Vol.

Nº 8
Marzo/2021
www.csirt.gob.cl

Operación
Renta 2021:
El SII y la TGR se preparan
para enfrentar un
mes clave

Ingenieria
Social:
Cómo los ciberdelincuentes
refinan sus ataques para
una mayor efectividad

Cooperación
Internacional
Brasil

Tendencias
Evolución y
presente del
Phishing

Comunidad
Nacionales
Los grupos que inspiran
y suman mujeres a la
ciberseguridad
Legal
Engaños en línea
y delitos: El Phishing
 CSIRT es el Equipo de Respuesta ante Incidentes de Seguridad
Informática del Gobierno de Chile. Su misión es reducir los riesgos
de la ciberseguridad en las redes del Gobierno de Chile, asesorando
a las diferentes organizaciones que lo componen, actuando como socio
estratégico en la defensa de las amenazas y colaborando para brindar
mayor seguridad y robustez a las infraestructuras del Estado.

Contamos con un equipo multidisciplinario

¿Cómo lo de profesionales y las tecnologías para pro-
veer de asistencia técnica y logística a nues-
hacemos? tros beneficiarios, así como prevenir la explo-
tación de vulnerabilidades y actuar oportuna-
mente frente a amenazas y ciberataques.

MONITOREO
DE LAS PLATAFORMAS
DE INTERNET
DE ORGANISMOS
24/7
PÚBLICOS Y PRIVADOS
INVESTIGACIÓN
Y CAPACITACIÓN
PARA ENFRENTAR
LAS AMENAZAS DEL DETECCIÓN DE
FUTURO VULNERABILIDADES DE
SITIOS Y
SISTEMAS WEB
GESTIÓN DE DEL ESTADO
INCIDENTES Y
DIFUSIÓN DE
MEDIDAS
PREVENTIVAS INCORPORACIÓN
DE NUEVAS
TECNOLOGÍAS Y
HERRAMIENTAS
DE SEGURIDAD
MEJORA CONTINUA INFORMÁTICA
DE LOS ESTÁNDARES
DE CIBERSEGURIDAD
DEL PAÍS
INDICE

pag. 04 Editorial

pag. 05 Operación Renta 2021: El SII y la TGR se preparan para enfrentar un mes clave

pag. 09 Ingenieria Social: Cómo los ciberdelincuentes refinan sus ataques para
una mayor efectividad

pag. 15 Cooperación Internacional: Brasil

pag. 19 Tendencias: Evolución y presente del Phishing

pag. 23 Comunidad Nacionales: Los grupos que inspiran y suman mujeres a la

ciberseguridad

pag. 25 Legal: Engaños en línea y delitos: El Phishing

02
cibersucesos@interior.gob.cl

Director: Carlos Landeros Cartes

Jefa de contenidos y edición:

Katherina Canales Madrid

Colaboradores equipo CSIRT:

Ramón Rivera

Diseño y diagramación: Jaime Millán

 EDITORIAL
Cada año, la Operación Renta se convierte nuevamente en un éxito para sus
principales responsables, el Servicio de Impuestos Internos (SII) y la Tesorería
General de la República (TGR). Ambos sistemas reciben en abril un volumen cre-
ciente de transacciones sin grandes problemas. Cómo lo logran y cómo proyec-
tan el futuro de la digitalización de sus trámites, es nuestro tema central en
este número, en la voz de sus líderes: el director del SII, Fernando Barraza, y la
Tesorera General de la República, Ximena Hernández.
Lamentablemente, el que los contribuyentes debamos volcarnos a internet en
abril, incluyendo a muchas personas que pueden no tener mucho manejo digi-
tal, vuelve a este período en un imán para los ciberdelincuentes. Más aún du-
rante esta pandemia que ha obligado a realizar trámites por internet a perso-
nas que nunca antes lo había hecho, como muchos adultos mayores.
Por eso, el presente número de CiberSucesos se enfoca a explicar las caracte-
rísticas y técnicas de la ingeniería social, principal vehículo de las estafas reali-
zadas a través de internet, y en especial de su exponente más común, el phi-
shing. De hecho, la sección Tendencias la dedicamos en su totalidad a delinear
las principales modalidades de este flagelo, las razones por las cuales la inge-
niería social tiene tanto éxito y los pasos clave para evitar caer en ella.
Nuestra tradicional columna de Cooperación Internacional cuenta en esta oca-
sión con la participación de la doctora en Ciencias de la Información brasileña
Elba Vieira, quien describe la realidad de su país como uno de los más afectados
por el phishing en el mundo, especialmente tras el estallido del coronavirus, y
detalla la política de Brasil para conseguir una mejor seguridad digital, la deno-
minada Estratégia Nacional de Segurança Cibernética (E-Ciber).
Las Comunidades Nacionales representadas en esta edición coinciden en pro-
mover, cada una de forma diferente, una mayor participación de las mujeres en
las ciencias, la tecnología y la ciberseguridad. Una labor que cobra mayor noto-
riedad en marzo, debido a la conmemoración del Día Internacional de la Mujer,
pero que debería ser destacada todo el año.
Para finalizar, nuestra sección Legal recibe la opinión experta del abogado
Renato Jijena, profesor de Derecho Informático de la Pontificia Universidad Ca-
tólica de Valparaíso, quien explica la tipificación jurídica ya existente dentro de
la cual se enmarcan delitos como el phishing.

