Hay una frase que se repite frecuentemente en las redes sociales y en las conversaciones cotidianas, especialmente en un país donde la sensación de inseguridad ya no se limita a las calles: “Entré a una web y me vaciaron la cuenta bancaria”. ¿Pero realmente es suficiente con visitar una página para ser hackeada? Aunque el ciberdelincuentes son cada vez más creativos, dicen los expertos No es tan fácil que un simple clic acabe en robo digital.
En la mayoría de los casos, cuando se produce un fraude o un robo de datos, es el propio usuario quien, sin darse cuenta, ha facilitado información sensible. Puede suceder al ingresar sus credenciales en un sitio falso, una tienda clonada o una página bancaria falsificada. El diseño puede parecer idéntico al original, pero los datos viajan directamente a manos de los atacantes.
Ya se ha dicho mucho sobre phishingesa antigua técnica que aún es una de las más utilizadas en el Perú. A través de correos electrónicos, mensajes o publicaciones en redes sociales que se hacen pasar por entidades conocidas, los delincuentes buscan que las víctimas revelen sus datos personales o financieros sin que lo sospechen.
Sin embargo, el phishing ha evolucionado. Hoy en día existen versiones más precisas, como phishingque personaliza los mensajes dependiendo de la víctima, o del sonriendoque utiliza SMS con enlaces falsos. Incluso se han detectado campañas que utilizan inteligencia artificial para imitar la forma de escribir de contactos reales, haciendo cada vez más difícil distinguir entre lo legítimo y lo falso.
Entonces, ¿es imposible que me hackeen sólo por abrir una página?
vulnerabilidades en navegadores o complementos
En la mayoría de los casos, cuando se produce un fraude o un robo de datos, es el propio usuario quien proporciona su información sensible.
/En condiciones normales, Simplemente ingresar a un sitio web no descarga ni instala malware en un dispositivo moderno y actualizado. Aquí está la clave: sistemas actualizados y software compatible. Los navegadores y sistemas operativos actuales bloquean la mayoría de las descargas o inicios automatizados.
«Hoy en día, existen múltiples mecanismos de protección, como el aislamiento de procesos, la verificación de certificados y las políticas de contenido, que reducen significativamente el riesgo de que un sitio web ejecute código malicioso sin la interacción del usuario».explica a el comercio Mario Micucci, experto en seguridad informática de ESET Latinoamérica.
Sin embargo, Micucci advierte que existen excepciones. Algunas páginas pueden aprovechar vulnerabilidades en navegadores o complementos para ejecutar código sin intervención. “Estos ataques, conocidos como descargas no autorizadasSon mucho menos frecuentes hoy en día, pero explican el origen de este mito”, sostiene.
Estos ataques fueron comunes en la última década y, aunque son menos comunes hoy en día, continúan apareciendo en campañas dirigidas o en sitios comprometidos. Ocurren cuando una página aprovecha una falla en el navegador o en complementos como Flash, Java o lectores de PDF. Cuando el sitio se carga, un guion analiza la versión del software y, si detecta un fallo, descarga y ejecuta código sin que el usuario se dé cuenta, instalando troyanos o software espía.
Otro método común es publicidad maliciosaque inserta anuncios maliciosos en redes publicitarias legítimas. Puede que el usuario esté navegando en un portal de confianza, pero el anuncio provenga de un servidor externo que intenta redirigirlo o explotar una vulnerabilidad. En algunos casos, ni siquiera es necesario hacer clic: el código simplemente se carga en el espacio del aviso.
Por su parte, los kits de explotación Son paquetes automatizados alojados en sitios comprometidos, a veces incluso en páginas legítimas que fueron pirateadas. Estas herramientas analizan el entorno del visitante (navegador, sistema operativo, complementos, dirección IP) y lanzan un explotar adaptado. Si el ataque tiene éxito, consiguen instalar malware en el dispositivo, desde troyanos bancarios hasta ransomware cualquiera software espía.
Estos ataques ocurren cuando los sistemas no están actualizados y pueden tener vulnerabilidades.
/Sistemas actualizados
Aunque suene preocupante, que una simple visita termine en una infección es necesario que el sistema tenga vulnerabilidades no corregidas. Estas fallas actúan como puertas abiertas que los atacantes aprovechan para ingresar y tomar el control de una computadora.
Cuando un desarrollador detecta una vulnerabilidad, la soluciona y lanza una actualización o «parche de seguridad». Por eso uno de los pilares de la ciberseguridad es mantener actualizados los equipos: tanto aplicaciones como sistemas operativos.
Según Micucci, hoy en día los sistemas más populares, como Windows 10 y 11, incorporan medidas que dificultan la ejecución de códigos maliciosos. Lo mismo ocurre en Android e iOS, que aplican modelos de caja de arena para aislar procesos y prevenir intrusiones, y en navegadores como Chrome o Edge, que ejecutan cada pestaña en entornos separados con permisos limitados.
Los equipos actualizados son, por tanto, equipos más protegidos. Pero ni siquiera entonces existe una seguridad absoluta. “Las vulnerabilidades de día cero son reales y, aunque raras, pueden explotarse en ataques dirigidos”explica Micucci. «Un dispositivo actualizado ofrece un nivel muy alto de protección, pero no es completamente inmune. La superficie de ataque sigue presente, especialmente en componentes como navegadores, motores JavaScript y visores multimedia».
El especialista recomienda tener un solución de seguridad confiable instalado en los dispositivos para complementar la protección y reducir aún más el riesgo.
