De acuerdo con la Superintendencia de Bancos (SIB), en Guatemala según datos de Kaspersky Ciberseguridad, a agosto de 2022 el phishing creció 188%. De los incidentes dirigidos a clientes de bancos, del total de casos reportados de enero a agosto de 2023, el 97% corresponde a phishing.
Luis Lara, presidente de la Asociación Bancaria de Guatemala (ABG), explicó que el phishing es una tipología de ataques que se están dando a nivel mundial y que seguirá, “lamentablemente no se le encuentra un final y es un flagelo difícil de detener”, comentó.
Ante esta situación, Lara ve dos caminos:
- Trabajar en una ley contra los delitos cibernéticos, donde se tipifique adecuadamente este tipo de ataques, para perseguir y llevar a la cárcel a quiénes lo ejecuten. En los casos en donde los atacantes son extranjeros, considera que tiene que haber algún tipo de movimiento a nivel regional, “porque el dinero se puede transferir de un país a otro, presionando un botón”.
- Concientizar a los clientes para que sepan cuáles son las tipologías, porque continuamente cambian, esto para que no se dejen sorprender.
En contexto del punto dos, el entrevistado aseguró que en el momento en que las personas “ya no caigan en la trampa, es cuando posiblemente puede haber una disminución”.
Lara recomendó que si a algún cliente bancario le llega algún requerimiento a través de correo electrónico o mensaje de texto sospechoso, que le indique ingresar a un enlace para entrar a su cuenta, que se comunique directamente con la institución bancaria y que no presione ningún link.
Estafa no es lo mismo que phishing
En tanto, José Estuardo Córdoba, director ejecutivo de la Cámara de Finanzas de Guatemala, aseguró que este es un tema complejo porque va evolucionando tan rápido como la tecnología, y sumado a que no está legislado, hace a Guatemala más vulnerable.
Córdoba agregó que los delitos tipificados en Guatemala no regulan este tema. Por ejemplo, la estafa no es un tipo penal que se adecue completamente al phishing o suplantación de identidad y demás ciberdelitos.
“Desde la Cámara de Finanzas, vemos la necesidad de regular los ciberdelitos en general y entrar a analizar detenidamente los casos específicos de apropiación de identidad ajena, para convertirlo en un tipo penal”, mencionó.
La Superintendencia de Bancos (SIB), indicó que en el país existe una reglamentación específica que deben observar las entidades bancarias en materia de gestión del riesgo tecnológico, que incluye la ciberseguridad. Dicha normativa comprende, entre otros aspectos:
- Contar con una organización adecuada para la gestión del riesgo indicado
- La implementación de medidas de seguridad y ciberseguridad para resguardar la información tanto de los bancos como de sus clientes y usuarios, a fin de preservar la confidencialidad, integridad, disponibilidad y seguridad de dicha información.
Sin embargo, aclaró que el phishing lleva implícita la manipulación de la voluntad de los usuarios, “lo cual escapa del ámbito de la gestión de la seguridad de los bancos”.
“Para prevenir este flagelo, las entidades bancarias han implementado a nivel individual y de la Asociación Bancaria de Guatemala, campañas de educación financiera y programas de capacitación de concientización dirigidas a sus clientes y usuarios, para fomentar una cultura de prevención, creando conciencia sobre los riesgos asociados a la utilización de canales digitales y la relevancia de adoptar medidas para prevenir estos, con el objetivo de evitar que sean afectados por estafas y fraudes”, informó la SIB.
Intento de ley
El 4 de agosto de 2022, el Congreso de la República emitió el Decreto 39-2022 en el que aprobó la Ley de Prevención y Protección contra la Ciberdelincuencia, que creaba figuras delictivas y adecuaba normas penales frente a delitos cibernéticos, pero recibió varias objeciones de diversos sectores. Ante esto, el Organismo Legislativo publicó en el diario oficial, el Acuerdo 14-2022 con el que fue archivada.
La normativa contenía 44 artículos en los cuales se intentaron regular los avances de las tecnologías de la información y las comunicaciones, creando una ley especial que defina las conductas delictivas a fin de proteger los datos personales e intimidad informática con mayor énfasis a los niños y adolescentes, que son los más vulnerables a grupos ilícitos que operan a través de las redes sociales.
Sin embargo, expertos en el tema consideraron que ley vulneraba la libertad de expresión y podría callar críticas contra funcionarios y políticos.
Cómo prevenir el phishing
Herbert Díaz, ingeniero en información tecnológica, compartió algunas recomendaciones para evitar ser víctima de phishing, “que no es otra cosa, que lanzar el anzuelo para ver quién cae en la trampa”:
- Analizar cualquier correo o mensaje de texto que venga, o se haga pasar por un banco, antes de hacer clic en cualquier link
- Tome nota de que un banco nunca va a enviar un correo genérico que diga “estimado usuario”, sino un correo personalizado dirigido con nombre y apellido del cuentahabiente
- Si es un tema serio, un banco nunca va pedir hacer clic en un enlace para solucionarlo; normalmente va a solicitar que el cuentahabiente se acerque a una agencia
- Tener en cuenta que, el nombre de los enlaces a páginas se pueden modificar, no necesariamente un link en donde se lee el nombre del banco va a llevar a la página legítima de este
- No entrar en pánico al recibir un correo o mensaje de texto en donde se lea que si no hace alguna acción, sus cuentas bancarias o tarjetas de debito o crédito serán desactivadas
- Cuando se ingrese a la banca en línea, es necesario revisar la barra de direcciones y verificar que figure un candado y que esta inicie con -https- “s” significa “seguro”; seguido del nombre del banco a donde se esté ingresando
Llamadas fraudulentas
No necesariamente este tipo de ataque tiene que llegar por correo o por mensaje de texto, también puede ser por llamada:
- En este caso los ciberdelincuentes, entran a la banca en línea original
- Dan clic en “olvidé mi contraseña”
- Llegan unos códigos de verificación al celular de la víctima
- Los ciber atacantes llaman a la víctima para manipularla y obtener los códigos
- Si la víctima se los da, ingresan a la banca virtual, cambian la contraseña y entran para saquear la cuenta