Carlos Landeros Cartes

Director Nacional
CSIRT de Gobierno

04
 OPERACIÓN
RENTA 2021
El SII y la TGR se preparan para enfrentar un mes clave
La Operación Renta es cada año un imán para los ciberdelincuentes, convirtiendo al mes de abril en
uno que ve una enorme alza de los ataques de phishing. Se multiplican los mensajes suplantando a la
Tesorería General de la República (TGR) y al Servicio de Impuestos Internos (SII), como los organismos
que lideran la Operación Renta, mensajes falsos que exigen a sus víctimas descargar archivos, hacer
clic o entregar contraseñas para poder acceder a sus dineros o evitar deudas. ¿De qué forma se prepa-
ran estas importantes instituciones para hacer frente a los desafíos de la Operación Renta?

Las más altas autoridades de la TGR, tesorera general de renta podrían tener que hacerlo este año, debido
Ximena Hernández, , y del SII, director Fernando Ba- a los beneficios otorgados el año pasado producto de
rraza, explican que los desafíos de la Operación la pandemia”, explicó Barraza.
Renta son múltiples, ya que se combina un período
de extrema demanda para los sistemas de ambos or- ¿Cómo se refuerzan estas instituciones para resistir
ganismos, con una alta ocurrencia de estafas virtua- tal incremento en la demanda? “Todos los años se
les que se aprovechan del proceso tributario. “Cada realiza una revisión y pruebas exhaustivas a toda la
año es un desafío contar con las capacidades tecno- plataforma tecnológica, con el fin de asegurar sus
lógicas para soportar el alto nivel transaccional y de capacidades, disponibilidad, seguridad y tiempos de
procesamiento de datos en un corto período”, expli- respuesta para asegurar una Operación Renta exito-
ca Barraza. Más aún en 2021, agrega, con los nuevos sa”, indica Barraza. Esto incluye, explica, una serie de
sistemas y desafíos que ha traído la implementación preparativos relacionados con la seguridad de la in-
de la boleta electrónica. formación y la ciberseguridad. El SII ha visto asimis-
mo la incorporación de los denominados “asistentes
Hernández detalla que en la TGR, “nos corresponde web”, indica el director del servicio, programas que
no solo emitir los pagos correspondientes a cerca de ayudan a los contribuyentes a llenar las declaracio-
2 millones 800 mil devoluciones aprobadas por im- nes juradas más complejas.
puestos, sino también realizar los procesos de reten-
ción y compensaciones a los que están afectos estas Por su parte, la TGR migró a la nube procesos como
devoluciones”. Así, para el proceso del presente año, el correo electrónico y sus archivos compartidos,
la tesorera general espera tener que realizar más de explica su máxima autoridad, lo que “nos permite
70 mil devoluciones adicionales que en 2020, flexibilizar y contar con mayor capacidad de res-
además de destacar que el 95% de las devoluciones puesta cada vez que aumenta la demanda, como
de impuestos de la Operación Renta son hechas de ocurre con la Operación Renta”, detalla. Desde el
forma electrónica. punto de vista de la ciberseguridad, “la TGR cuenta
con varios puntos de seguridad para el control y mi-
Lógicamente, la pandemia también ha significado un tigación de amenazas como virus, spyware, ranso-
mayor esfuerzo para ambos servicios. Este año en el mware, desastres tecnológicos y físicos”, indica
SII “se proyecta un crecimiento de transacciones Hernández, esto por supuesto junto a una preocupa-
cercano al 40%, ya que muchos contribuyentes que ción por la capacitación y concientización de fun-
habitualmente nitan presentar declaración cionarios y contribuyentes.

05
06
 LOS DESAFÍOS
QUE VIENEN
“Este año seguiremos avanzando en la mejora de la
disponibilidad y usabilidad de servicios y trámites a
nuestros contribuyentes, esperando llegar a tener un
75% de nuestros trámites digitalizados”, explica
Hernández. Esto contempla la inclusión de nuevos
conceptos de pago y mejor control de la gestión
financiera. La mandamás destaca que este proceso
de digitalización fue acelerado por la pandemia, ya
que antes de esta la cobertura de trámites digitali-
zados era del 60%.
La tesorera destaca la mejora constante de si sitio
web, tgr.cl, el que permite resolver los trámites de
los ciudadanos en cualquier lugar con conexión a in-
ternet, como “pagar contribuciones, suscribir un con-
venio o revisar el estado de un beneficio”, incluso a
Ximena Hernández través de sistemas como el de PayPal, para facilitar
Tesorera General de la Republica la vida de los chilenos que viven en el extranjero. Por
supuesto, la TGR tiene convenios con ChileAtiende y
CajaVecina del BancoEstado para llegar a todos los
rincones del país, complementa Hernández.
“Nuestro desafío este año es fortalecer la digitaliza-
ción de nuestros usuarios y responder rápidamente a
sus necesidades con un servicio seguro, confiable y,
por ello, afianzar una cultura en ciberseguridad entre
nuestros funcionarios y usuarios es fundamental”,
concluye la tesorera.
Desde el SII, su director menciona varias tareas entre
las que la institución planea realizar en el corto a
mediano plazo. Entre ellas, señala la necesidad de
realizar mayor análisis de datos, en el contexto del
denominado “big data”, ampliando el uso de algorit-
mos de “machine learning”, con tal de “optimizar el
monitoreo del comportamiento tributario de los
contribuyentes, a través de productos como el radar
tributario y el detector de fraudes”.
Además, Barraza menciona como otra tarea digital a
desarrollar el conseguir mayor interoperabilidad con
otros organismos públicos, “en base a servicios de
datos e integración de sistemas, promoviendo el uso
de la clave tributaria para contribuyentes empresas
y el uso de API para acceder a datos tributarios”.
Finamente, el director del SII también declara la in-
tención de su servicio de acelerar la adopción de
Fernando Barraza servicios en la nube y de alcanzar un 100% de digi-
Director del Servicio de Impuestos Internos talización de trámites tributarios.

