Los casos de ciberataques más detectados en el Perú son bien conocidas por los expertos en ciberseguridad porque se trata de vulnerabilidades que salieron a la luz en el 2012 o 2021, es decir, varios años atrás. Esto significa que los usuarios peruanos no han actualizado sus sistemas operativos ni aplicaciones móviles, y siguen convirtiéndose en víctima del cibercrimen.
En lo que va del 2024 se han registrado un millón de detecciones únicas de phishing en el Perú, la cifra más alta a lo largo de los últimos años, según un estudio de Eset. Estos ciberataques buscan engañar al usuario al replicar una web o perfil en redes sociales para robar información bancaria.
De acuerdo con el estudio, la mayor cantidad de detecciones de
phishing se dieron entre mayo y junio, anunció la compañía en el marco de los
ESET Security Days 2024.
Las vulnerabilidades más explotadas del último año fueron clasificadas por la nomenclatura CVE o “Common vulnerabilities and exposure”.
Estas fallas informáticas permiten que los cibercriminales penetren en un sistema y lleven adelante acciones maliciosas como introducción de malware, secuestro de datos, denegación de servicios y otros.
En cuanto a muestras de
malware en el Perú, se detectaron más de 900.000.
Además, los investigadores detectaron vulnerabilidad que facilitan la ejecución de código arbitrario a través de una hoja de cálculo manipulada.
También hay huecos de seguridad que permiten a los atacantes remotos ejecutar código a través de un archivo TrueType font (TTF) manipulado.
De igual manera, se detectó una vulnerabilidad crítica que afecta a Microsoft Exchange Server, con una puntuación de gravedad de 9.8 sobre 10. Los expertos alertaron que los sistemas que ejecutan versiones vulnerables de Microsoft Exchange Server, incluidas las versiones 2013, 2016 y 2019, están en riesgo.
“Las vulnerabilidades que lideran en Perú son bien conocidas, del año 2012 y 2021. Esto nos permite afirmar que hay una tendencia en el país a no actualizar sistemas operativos y aplicaciones, en tanto las siguientes versiones ya tienen parches para estas vulnerabilidades. Esto es preocupante porque no se implementan soluciones que existen desde hace ya más de 10 años, por un lado, y que evidentemente no cuentan con software de ciberseguridad capaces de detectar vulnerabilidades de este tipo”, explicó Fabiana Ramirez, Security Researcher de Eset en Latinoamérica.
Para evitar más riesgos, es necesario que los usuarios peruanos mantengan actualizados los sistemas operativos de sus computadoras y laptops, así como las aplicaciones de sus smartphones y tabletas. Si descargan e instalan la última versión disponible podrán haberse superado las fallas de seguridad advertidas en el pasado.
Por otro lado,
Jorge Zeballos, gerente general de
ESET Perú alertó que el
gran número de phishing demuestra que sigue siendo la forma más elegida por el cibercrimen para su acceso inicial, y esto es porque el usuario final o empleados siguen siendo el eslabón más débil.
"Esta situación es fácilmente explicable y es que estos no cuentan con una buena educación en ciberseguridad, siendo más vulnerables a caer en estos engaños por no tener conocimiento ni herramientas para detectar intentos de
phishing", dijo.
Asimismo, advirtió que las organizaciones no cuentan con sistemas de gestión de información robustos para apuntar a la prevención en ciberseguridad.
Finalmente, Josep Albors, responsable de Investigación y Concienciación de Eset España, destacó también un alarmante incremento en la detección de amenazas cibernéticas en el país a nivel mundial.
“Perú tuvo el porcentaje de detección más elevado a nivel mundial (8%) del Infostealer Lumma Stealer en el periodo de diciembre 2023 a mayo 2024”. Este dato subraya la urgencia de reforzar las defensas cibernéticas en la región y la necesidad de que las empresas peruanas adopten medidas proactivas para proteger sus sistemas y datos frente a estas amenazas crecientes.
En ese sentido, la gran mayoría de los ciberataques actuales presentan unas características comunes e incluso un elevado número de grupos cibercriminales siguen escrupulosamente una serie de guías con los pasos previamente establecidos para conseguir su objetivo. Insta nuevamente a las empresas a investigar y conocer cuáles son las tácticas, técnicas y procedimientos utilizados por los atacantes, y así poder actuar para prevenirlos o, como mínimo, mitigarlos.
(FIN) NDP/ MPM
JRA
Publicado: 9/7/2024