Simulan ser la DGI, la empresa donde trabajás o un reclamo de multa. No buscan robarte, sino enseñarte a no caer cuando el ataque sea real
Imagen creada con inteligencia artificial (ChatGPT)
"Tenés una deuda en la contribución inmobiliaria de 243.487 pesos. Hacé click para obtener más información".
¿Cliquearías o no cliquearías?
Es un ejemplo ficticio de un posible ataque de phishing que puede llegar a ser utilizado por ciberatacantes para robar dinero o información. Pablo Giordano, responsable de la empresa uruguaya de ciberseguridad Hacknoid, explicó que el secuestro de información, su encriptación y un pedido de dinero a cambio para liberarla (ransomware), comienza con un phishing. Y es el rey de los ataques en Uruguay. Sino, preguntenle a la Intendencia de Paysandú.
Hace poco, la empresa Datasec y Grupo Radar le pusieron cifras a este fenómeno tras una encuesta en todo el país a personas y empresas: en 2024, cerca de 175.000 personas en Uruguay fueron víctimas de estafas en internet que les hicieron perder dinero, y otras 70.000 sufrieron la filtración de sus datos personales.
Para advertir sobre este tipo de incidentes, en Uruguay hay empresas que cada vez más consultan por este servicio, aunque no hay un aumento en contratarlo, según pudo saber El Observador.
¿En qué consiste? “Las pruebas de phishing consisten en hacerle o intentar hacerle phishing a los propios empleados para medir qué nivel de conciencia tienen”, explicó Santiago Ingold, experto uruguayo en ciberseguridad. Las herramientas utilizadas replican métodos reales: desde correos falsos hasta sitios de login idénticos a los originales.
Los datos ingresados por los usuarios no se guardan, y los archivos descargados no son maliciosos. Solo se registra el comportamiento para determinar quién necesita más capacitación.
Reynaldo De La Fuente, director de Datasec, explicó que estas pruebas se realizan "como parte de un diagnóstico general, dentro de un servicio de hacking ético, o para evaluar la efectividad de los planes de concientización".
El simulacro debe ser lo más verosímil posible. Claudio López, de Urudata, comentó que “el phishing es un arte en sí mismo” y que se trabaja en lograr un equilibrio: ni burdo ni demasiado sofisticado. El objetivo no es engañar por completo, sino medir reacciones.
Se evita usar marcas internacionales o mensajes demasiado genéricos. López explicó que recurren a servicios que se dan en Uruguay y que para el usuario pueden ser creíbles. Un correo que simula provenir de la DGI o una empresa nacional resulta más creíble para los destinatarios. Es más creíble.
Además, los correos más efectivos no apelan a premios ni beneficios. Se dirigen a emociones negativas. “La bronca enseguece más que la felicidad. Si te digo que debés $250 mil de contribución inmobiliaria, te vas a enganchar diez veces más que si te regalo un iPhone”, aseguró López.
En muchos casos, el mensaje simula haber sido enviado por la propia empresa.
Algunos ejercicios dejan marcas concretas. “Una persona recibió un correo simulado que decía que tenía una multa. Se creyó el mensaje y fue a la Intendencia a reclamar”, contó Ingold.
Otro caso efectivo fue un correo que indicaba un uso indebido de internet en horario laboral. “Como ese uso personal está permitido pero no formalizado, genera inseguridad. La gente quiere saber a qué sitios entró”, explicó.
Incluso hay empleados que caen estando de licencia. “Aun en su casa, entran al correo, leen el mensaje y hacen clic”, relató Ingold. Esto muestra que la práctica debe incluir a todo el personal, sin importar la jornada o la presencia física.
Los errores más comunes se repiten en todos los niveles de la organización. “La gente no verifica remitentes ni enlaces. Hacen clic en lo primero que aparece”, afirmó López. Una de las razones es la confianza en el entorno digital y la baja percepción de riesgo.
“Si alguien te toca el timbre diciendo que es del banco y te invita a subir a un auto, nadie sube. Pero si te llega un mail del mismo supuesto banco, hacés clic sin pensar”, agregó.
De La Fuente observó que “las personas fallan muchas veces al detectar lo obvio: un dominio incorrecto, un mensaje extraño, un link inseguro”. El problema, agregó, no es cuántos detectan la amenaza, sino que con que solo algunos caigan, toda la empresa queda expuesta.
Según López, también existe un patrón según el cargo. “Cuanto más alto el cargo, más descuidado es el usuario”, afirmó. La sensación de seguridad laboral o de impunidad genera una falsa protección. “Un director cree que si hace clic, alguien lo va a cubrir. El portero sabe que si cae, lo echan”.
Pablo Giordano, de Hacknoid, sostuvo que detectar un phishing bien hecho no es fácil. “Incluso a nosotros nos lleva un rato. Hay que verificar cosas, cruzar información. A veces es muy sutil”, afirmó. Por eso, insistió: “Hay que practicar. Así se aprende”.
Una recomendación frecuente de los expertos es evitar personalizar los errores. “No está bueno exponer a nadie. Se presentan los resultados globales, sin identificar personas”, afirmó Ingold. La clave es generar conciencia sin castigo.
El cambio cultural no es inmediato. “Se dan cambios en quienes caen en el error, pero la cultura general se transforma con meses o años de trabajo”, señaló De La Fuente. Las prácticas deben repetirse para consolidar hábitos.
En algunas empresas, la frecuencia de los simulacros genera escepticismo generalizado. “He visto empresas donde ya no le hacen clic absolutamente a nada”, dijo López. El resultado es que los empleados desconfían incluso de correos reales.
Ese comportamiento se refuerza cuando los errores tienen consecuencias internas. “El resultado de haber hecho clic va al jefe, al área de informática. Entonces la gente se cuida más”, afirmó.
Ingold explicó que el cambio de comportamiento se nota desde la segunda prueba. “Después que la gente sabe que hacés simulacros, están mucho más atentos. Les preocupa más caer en la prueba que en un phishing real”, dijo.
Todos los especialistas coinciden en que el escepticismo es la principal defensa ante ataques de ingeniería social. “Es la mejor medida que podemos tomar en ciberseguridad”, sostuvo López.
Básicamente, si dudás de un link, no cliquees.
Pablo Giordano agregó que “así como se hacen simulacros de incendio, las empresas deberían hacer simulacros de phishing con frecuencia”. La práctica frecuente construye hábitos.
Reynaldo De La Fuente concluyó que una organización con personal consciente es más segura que una con alta tecnología pero sin entrenamiento. “Reforzar comportamientos positivos es un trabajo sostenido en el tiempo”, indicó.
En ciberseguridad, la mejor inversión en ciberseguridad no requiere ser un erudito en tecnología; sino del criterio de discernir con espíritu críticolo que aparece frente a su bandeja de entrada.
Las personas pueden probar qué tan vulnerables son al phishing con un simulador gratuito de Google. El test presenta correos reales y falsos para identificar intentos de engaño.
Cada mensaje debe clasificarse como seguro o peligroso. El simulador ofrece retroalimentación inmediata para explicar las señales de alerta en cada caso.
La herramienta busca entrenar a los usuarios para reconocer tácticas comunes de suplantación de identidad y mejorar la seguridad digital personal.