07
 La Operación Renta genera en abril de cada año un aumento de la
circulación de amenazas de ingeniería social como el phishing, riesgo
que se ha visto acrecentado desde el año pasado gracias a las
campañas maliciosas que se aprovechan de la pandemia y la
vacunación para diseminar malware o robar datos”.

Revisa el remitente si recibes un

PHISHING 1
correo electrónico relacionado a Supuesto remitente: Tesorería Genera de la República
la devolución de impuestos o
Coronavirus.
Mensaje: El correo
informa de obligacio-
Nunca ingreses tus contraseñas nes impagas, por lo
ATENTO A LAS SEÑALES DE si no confías de un sitio. que envía un enlace
PHISHING! para descargar un
formulario del
Revisa el contenido, que no Servicio de Impuestos
sea alarmante o tenga faltas Internos.
de ortografía.

Para estar preparados, te presentamos los phishing ¡ATENCIÓN! Esta entidad nunca envía e-mails solicitando
y sitios fraudulentos sobre la Operación Renta de descargar archivos y tampoco mensajes para que los usuarios
los últimos años. entreguen datos personales.

PHISHING 2 PHISHING 3
Supuesto remitente: Tesorería Genera de la República Supuesto remitente: Tesorería Genera de la República

Mensaje: El correo Mensaje: El correo

informa de obligacio- informa de una multa
nes impagas, por lo e invita al cliente a
que envía un enlace descargar la restitu-
para descargar un ción de declaración.
formulario del Servicio
de Impuestos Internos.

¡ATENCIÓN! El SII no envía documentos adjuntos, ¡RECUERDA! El SII nunca solicitará datos
excepto cuando el contribuyente lo ha solicitado. personales, ni rut o contraseña secreta.

08
09
INGENIERIA
SOCIAL
La Ingeniería social es la práctica de obtener información sensible a través de la manipulación de
usuarios para que éstos la revelen al atacante. Los atacantes utilizan esta técnica con el propósito
de acceder en sistemas informáticos que les permitan realizar acciones para perjudicar, utilizar o
exponer a las personas, organismos o comunidades que se ven comprometidos en el ataque.

El correo electrónico es el principal medio utilizado

por los cibercriminales para cometer sus ataques
utilizando esta técnica. No obstante, pueden utilizar
otros canales de comunicación además del email, ¿Por qué la
entre ellos se cuentan las llamadas telefónicas, los
mensajes de texto y las redes sociales. ingeniería social
Los ataques de ingeniería social son, por lejos, la
práctica más utilizada y exitosa para cometer delitos
es efectiva?
informáticos, lo que revela el descuido o la escasa
importancia que las personas asignan a la informa- Porque a pesar de los protocolos, prevenir la
ción que poseen. ingeniería social tiene el desafío de que el
comportamiento humano es impredecible
En un ataque de ingeniería social, los cibercriminales
explotan condiciones básicas de la naturaleza
humana como: Porque es difícil detectar una amenaza de in-
geniería social
La confianza de las personas en los demás, lo
que es la base de cualquier ataque de inge- No existe un método que permita dar com-
niería social pleta seguridad a una organización frente a
un ataque de ingeniería social
La avaricia, la cual lleva a las personas a en-
tregar información a cambio de una recom-
pensa que no se va a concretar No existe un software o hardware para defen-
derse contra un ataque de ingeniería social
La ignorancia sobre el valor de los datos que
las personas poseen o rol que desempeñan,
convierten a una organización en un blanco Este tipo de ataque es relativamente sencillo
fácil de ataque de implementar y su costo es mínimo

10
 PRINCIPALES
ATAQUES
ASOCIADOS A
INGENIERÍA SOCIAL

PHISHING:
Técnica por la cual el ciberdelincuentes mandan
mensajes de correo electrónico con mensajes falsos,
haciéndose pasar por empresas legítimas o personas
de confianza para la víctima e instándole a hacer clic
en enlaces, descargar archivos o enviar información
personal sensible, como contraseñas.
SMISHING (PHISHING DE SMS):
Se trata del envío de mensajes de texto (SMS) o
WhatsApp para comprometer a los usuarios a una in-
teracción instantánea en la que, con el pretexto de
ser un mensaje legítimo, guían a las personas a des-
cargar un malware, visitar un sitio fraudulento o
llamar a un teléfono falso, dónde requieren que éste
divulgue información personal y detallada de sus
cuentas.
VISHING:
Consiste en la suplantación a través de tecnología de
voz (puede ser una llamada, un mensaje de voz), en la
que se trata de engañar al individuo para revelar in-
formación crítica. En estas llamadas los delincuentes
buscan engañar a los usuarios, haciéndoles creer di-
versas historias y situaciones que relatan a través del
teléfono o mensaje.

