En los últimos años y, desde la llegada de Outlook, los correos de estafa bajo la modalidad del phising se han hecho cada vez más comunes. El PUClítico conversó con Marcelo Marabolí, subdirector de Redes y Seguridad UC para conocer las herramientas con la que cuentan la comunidad universitaria y prevenir caer en estafas digitales.
“Recibimos su solicitud para desactivar su cuenta de correo electrónico uc.cl” y “este es un aviso importante del correo electrónico de la uc.cl” son algunos de los mensajes de carácter urgente que han llegado a las bandejas de entrada de la comunidad universitaria. A simple vista, parecen legítimos: el remitente dice ser parte de una institución y utiliza un lenguaje formal que simula un comunicado oficial. No obstante, detrás de estos mensajes se esconde la ya normalizada estafa digital: el phishing.
El phishing es una técnica de ciberataque que, a través de correos electrónicos, mensajes de texto, sitios web falsos o llamadas telefónicas busca extraer información personal o confidencial, como contraseñas o datos bancarios. Los agentes de este tipo de estafa se hacen pasar por instituciones y entidades legítimas.
Durante el último año, los estudiantes de la UC han denunciado la recepción de este tipo de correos. En específico, estos suelen provenir de usuarios que se hacen pasar por personal de la universidad. Entre los casos más comunes se encuentran invitaciones a charlas o actividades, en las que se solicita información personal para una presunta inscripción. Marcelo Marabolí, subdirector de Redes y Seguridad UC, señala que la “urgencia” en los correos son signos para detectar un phishing. Entre otros signos, indica que: “Generalmente contienen un link o un adjunto. Por lo común, vienen de una fuente que no es la oficial. No indican un lugar donde confirmar la información, es decir, si usted tiene dudas llame a la mesa central de la universidad para verificar […] generalmente —estos correos— no lo dicen. Esos son signos para detectar un phishing”.
Además, el experto explica que se han incrementado los correos falsos o engañosos. “Hace dos años que han incrementado, porque quieren capturar usuario y clave de cualquier usuario UC —profesor, alumno o funcionario— para venderlo en el mercado negro”. Esto genera que ocurran “hackeos silenciosos”, en donde los usuarios UC están compartiendo su cuenta sin saberlo, y no se dan cuenta hasta que ven un archivo nuevo que no es de ellos.
Aun así, por parte de informática, están tomando medidas para que sean cada vez menos los correos indeseados. “El 95% de todos los correos que recibe la universidad, son descartados por ser falsos, por virus, por spam, phishing o venta de cosas falsas. El 95% se bota y el 5% es legítimo. Pero siempre se cuelan algunos que parecen ser reales”, señala Marcelo Marabolí. Esto no es lo único con lo cuenta la comunidad, sino también, el sitio de ciberseguridad.informática.uc.cl. “Está diseñado para que la gente se eduque, aprenda. Dice cómo reportar un incidente de seguridad, cómo reportar un phishing. Las personas pueden meterse en Outlook […] y pinchar ahí un botón que dice ‘reportar phishing’, con eso aprende Microsoft y nos llega una notificación a nosotros como Dirección de Informática”, comenta el experto.
En la era digital, el phising forma parte de nuestro cotidiano, por eso es importante que los estudiantes y funcionarios sepan prevenirlos con las herramientas disponibles que ya existen. Una de ellas, es habilitar la segunda clave en Microsoft 365, solo se debe instalar una aplicación en el celular, esta te va a entregar un código que cambia cada 30 segundos. Luego de realizar el inicio de sesión, le escribes al Departamento de Informática para que active la segunda clave para tu cuenta. “Con eso, Microsoft empieza a pedirlo, cada vez que vas a ingresar a Office. Si tienes Outlook en el celular, te lo va a pedir cada quince días. (…) Aunque caigas en una página phishing, apretes y llenes los datos, ese usuario y clave no le va a servir al hacker, porque le va a faltar la segunda clave”, explica Marabolí. Es importante conocer las herramientas que tenemos a disposición para poder combatir estafas digitales y no caer en enlaces falsos.
