Nueva amenaza de phishing evidencia necesidad de tipificar delitos cibernéticos en Honduras

Durante la semana, miles de usuarios recibieron un email fraudulento que buscaba robar credenciales de acceso a un banco, un ataque que se ha vuelto frecuente en la región

Por

San Pedro Sula — Miles de usuarios hondureños recibieron esta semana un correo electrónico fraudulento dirigido a clientes de una institución financiera, en el cual les daba un plazo de tres días para actualizar sus datos o caso contrario, serían suspendidos indefinidamente del sistema.

No es el primer ataque para robar credenciales que se ha detectado en meses recientes, pero, según especialistas en seguridad cibernética consultados por Bloomberg Línea, ha sido muy elaborado, puesto que los ciberdelincuentes desarrollaron un sitio web funcional y con colores y tipografías similares a las que usa la página web real de la banca virtual de la institución.

“Este caso lo topé por accidente. Me había llegado ese ataque de phishing a mi correo y sencillamente no le tomé importancia”, dice Kevin Mejía, líder del Capítulo Tegucigalpa de OWASP, (siglas en inglés de proyecto abierto de seguridad de aplicaciones web), una comunidad mundial sin ánimo de lucro dedicada a compartir y difundir conocimientos y experiencias sobre ciberseguridad.

Sin embargo, la situación se volvió distinta cuando el papá de Kevin recibió el mismo correo electrónico. “Las personas mayores tienden a darle clic a todo y no revisan bien la legitimidad de cada cosa que reciben ya sea por email, WhatsApp o mensaje”, agrega el experto.

Al ver que la campaña de phishing estaba llegándole a más usuarios, el consultor en ciberseguridad decidió indagar un poco más y a simple vista identificó que el remitente provenía de una cuenta particular de Hotmail, una primera bandera roja, puesto que las instituciones bancarias cuentan con sus propios dominios.

También, aunque el mensaje estaba redactado de una forma parecida a los protocolos de comunicación de la banca, otro indicio de alerta era que el correo electrónico solicitaba información confidencial y personal que los bancos no consultan y menos por esa vía.

Una amenaza más elaborada

El mensaje en cuestión dirigía a los usuarios a un enlace, para el cual Kevin ingresó en un entorno de pruebas completamente aislado, usado para abrir e instalar programas sin la preocupación de afectar la red o el equipo.

“Me di cuenta que era copia uno a uno de la banca virtual de la institución, pero el dominio tenía otro nombre, con letras y números al azar. Esa es otra bandera roja, porque no es el sitio oficial del banco”, explica el especialista.

El enlace en cuestión solicitaba a la persona que ingresara su usuario y contraseña para la banca digital. Al respecto, el equipo de la compañía de software especializada en ciberseguridad ESET detectó en Chile un modus operandi similar. Cuando las víctimas del fraude ingresaban sus credenciales de acceso eran redirigidas al sitio oficial del banco y eso encubría el engaño.

Solo en Centroamérica, ESET registró de enero a noviembre de 2021 más de 600 mil archivos únicos relacionados con campañas de phishing, equivalente a 53% más que en 2020 y 280% más que en 2019.

Cibercriminales ya han hecho otras campañas haciéndose pasar por marcas reconocidas de cadenas de supermercados, aerolíneas e instituciones bancarias, mayormente. Ante ello, la Comisión Nacional de Bancos y Seguros (CNBS), ente supervisor del sistema financiero en Honduras, ha alertado en redes sociales a los usuarios sobre cómo evitar ser víctimas de este tipo de fraudes.

La importancia de denunciar

“Los delitos informáticos siempre han existido. No son nada nuevos, pero la diferencia es que ahora son más notorios, porque son más”, refiere a Bloomberg Línea la CEO de la iniciativa Honduras Cibersegura, Sandy Palma, quien también es líder del Capítulo Tegucigalpa de OWASP.

El delincuente común, refiere la experta, se dio cuenta que al utilizar la tecnología no debía invertir tanto y arriesgarse mucho, y eso llevó a que muchos delitos mutaran o se modernizaran conforme a los avances de la tecnología.

“En Honduras no tenemos datos estadísticos generales, porque no contamos con una organización que recte la temática. Ni siquiera hay una ley específica de ciberseguridad, una estrategia o una política pública”, lamenta Palma.

Tampoco el Código Penal de Honduras tipifica los delitos cibernéticos de manera puntual. Lo más cercano al tema está de los artículos 398 al 405, relacionados con seguridad de las redes y de los sistemas informáticos, puntualmente al acceso no autorizado a sistemas informáticos, daños a datos y sistemas informáticos, abuso de dispositivos, suplantación de identidad y otros.

“Hay que reportar estos delitos a las autoridades. Si no hay denuncia, no estamos en nada”, dice Palma, al agregar que, pese a que el proceso es dilatado, entre más denuncias existan, los gobiernos se darán cuenta de la necesidad que existe de una tipificación de ciberdelitos para que sean incluidos en el Código Penal.

Una opción para denunciarlos es la Unidad de Investigación de Delitos Cibernéticos que conformó la Dirección Policial de Investigación (DPI) en 2019, la cual busca identificar las estructuras que maquinan diversidad de acciones criminales.

Recientemente se han dado pasos importantes. Desde la Mesa Técnica Nacional de Ciberseguridad del IGF (Foro de la Gobernanza del Internet, por sus siglas en inglés), han surgido reuniones a petición de José Antonio Morales, titular de la Comisión Nacional de Telecomunicaciones (Conatel), con la intención de crear la Estrategia Nacional de Ciberseguridad, una respuesta a la necesidad de garantizar la seguridad en el ciberespacio.

“La avalamos, siempre que esté respaldada por los estándares internacionales y sobre todo que respete los derechos humanos, porque al final la ciberseguridad lo que busca es proteger los derechos humanos en el internet”, añade Palma.