11
 RECOMENDACIONES
PARA NO CAER EN EL
CUENTO DEL TÍO
VERSIÓN DIGITAL
DESCONFÍA de los correos y SMS que provie-
nen de fuentes desconocidas.
CUIDADO con las ofertas que recibes. Si son
muy buenas, duda.
NUNCA ingreses tus contraseñas si no confías
en un sitio.
REVISAR que el enlace coincide con la direc-
ción a la que apunta. Y, en cualquier caso, in-
gresar la url directamente en el navegador, sin
copiar y pegar
NO ABRAS archivos ni utilices enlaces que
estén dentro de un correo enviado por un re-
mitente desconocido.
REVISA el contenido, que no sea alarmante o
tenga faltas de ortografía.
COMPRUEBA el número de teléfono desde el
que te hace una llamada antes de responder.
Muchas compañías móviles, ya incluyen la po-
sibilidad de bloquear llamadas no deseadas y
de filtrar el spam, marcando cuando un
número es sospechoso.
NINGUNA institución financiera o empresa te
enviará un mensaje de texto en el que te pide
que actualices la información de tu cuenta o
que confirmes el código de tu tarjeta de cré-
dito o cajero automático.
CONTACTA rápidamente a tu banco si revelas-
te información y cambia tus contraseñas in-
mediatamente.

156 millones de correos electrónicos de phishing son enviados

Se abren 8 millones de correos electrónicos de phishing
Curiosidades:
Se les da clic a 800 mil enlaces de correos electrónicos de phishing
Cada día
80 mil personas son víctimas de estafa y entregan información
personal a cibercriminales que intentan suplantar la identidad

12
 Aunque el Phishing deber ser conocido para ti, existen otros ataques
que tienen como fundamento la Ingeniería Social como:

1.- Baiting o Carnada

Consiste en tender una trampa y dejar un dispositivo de almace-
namiento infectado –como un pendrive- en un lugar estratégico
como lugares públicos con mucha afluencia de personas, para
conseguir que los curiosos conecten este dispositivo infectado
en sus equipos para ejecutar malware con el que pueden robar
nuestros datos personales y/o tomar control del equipo, infectar
la red y llegar al resto de dispositivos.

2.- Shoulder Surfing

Es una técnica mediante la que el ciberdelincuente consigue in-
formación de nosotros, como usuarios, mirando “por encima del
hombro” desde una posición cercana, mientras que utilizamos
los dispositivos sin darnos cuenta.
Puede darse en lugares públicos, como cafeterías o centros co-
merciales, y en transportes, mientras utilizamos nuestro equipo,
o en cajeros automáticos.

¿Sabías que 9 de cada 10 intentos

de ataque por medio del shoulder
surfing, fueron exitosos?

3.- Dumpster Diving

Hay un dicho famoso que la mayoría seguro ha escuchado: «La
basura de un hombre es el tesoro de otro».
Eso significa que lo que una persona considera inútil podría ser
de gran valor para la otra. El concepto de Dumpster Diving se
basa en esto. Indagar por información en la basura, tal como se
señala en la traducción, se trata de acceder a elementos elimi-
nados en la basura por la víctima, como borradores de docu-
mentos, información de contactos, códigos, etc.

13
Los usuarios de internet le hemos hecho el trabajo
más fácil a los delincuentes, ya que, en general, pu-
blicamos una gran cantidad de información sobre
nuestra identidad, rutinas y familias a través de las
redes sociales. Gracias a eso, los delincuentes pueden
hacerse pasar por familiares o jefes de la persona ob-
jetivo, revistiendo a sus mensajes de urgencia y auto-
ridad.
De eso se trata la ingeniería social, de un grupo de
técnicas que hay que tener particularmente en
cuenta durante marzo y abril, ya que la Operación
Renta del Servicio de Impuestos Internos (SII) genera
un aumento de los casos de phishing, íntimamente
relacionado con este fenómeno.

14
 Cooperación
internacional

PHISHING: BRASIL PRINCIPAL

OBJETIVO DE ATAQUE
EN EL MUNDO
Brasil es uno de los países que más ataques de phishing sufre en la región, y la doctora
Elba Vieira nos explica por qué y cómo ha afectado la pandemia a su popularidad.
Asimismo, detalla las principales acciones contenidas en la estrategia brasileña de
ciberseguridad, E-Ciber, para combatir los riesgos existentes en el mundo digital

Las nuevas tecnlogías son cada vez

más usadas por los criminales para
dificultar su identificación y la de-
fensa contra sus ataques. Junto con
ello, utilizan técnicas para explotar
la fragilidad humana y sentimien-
tos como miedo, curiosidad, empa-
tía, pena y tantos otros. Como indica Kevin Mitnick, la
ingeniería social es un “arte teatral” y a través de ella
es posible “hacer que las personas hagan cosas que
normalmente no harían para un extraño”. El experto
agrega una frase que se ha hecho famosa: “el factor
humano es el más débil de la seguridad”.
En este contexto se enmarcan el phishing y su éxito. Al
inicio de la pandemia, en abril de 2020, pudimos ob-
servar el avance de los números relacionados con
ataques cibernéticos en los países de América Latina.
Según números de Kaspersky, tan solo en ese mes,
Brasil recibió más del 60% de los ataques identifica-
dos por la empresa en América Latina.
Y este mes de marzo, la firma rusa publicó que “los
brasileños son los principales objetivos de ataques de
phishing en el mundo”, debido, entre otros motivos, al
mayor uso de las redes sociales, el aumento las per-
sonas trabajando de forma remota (y con recursos
propios) y una búsqueda intensa de información res-
pecto de la pandemia.
Elba Vieira : Doctora en Ciencias de la Información de la Así, de acuerdo con Kaspersky, “la emergencia sanita-
Universidad Federal da Bahia y fundadora de la consultora Solare. ria protagoniza muchos de los ataques de phishing,

