Luis Rosero M.
Los delitos informáticos aumentan en el país por debilidades en la ciberseguridad. Los ataques al sistema informático de entidades estatales y bancos generaron pérdidas a los usuarios y clientes y a la economía del país. Un artículo académico muestra las diferentes modalidades que utilizan los ciberpiratas para cometer fraudes informáticos. El país no está preparado para frenar dichos delitos.
En Julio, de este año, la CNT sufrió un ataque informático, en Octubre le tocó el turno a la ANT y al Banco del Pichincha. Estos delitos afectaron a los usuarios que no pudieron realizar trámites, por algunos días, en dichas instituciones estatales y los clientes, de ese banco, tuvieron dificultades para realizar sus transacciones. Este delito ha venido creciendo en el país. El Telégrafo (17-09-12) informaba que en 2009 se denunciaron 168 casos mientras que en 2012 (a esa fecha) ya habían aumentado a 1564. Lo más grave es que, en el caso de bancos, por el fraude informático, es que buena parte de los clientes no pueden recuperar su dinero.
En el artículo académico “El phishing como riesgo informático, técnicas y prevención en los canales electrónicos: un mapeo sistemático”, de Luis F. Rosero, mi hijo, se analiza las distintas modalidades de ataques informáticos. El señala que “El phishing es una variación de ataque de ingeniería social, en el cual su objetivo es aprovechar debilidades que se encuentran en procesos de sistema y que son motivados por los usuarios del Sistema. Los principales tipos de phishing son: Phishing regular o tradicional: usuario recibe un correo donde le indican acceder a un sitio web o que envíe información confidencial. Phishing basado en malware: el correo tiene archivos adjuntos con software malicioso o que descargue un archivo. Spear phishing: direccionado a un negocio o persona específica de la empresa, el atacante ya tiene información de la víctima.” Agrega que otros tipos son: vishing, smishing, pharming y ceo suplantador.
El autor señala que “En una campaña de phishing se envían correos maliciosos a los usuarios para obtener las credenciales de usuario y contraseña” O sea se obtenía la información del usuario o cliente para ingresar a su cuenta. En la elaboración del artículo obtuvo información de la Fiscalía sobre la evolución del delito informático. Así, en el período 2014-200, el número de casos fue aumentando:
| AÑOS | 2014 | 2015 | 2016 | 2017 | 2018 | 2019 | 2020 |
| TOTAL CASOS | 3122 | 8242 | 8792 | 8427 | 9560 | 10264 | 9529 |
| PHISING | 1357 | 3923 | 4157 | 3674 | 4179 | 4603 | 3938 |
| %PHISING/TOTAL | 43.4 | 47.6 | 47,2 | 43.6 | 43.7 | 44.8 | 41.3 |
Los principales delitos informáticos, según el cuadro, se triplicaron entre 2014-2020. Estos son la suplantación de identidad (phishing), falsificación y uso de documentos falsos, apropiación fraudulenta por medios electrónicos y acceso no consentido a un sistema informático, telemático o de telecomunicaciones. Las provincias en que se presentan el mayor número de casos son Guayas, Pichincha y Manabí. En el caso específico del phishing es el primer delito informático en el país y, en dicho periodo, tuvo un promedio anual de 44.4% del total de los casos de delitos informáticos.
Como muestra la información de la Fiscalía, los delitos informáticos (denunciados) han crecido notablemente en el país y el phishing es el principal. Este fraude ha perjudicado a los afectados en su ingreso disponible. El autor del artículo señala que para “Para mitigar los ataques se utilizan técnicas de detección, estas abarcan programas de concientización, software de clasificación y técnicas que utilizan los proveedores de servicios.” Recomienda utilizar estrategias y técnicas de prevención de riesgos tecnológicos con reportes antiphishing como enfoques de detección, de defensa ofensiva y de corrección.
Entre las conclusiones más importantes del artículo académico están:
“La mejor prevención es estar preparados, lo que se logra con la capacitación constante a los usuarios, las herramientas físicas y lógicas que deben existir en cada institución pública o privada, planes de acciones y contingencia actualizados y aplicadas con regularidad por lo menos una vez al año. Es necesario contar con financiamiento para ejecutar estas estrategias y realizar las consultorías correspondientes con las empresas especializadas en seguridad informática.
El phishing es una amenaza constante que no va a desaparecer, por lo tanto, las acciones que deben seguirse para estar preparados involucran mejoras en la legislación, dotar de más recursos a las áreas correspondientes, capacitaciones continuas a los usuarios del sector público y privado, campañas con lenguaje sencillo para todos los usuarios que navegan diariamente en el internet y hacerles comprender los riesgos existentes.”
Es hora de que las autoridades, con estas recomendaciones de Luis F. Rosero, un experto en fraude informático, aplique la tecnología y desarrolle experticia para frenar los delitos informáticos y que la empresa privada –en especial, los bancos- a fin de que los usuarios y clientes no sigan siendo perjudicados por los ciberpiratas informáticos.
Pensamiento y comportamiento 