ESET, en el Perú, de enero a mayo de 2024, se detectaron más de un millón de muestras únicas de phishing, utilizadas en múltiples ataques. Cabe mencionar que este millón de muestras se refiere a ejemplos de phishing enviados, no a la cantidad total de ataques. Cada tipo de phishing se utilizó en muchos ataques, por lo que el número real de ataques es muchísimo mayor.

Vulnerabilidad de Perú ante el phishing

Hoy en día, el Perú se ha vuelto mucho más vulnerable a los ataques de phishing, especialmente debido al retiro de los fondos de las AFP y CTS. Los ciberdelincuentes aprovechan esta situación, enviando mensajes de texto (SMS) que aparentan ser de entidades financieras. Estos mensajes incluyen un enlace que busca obtener información personal o financiera de la víctima.

"Felicidades, el depósito de tu AFP ha sido aprobado. Para retirar, ingresa AQUÍ", es un ejemplo de estos mensajes fraudulentos. El enlace suele redirigir a una página falsa que imita la de una entidad financiera legítima. Estas páginas están diseñadas para robar información personal y financiera de los usuarios desprevenidos.

¿Por qué sucede esto? Fabiana Ramírez destaca que "la falta de educación es la causa más importante de que los países de Latinoamérica tengan un alto índice de víctimas de phishing". La responsabilidad de educar a la población recae tanto en los organismos estatales como en las empresas, que deben asegurarse de que los usuarios puedan estos mensajes fraudulentos y evitar compartir información sensible.

¿Cómo podemos reconocer una estafa de phishing?

Reconocer una estafa de phishing implica prestar atención a varios factores. "En el pasado, a menudo se utilizaban para este fin nombres de dominio mal escritos o engañosos. Hoy en día, los atacantes incorporan métodos más sofisticados, haciendo que los enlaces y las páginas falsas se parezcan mucho a sus homólogos legítimos", advierte ESET.

• En el caso de los correos electrónicos, estos suelen suplantar la identidad de organismos oficiales o empresas conocidas. Ramírez explica que estos mensajes "hacen creer a la víctima que están recibiendo una notificación legítima", lo que induce a proporcionar información o descargar archivos maliciosos. Una señal de alerta es el dominio del correo electrónico, que a menudo no coincide con la entidad que supuestamente lo envía.
  

• Otra característica común es el uso de tácticas emocionales. Los ciberdelincuentes frecuentemente envían mensajes anunciando premios o creando urgencia. Es crucial tomarse un momento para evaluar la legitimidad del mensaje. Ramírez recomienda verificar directamente con la empresa u organización mencionada, utilizando canales de contacto oficiales para confirmar la autenticidad de la comunicación.
  

• Otro consejo consejo práctico para detectar una posible estafa de phishing es recordar que las entidades financieras no envían enlaces a través de mensajes de texto (SMS); en cambio, utilizan mensajes en texto plano sin enlaces. Si recibes un mensaje de una entidad financiera diciendote, "HAZ CLIC AQUÍ", no lo hagas, ya que podrías estar en riesgo de caer en una estafa.

Otras señales a tomar en cuenta

La página oficial de ESET brinda una serie de señales a las que deberíamos estar atentos si recibimos un posible mensaje de estafa. Son siete las señales que debemos tener en cuenta:

• Saludos genéricos o informales: Si a un mensaje le falta personalización (por ej. "Estimado cliente") y formalidad, entonces probablemente hay algo equivocado. Lo mismo es aplicable cuando se usan números de referencia falsos y aleatorios 
• Solicitud de información personal: Lo suelen usar frecuentemente los creadores de phishing, y lo evitan los bancos, las instituciones financieras y muchos otros servicios online
• Gramática pobre: Faltas de ortografía, tipografía y una redacción incorrecta a menudo indican que se trata de un correo falso (pero la ausencia de éstas no es ninguna prueba de legitimidad)
• Correspondencia inesperada: Es muy inusual que un banco o proveedor de servicios por Internet contacte con nosotros y por tanto es muy sospechoso
• Sensación de urgencia: Los mensajes de phishing a menudo intentan inducir a una acción rápida o tomada con menos consideración
• ¿Una oferta que no puede rechazar? - Si el mensaje parece demasiado bueno para ser verdad, casi seguro que lo es
• Dominio sospechoso: ¿Crees que un banco español te enviaría un correo electrónico desde un domino chino?

Medidas para protegerse del phishing

Para protegerse del phishing, una de las mejores estrategias es utilizar software de ciberseguridad que incluya funciones de detección de phishing. Las aplicaciones de correo electrónico como Gmail y Outlook ya incorporan herramientas para identificar patrones de phishing, pero Ramírez sugiere que "el uso de soluciones antimalware o antivirus puede ofrecer una capa adicional de protección".

Además, es crucial mantener una actitud vigilante y educarse sobre las nuevas tácticas de phishing. Las organizaciones deben cumplir con las normativas de protección de datos y educar a sus clientes sobre cómo identificar y evitar estos ataques. Ramírez concluye que "con las herramientas y la educación adecuadas, muchos casos de phishing pueden evitarse", protegiendo así nuestros fondos y datos personales de los ciberdelincuentes.