15
 que buscan robar información como datos personales, var el avance de los números relacionados con ataques
credenciales de cuentas online y, principalmente, con- cibernéticos en los países de América Latina. Según
traseñas bancarias. Las maniobras usadas por los cri- números de Kaspersky, tan solo en ese mes, Brasil reci-
minales fueron desde ofertas de máscaras y alcohol gel bió más del 60% de los ataques identificados por la
a falsas inscripciones para programas de auxilios socia- empresa en América Latina.
les, registro para el sistema de pagos PIX y, más recien- Y este mes de marzo, la firma rusa publicó que “los bra-
temente, páginas fraudulentas de inscripción para re- sileños son los principales objetivos de ataques de phi-
cibir la vacuna”. shing en el mundo”, debido, entre otros motivos, al
La misma firma rusa indicó en otro estudio que “la ten- mayor uso de las redes sociales, el aumento las perso-
dencia general de crecimiento de los ataques dirigidos nas trabajando de forma remota (y con recursos pro-
contra el sector corporativo continuará el próximo año, pios) y una búsqueda intensa de información respecto
aún más porque el modo de trabajo remoto, cada vez de la pandemia.
más popular, vuelve a los funcionarios más vulnera- Así, de acuerdo con Kaspersky, “la emergencia sanitaria
bles”. protagoniza muchos de los ataques de phishing, que
buscan robar información como datos personales, cre-
Las nuevas tecnologías son cada vez más usadas por denciales de cuentas online y, principalmente, contra-
los criminales para dificultar su identificación y la de- señas bancarias. Las maniobras usadas por los crimina-
fensa contra sus ataques. Junto con ello, utilizan técni- les fueron desde ofertas de máscaras y alcohol gel a
cas para explotar la fragilidad humana y sentimientos falsas inscripciones para programas de auxilios socia-
como miedo, curiosidad, empatía, pena y tantos otros. les, registro para el sistema de pagos PIX y, más recien-
Como indica Kevin Mitnick, la ingeniería social es un temente, páginas fraudulentas de inscripción para re-
“arte teatral” y a través de ella es posible “hacer que las cibir la vacuna”.
personas hagan cosas que normalmente no harían para La misma firma rusa indicó en otro estudio que “la ten-
un extraño”. El experto agrega una frase que se ha dencia general de crecimiento de los ataques dirigidos
hecho famosa: “el factor humano es el más débil de la contra el sector corporativo continuará el próximo año,
seguridad”. aún más porque el modo de trabajo remoto, cada vez
En este contexto se enmarcan el phishing y su éxito. Al más popular, vuelve a los funcionarios más vulnera-
inicio de la pandemia, en abril de 2020, pudimos obser bles”.
La
concienciación
es clave

No hay una solución mágica para resolver este problema. Es importante aplicar medidas
con eje en las personas, los procesos y las tecnologías, para aumentar la superficie
de protección de las organizaciones. Entender por qué las personas erran es una de
las mejores tácticas para construir programas de concientización.

Un estudio de la Universidad de Stanford explica algunos de los factores psicológicos tras el

éxito del phishing. Un 25% de los funcionarios encuestados dijo haber hecho clic en un email
de phishing en el trabajo, con un 34% de hombres señalando que hicieron clic en un link
de un email de phishing contra 17% de las mujeres.
Asimismo, la distracción y el trabajo remoto colaboran. Según el estudio, 45% de los
entrevistados citaron la distracción como el principal motivo de caer en un phishing, mientras
que un 57% de los trabajadores admitió distraerse más trabajando en casa que en la oficina.

16
 La respuesta
de Brasil
En Brasil se observa un movimiento de preocupación de
las organizaciones hacia la prevención del crimen ciber-
nético. Recientemente, el Conselho Monetário Nacional
(CMN) actualizó sus reglas para las instituciones finan-
cieras brasileñas en lo respectivo a seguridad cibernéti-
ca y contratación de servicios de procesamiento y alma-
cenamiento de datos y de computación en la nube, de-
biendo además establecer y documentar criterios ante
crisis causadas por ataques cibernéticos.
Además, la propia Autoridade Nacional de Proteção de
Dados (ANPD), responsable de velar por la protección de
datos en el país, definió en su planificación estratégica
el fortalecimiento de las organizaciones brasileñas y de
los ciudadanos, incentivando y promoviendo eventos de
capacitación sobre temas de protección de datos perso-
nales y, por consecuencia, de ciberseguridad.

