Especialistas en ciberseguridad de ESET consideraron que las empresas peruanas están enfrentando crecientes amenazas cibernéticas impulsadas por tecnologías avanzadas y el uso de la inteligencia artificial (IA). Esto se ha visto reflejado en una curva ascendente en ataques en los últimos años, que se ha intensificado este 2024, en especial entre mayo y junio.
Para defenderse, deben adoptar sistemas de seguridad avanzados, capacitar a los empleados en mejores prácticas de ciberseguridad y mantenerse actualizados sobre las últimas tendencias y amenazas. El eslabón más débil sigue siendo el factor humano, enfatizaron.
Fabiana Ramírez Cuenca, Security Researcher en ESET Latinoamérica, especificó que, en el caso del sector financiero, tenemos sobre todo ataques que se valen de la suplantación de identidad de distintas entidades del sector para engañar a los clientes, robarles sus datos privados y/o dinero.
Los cibercriminales se valen de los ataques de phishing, es decir utilizan correos electrónicos, mensajes de texto o llamadas telefónicas para engañar a los consumidores. También se ha elevado la creación de sitios apócrifos que son similares, o hasta casi iguales a las páginas reales, para sus cometidos, explicó Fabiana Ramírez Cuenca.
En lo que va del año, informó, el Perú alcanzó más de un millón de detecciones únicas de phishing y esta es una cifra superior a todo lo registrado en los últimos años por los sistemas de telemetría de ESET. Se trata de un millón de intentos de phishing distintos, y no de la cantidad de veces que se utilizó cada modelo de phishing detectado, aclaró. Cada muestra única puede ser utilizada muchas veces.
“El gran número de phishing demuestra que sigue siendo la forma más elegida por el cibercrimen para su acceso inicial, y esto es porque el usuario final o los empleados siguen siendo el eslabón más débil. Esta situación es fácilmente explicable porque no cuentan con una buena educación en ciberseguridad, siendo más vulnerables a caer en engaños”, advirtió Jorge Zeballos Chávez, gerente general de ESET Perú.
“A través de la telemetría de ESET también se detectaron las vulnerabilidades más explotadas del último año, que fueron clasificadas por la nomenclatura CVE o “Common vulnerabilities and exposure”, que se usa para nombrar o identificar vulnerabilidades detectadas”.
Además, es importante que las empresas refuercen y actualicen sus sistemas de protección con la última tecnología disponible, porque los criminales son cada vez más hábiles gracias al uso de la IA. Tony Anscombe, evangelista de seguridad de ESET Global, advirtió que “los ciberdelincuentes están utilizando herramientas y técnicas cada vez más sofisticadas para atacar objetivos, y otros exploran cómo la tecnología deepfake puede influir en la sociedad y utilizarse para defraudar a empresas y consumidores”.
Vulnerabilidades no atendidas
En el marco del ciclo de conferencias ESET Security Days 2024, los especialistas detallaron que se detectaron más de 900 mil muestras de software malicioso que han sido recopiladas, identificadas y almacenadas por la organización para análisis y estudio.
A través de la telemetría de ESET también se detectaron las vulnerabilidades más explotadas del último año, que fueron clasificadas por la nomenclatura CVE o “Common vulnerabilities and exposure” (vulnerabilidades y exposiciones comunes, por su significado en español), qué se usa para nombrar o identificar vulnerabilidades detectadas. Estas fallas informáticas permiten infiltrarse en un sistema para dañarlo.
“Los cibercriminales se valen de los ataques de phishing, es decir utilizan correos electrónicos, mensajes de texto o llamadas telefónicas para engañar a los consumidores”.
“Las vulnerabilidades que lideran en Perú son bien conocidas, del año 2012 y 2021. Esto nos permite afirmar que hay una tendencia en el país a no actualizar sistemas operativos y aplicaciones, en tanto las siguientes versiones ya tienen parches para estas vulnerabilidades. Esto es preocupante porque no se implementan soluciones que existen desde hace ya más de 10 años, por un lado, y que evidentemente no cuentan con software de ciberseguridad capaces de detectar vulnerabilidades de este tipo”, comentó Fabiana Ramírez.
Josep Albors, responsable de Investigación y Concienciación de ESET España, destacó el alarmante incremento en la detección de amenazas en el país, lo que subraya la necesidad de reforzar defensas. “Perú tuvo el porcentaje de detección más elevado a nivel mundial (8%) del Infostealer Lumma Stealer en el periodo de diciembre 2023 a mayo 2024”, comentó.
El ransomware o ‘secuestro de datos’ también tiene una fuerte incidencia en el país, porque hay muchas organizaciones que aún no cuentan con el nivel de infraestructura de protección adecuada, explicó Ramírez. “Las organizaciones bancarias son un blanco muy interesante para los criminales por toda la información financiera y, por supuesto, por el dinero. Es uno de los mayores peligros que enfrentan”, dijo.
El Perú alcanzó más de un millón de detecciones únicas de phishing y esta es una cifra superior a todo lo registrado en los últimos años por los sistemas de telemetría de ESE.
El daño para los bancos y demás entidades financieras es medible no solo por la cantidad de dinero que llegan a perder sus clientes sino también por el daño a la reputación de la entidad, que, al verse vulnerable resta en la confianza del consumidor para confiarle su dinero, explicó.
Apostar por la colaboración
Durante la conferencia se destacó como positivo en el país el funcionamiento del Centro Nacional de Seguridad Digital, porque permite utilizar información colaborativa para evitar el cibercrimen. “Este año se han publicado varias alertas y ese es uno de los mayores avances en seguridad que ha hecho el país” comentó Ramírez.
Una vez que una organización descubre los ciberataques que se han perpetrado puede tomar medidas preventivas y evitar ser víctima de ellos, explicó. Se trata de un trabajo colaborativo que permite asegurar que el software, hardware y personal se prepare dentro de una organización para no caer también en el mismo engaño o robo de información.