17
Brasil posee algunos instrumentos robustos relacio-
nados con el tema de la ciberseguridad. Una de ellas
es la Estratégia Nacional de Segurança Cibernética
(E-Ciber), que además de llenar vacíos en el marco
normativo del país, tiene como visión para Brasil
“convertirse en un país de excelencia en ciberseguri-
dad. Y entre sus objetivos estratégicos está volver a
Brasil más próspero y confiable en el ambiente digi-
tal, aumentar la resiliencia del país ante amenazas
cibernéticas y fortalecer el actuar de Brasil en el es-
cenario internacional.
E-Ciber formaliza diversas acciones estratégicas,
que deben ser aplicadas por las organizaciones. Ellas
incentivan el fortalecimiento de medidas de gober-
nanza cibernética, la colaboración público-privada y
con la sociedad, una elevación del nivel de protec-
ción de las infraestructuras críticas, el uso de solu-
ciones innovadoras en ciberseguridad y una amplia-
ción de la cooperación internacional, entre otras im-
portantes medidas.
De esta forma, la parte I de E-Ciber contiene un diag-
nóstico donde nota que, en ataques cibernéticos re-
cientes, grupos de hackers han tenido a los sistemas
del gobierno como objetivos, y que entre los principa-
les tipos de amenaza contra la administración pública
están precisamente los phishing, junto a ataques
DDoS, liberación de datos privados, espionaje y terro-
rismo cibernético e interrupción de servicios.
Por lo anterior, las organizaciones públicas y privadas
deben establecer políticas y procedimientos de ciber-
seguridad que sean mejorados periódicamente, junto
a la capacitación continua de todos los colaboradores.

E-Ciber es una importante herramienta y guía para que las organizaciones direccionen sus
estrategias y planes a la pregunta de la ciberseguridad. Finalizando con una cita de Bruce Schei-
ner, “todos se deben esforzar: usuarios y consumidores, gobiernos y reguladores, empresas e in-
versionistas. Un futuro de éxito para nuestras economías digitales depende de la integración de
los principios de ciberseguridad, como privacidad y seguridad por diseño desde el inicio del de-
sarrollo de la tecnología”.

18
 Tendencia
Digital

EVOLUCIÓN Y PRESENTE
DEL PHISHING
El phishing es hoy el modo más extendido de ataque cibernético y el principal exponente de
la ingeniería social. ¿Qué debemos tener en cuenta para no caer en sus redes y convertirnos
en una nueva presa de los ciberdelinucuentes?

19
 Con un nombre inspirado por la “pesca” (“fishing”, en inglés) que realizan de
sus víctimas, el phishing es un tipo de ataque se disemina generalmente por
correo electrónico, ofreciendo como “carnada” mensajes aparentemente
urgentes o beneficiosos, diseñados para parecer fuentes confiables para la
víctima, como empresas y familiares o amigos.
La “pesca” se concreta cuando la potencial víctima realiza la acción desea-
da por los atacantes, como puede ser el hacer clic en sitios que descargan
malware, el enviar datos personales a los delincuentes, o el realizarles una
transferencia de dinero.

INVESTIGAR EL OBJETIVO:
El criminal recolecta información sobre la organi-
zación o persona a la que quiere atacar, la que
puede ser reunida, por ejemplo, a partir de datos
públicos de las organizaciones o en internet.
Fases de SELECCIONAR A LA VÍCTIMA:
un ataque El atacante elige a su objetivo. En una organiza-
de ingeniería ción, por ejemplo, un trabajador frustrado es un
buen candidato.
social
ESTABLECER UNA RELACIÓN:
Aquí se genera un vínculo con la víctima elegida,
para que confíe en el atacante y sea más fácil
aprovecharse de ella.

EXPLOTAR LA RELACIÓN:
El criminal usa el vínculo cimentado con la vícti-
ma para obtener la mayor cantidad de informa-
ción sensible y datos personales, o hacer que
descargue un archivo malicioso.

20
 Tendencia
Digital

Claves para
identificar un
Phishing

Técnicas identificables como lo que hoy se conoce

como phishing han existido por al menos 30 años, y
en todo este tiempo, por supuesto, no han dejado de
evolucionar.
Entre los ejemplos destacados está el famoso fraude
del príncipe nigeriano, o estafa 419, que tiene ante-
cedentes en similares engaños efectuados antigua-
mente a través de cartas.
En esta modalidad, los delincuentes distribuyen un
email donde una persona, supuestamente un prínci-
pe millonario, explica que necesita ayuda para sacar
su fortuna del país. Y si el receptor le ayuda, le dará
una parte. Para lograrlo, la víctima debe realizar un
pago (relativamente pequeño, en comparación con la
recompensa) por adelantado a este supuesto prínci-
pe, lo que por supuesto no es más que la consuma-
ción de la estafa.
Un truco clave usado por los malhechores para el
spear phishing es el denominado spoofing, cuando se
registra la dirección de correo electrónico con un
nombre falso en el área que se despliega como
nombre del remitente. Por eso, es clave siempre
fijarse en la dirección real de quien envía el email (y
particularmente el dominio, la parte que va después
del @). Si no coinciden con el nombre que aparece
como “from” o remitente, se trata muy seguramente
de un correo malicioso.

21
 Otra tendencia importante es que cada año los ataques de phishing se concentran
en fechas donde las personas realizan transacciones online, como la Operación
Renta, la Navidad y, recientemente, los retiros de fondos previsionales.

Spear phishing: Variante del phishing

donde el destinatario es una persona
en específico, a la cual se debe investi-
gar previamente de forma exhaustiva.
Pharming: Es un phishing a gran escala,
DEL PHISHING

a través de redirigir el tráfico de una

web hacia un sitio fraudulento, ya sea a
través del uso de malware en el equipo
VARIANTES

de la víctima, o de comprometer un
ALGUNAS

servidor DNS.
Whaling: Phishing cuyo objetivo son
los “peces gordos” dentro de una orga-
nización (por eso “whaling”, “caza de
ballenas”), como el gerente general,
altos funcionarios públicos y políticos
o celebridades.
Repackaging: El cibercriminal incluye
malware en una aplicación legítima,
para difundir su programa malicioso
entre quienes creen estar descargan-
do un programa seguro.
PARA FIJARSE Y SOSPECHAR

Nadie le ofrecerá dinero por realizar una No haga clic en mensajes que prometan
1.- simple transacción o por hacer clic en un
enlace. 6.- imágenes de fotos íntimas o videos morbo-
sos.

Nunca envíe dinero por adelantado ante Los correos de phishing suelen ser imper-
2.- una solicitud por email. 7.- sonales, a “cliente” o “usuario”, en vez del
nombre del destinatario.
Desconfíe cuando se le llame a actuar
3.- rápido para aprovechar una oportunidad o
por un supuesto riesgo.
8.- Atención con mensaje que esté redactado de
forma incorrecta o con palabras equivocadas.

Sospeche si el remitente solicita confi- Tener especial cuidado con fechas como la
4.- dencialidad, pide ayuda urgente o apela al
fervor religioso.
9.- Operación Renta como Navidad o el “Cyber
Monday”.

Tenga cuidado con fotos y documentos, Nunca hacer clic en enlaces de bancos o
5.- son fáciles de falsificar, no son prueba de 10.- tiendas. Visite sus páginas escribiendo sus
la autenticidad. direcciones en el navegador.

22
 Comunidad
nacionales

LOS GRUPOS QUE INSPIRAN

SUMAN MUJERES A LA
CIBERSEGURIDAD
Las mujeres continúan su batalla por ocupar una mayor proporción de los puestos de trabajo en
aquellos sectores que siguen dominados por los hombres. Un área donde esta diferencia es muy no-
toria es precisamente en el mundo de la ciberseguridad. Por eso cada día se forman más grupos e
iniciativas para incluir más mujeres en este ámbito laboral. Estos son algunos de ellos.

Hackada es una comunidad nacida a me-

diados del año pasado, a partir de mujeres
que, hasta ese momento, compartían
dentro de otros grupos de ciberseguridad e
informática dominados por hombres. Su
objetivo fue formar una comunidad solo
para mujeres, donde existiera un espacio
seguro y empático donde compartir expe-
riencias y apoyarse mutuamente ante cual-
quier dificultad que encontraran en sus lu-
gares de trabajo, casi exclusivamente mas-
culinos.
Desde entonces, el grupo ha crecido y hoy
está conformado por 118 participantes,
quienes comparten sus conocimientos con
el resto de las chicas y realizan actividades
para visibilizar a la mujer en ciberseguridad
y empoderar a las chicas interesadas en
entrar a este rubro.

23
Womcy es una organización que ofrece
asesorías en ciberseguridad enfocadas en
minimizar la brecha de género en ciberse-
guridad en toda América Latina. Ofrece
varios programas distintos, para públicos
empresariales, universitarios y escolares,
uno de estos últimos enfocado en niñas
entre 14 y 17 años, llamado Womcy Girls.
Asimismo, mujeres interesadas en com-
partir sus experiencias en el rubro con las
chicas pueden postular para convertirse
en conferencistas.

Technovation Girls Chile es una fundación

que realiza actividades de motivación en
habilidades STEM (ciencia, tecnología, in-
geniería y matemáticas) y habilidades di-
gitales para niñas entre 10 y 18 años, con
Inspiring Girls tiene como norte la elimina- el objetivo declarado de fomentar que, en
ción de estereotipos en la tecnología, re- algunos años más, más mujeres sean parte
saltando la presencia de mujeres en del mundo laboral en los campos relacio-
campos como la biotecnología, a través, nados con la ciencia y la tecnología.
entre otros métodos, de programas de ha- Su actividad más destacada es el Techno-
bilidades STEM para niñas y de actividades vation Challenge, que desafía a las niñas a
en colegios por parte de mujeres profesio- trabajar en equipo y competir por desarro-
nales de estas áreas, que actúan como em- llar la mejor app.
bajadoras voluntarias.
También hacen cursos para desarrollar ha-
bilidades sociales en las chicas, gestionar
sus emociones y generar autoestima, se-
guridad personal, y generar capacidades de
comunicación digital, entre muchos otros.

24
 Legal

25
ENGAÑOS EN
LÍNEA Y DELITOS:
EL PHISHING
Antes que el fraude actualmente masificado
donde un SMS falso nos pide el reenvío de un
código de autenticación de Whatsapp, fue y sigue
siendo práctica recurrente recibir un correo elec-
trónico supuestamente de nuestra entidad finan-
ciera, pidiendo conectarnos a su sitio web para
actualizar o verificar las contraseñas y claves de
acceso. En derecho, se trata de una conducta in-
tencional y dolosa donde, mediando un engaño o
la simulación de ser una petición bancaria, se
busca que el sujeto pasivo al cual se le acceden o
"pescan" las claves de autenticación realice una
conducta concreta, que a la postre le ocasionará
un perjuicio patrimonial al realizarse una transfe-
rencia bancaria no autorizada a un tercero.

Renato Jijena Leiva

Profesor Derecho Informático PUCV

26
 Se olvida que siempre hay dos víctimas afectadas en su Desde la perspectiva de la ingeniería social que nos
patrimonio, la inmediata o directa que es el titular de la convoca…, si un porcentaje mayoritario de los chilenos
tarjeta o de la cuenta corriente que entrega sus claves, teme que las transacciones financieras en línea, sin
y la mediata o indirecta que es el administrador del presencia de plástico, son vulnerables, delitos informá-
sistema bancario cuyo patrimonio y confidencialidad ticos como el engaño “espejeando” y simulando la co-
tecnológica se vulnera, y por eso son jurídicamente nexión a un sitio web bancario lo explican. Es una per-
cuestionables sentencias de los tribunales de mal fun- cepción que se despeja cultural, técnica y legalmente,
damento jurídico y construidas en base a entelequias, pero especialmente desde la perspectiva técnica de la
atribuyendo siempre y a priori la responsabilidad a los Seguridad de la Información. ¿Será invirtiendo cifras
bancos sólo porque son depositarios de los fondos de- millonarias en sistemas, auditorías, certificaciones y
bitados. capacitaciones en seguridad física y lógica?, pues no,
más que un tema de monto de recursos es un problema
Es un mito jurídico mayor declarar que se trata de con- acerca de la idoneidad de las medidas técnicas y orga-
ductas no sancionables en Chile y que debemos apurar nizativas que se implementen para resguardar la inte-
una nueva tipificación de delitos informáticos. En una gridad, la disponibilidad y la confidencialidad de un sis-
modalidad de "concurso de delitos" son aplicables tres tema de gestión en línea de fondos o valores.
tipos penales diversos que "subsumen" cabalmente el
ilícito, a saber: el tipo penal de fraude o engaño del La seguridad de sistemas es esencialmente prevención
Código de 1875; el tipo de acceso indebido a la infor- y en menor medida reacción ante las contingencias.
mación de un sistema del artículo 2° de la ley 19.223, Sólo previniendo se es diligente y se demuestra la res-
que es una figura amplia y genérica; y el tipo penal ponsabilidad debida, para así aminorar la posibilidad
nuevo de la ley 20.009 que castiga al que mediante de que los riesgos inherentes se traduzcan en perjui-
cualquier engaño o simulación obtenga o vulnere la in- cios indemnizables, y eso debe trabajarse en conjunto
formación y medidas de seguridad de una cuenta co- con las áreas de riesgo, de tecnología y jurídica o de
rriente bancaria, de una cuenta de depósito a la vista, Fiscalía. Pero estas últimas siguen en una especie de
de una cuenta de provisión de fondos, de una tarjeta de divorcio profesional que creíamos superado.
pago o de cualquier otro sistema similar, para fines de
suplantar al titular o usuario y efectuar pagos o tran-
sacciones electrónicas.

27
La respuesta concreta ante el phishing desde la
óptica de los SGSI o de la ciberseguridad provino dili-
gentemente de los responsables: además de la clave
de acceso inicial al sistema bancario, para una trans-
ferencia siempre se pide una segunda clave o coor-
denada aleatoria y una tercera que se remite al celu-
lar del usuario, es decir, al sujeto activo del delito ya
no le es suficiente conseguirse sólo el RUT y el
password de la víctima. Y bueno, si además del men-
saje estándar de que "el banco nunca le pedirá sus
claves" un sistema así de verificación de identidad en
tres niveles no se ha implementado, si podríamos
imputar con fundamento negligencia grave al banco
y exigir indemnizaciones de perjuicios.
Desde otra perspectiva. Cuando un prestador de ser-
vicios ofrece usar Internet para transacciones o
pagos electrónicos, y su cliente acepta la oferta de la
mano de un contrato de adhesión para el uso de ca-
nales digitales, debe hacerlo bajo el paraguas del ar-
tículo 23 de la ley del consumidor, es decir, garanti-
zando –a priori- que no actuará con negligencia o
causando menoscabo por fallas y deficiencias de se-
guridad. Pero en la otra orilla del contrato entonces,
el cliente y consumidor también debe asumir una
carga de diligencia o cuidado de sus claves de acceso
y mecanismos de autenticación, bastante menor,
más pasiva, de menor costo, pero necesaria y exigible
por seguridad, para la fiabilidad del sistema y en
equidad. Y en definitiva si el equilibrio necesario
además de cultural y técnico también debía ser nor-
mativo o legal, además de un tipo penal específico
para sancionar al sujeto activo del delito, de la mano
de herramientas como la misma ley 20.009 desde el
año 2005 se ha limitado la responsabilidad de los
usuarios de tarjetas, articulándose en Chile un siste-
ma obligatorio -para bancos y casas comerciales- de
avisos y bloqueos en casos de hurtos, robos y extra-
víos, y estableciéndose de cargo del proveedor de-
mostrar que el propio tarjetahabiente no realizó la
transacción fraudulenta.

28
Teatinos 92 piso 6
Santiago, Chile
www.csirt.gob.cl