Por Daniel Monastersky, Socio en Data Governance Latam y Director del Centro de Estudios en Ciberseguridad y Protección de Datos (CECIB) de la Universidad del CEMA.

Hoy en día, donde cada clic puede significar la diferencia entre seguridad y vulnerabilidad, el phishing se ha convertido en una amenaza omnipresente que trasciende sectores. Ya no solo son los bancos el objetivo principal; entidades públicas, instituciones educativas, y organizaciones de todo tipo se han convertido en blancos de estos ataques sofisticados. Sin embargo, en este campo de batalla digital, dos de los gigantes tecnológicos más influyentes del mundo, Google y Meta, parecen haber adoptado una postura de negligencia calculada frente a una amenaza que crece a pasos agigantados.

El caso de 25 de Mayo: Un ejemplo emblemático que aún resuena

El caso de fraude en el municipio argentino de 25 de Mayo, ocurrido en 2017, sigue siendo un ejemplo paradigmático de las consecuencias devastadoras del phishing, especialmente en el sector público. A pesar de los años transcurridos, este incidente continúa siendo relevante, pues ilustra con claridad las vulnerabilidades que aún persisten en nuestros sistemas gubernamentales y financieros. Un contador municipal cayó víctima de un sofisticado ataque de phishing que resultó en el robo de 3,5 millones de pesos. Lo más alarmante: el sitio fraudulento apareció como un resultado patrocinado en Google.

Este incidente, lejos de ser un caso aislado, plantea una pregunta inquietante que sigue sin respuesta satisfactoria: ¿Cómo es posible que, años después, Google siga permitiendo la promoción de sitios fraudulentos que suplantan la identidad de instituciones legítimas, sean estas financieras, gubernamentales o de cualquier otro sector?

Una validación simple, un impacto masivo

La ironía de la situación reside en que la solución parece estar al alcance de la mano, burlándose de la aparente inacción de estas empresas tecnológicas. Una simple verificación que compare el logo utilizado en el anuncio con la URL del sitio web podría prevenir una gran cantidad de estos ataques. Sin embargo, ni Google ni Meta han implementado esta medida básica de seguridad, lo que plantea serias dudas sobre sus prioridades.

La responsabilidad de los gigantes tecnológicos

Es francamente inexcusable que, después de innumerables casos públicos de phishing a través de anuncios patrocinados, estas empresas no hayan tomado medidas efectivas. Su inacción las convierte no solo en espectadores pasivos, sino en cómplices indirectos de estos delitos cibernéticos.

Según expertos en ciberseguridad, prohibir y atacar activamente estos anuncios fraudulentos podría reducir drásticamente los casos de phishing y estafas informáticas. Sin embargo, parece que los ingresos generados por estos anuncios pesan más en la balanza que la seguridad de millones de usuarios. Esta actitud no solo es éticamente cuestionable, sino que también podría considerarse una forma de negligencia corporativa.

La puerta abierta al fraude digital

Lo más alarmante de esta situación es la facilidad con la que los ciberdelincuentes pueden explotar las plataformas de publicidad de estos gigantes tecnológicos para atacar a una amplia gama de sectores. Google, en particular, ha creado inadvertidamente un mercado negro digital al permitir que cualquiera, incluyendo actores malintencionados, compre espacios publicitarios premium sin una verificación adecuada.

Este sistema, que prioriza el beneficio sobre la seguridad, facilita enormemente la propagación de estafas sofisticadas que afectan no solo a bancos, sino también a entidades públicas, instituciones educativas y organizaciones de diversos sectores. Los ciberdelincuentes pueden diseñar anuncios que imitan perfectamente a instituciones legítimas, logrando así una posición privilegiada en los resultados de búsqueda. Esta visibilidad no solo les confiere una apariencia de legitimidad, sino que también aumenta dramáticamente sus posibilidades de éxito en el robo de credenciales y datos sensibles.

Un problema recurrente y en evolución

La gravedad de la situación se hace aún más patente cuando observamos la persistencia y evolución de estas estafas. Recientemente, un experto en ciberseguridad reveló cómo una antigua estafa relacionada con la Verificación Técnica Vehicular (VTV) en Argentina ha resurgido, adaptada a los tiempos actuales. Este caso demuestra que los estafadores no solo persisten en sus intentos, sino que también reciclan y perfeccionan sus métodos, adaptándolos a diferentes sectores y servicios públicos.

La vital importancia de la concientización y educación digital

Frente a esta amenaza en constante evolución, la concientización y la educación digital se han convertido en herramientas fundamentales para combatir el phishing. Es imperativo que los usuarios de internet, independientemente de su sector o nivel de experiencia tecnológica, sean capaces de identificar y evitar estas estafas.

La educación digital debe enfocarse en:

• Reconocer URLs sospechosas y sitios web falsos.
• Identificar señales de alerta en correos electrónicos y mensajes.
• Comprender la importancia de no hacer clic en enlaces desconocidos o sospechosos.
• Fomentar el escepticismo saludable ante ofertas o solicitudes que parezcan demasiado buenas para ser verdad.
• Promover el uso de autenticación de dos factores y otras medidas de seguridad.

Las instituciones, tanto públicas como privadas, deben invertir en programas de capacitación continua para sus empleados y usuarios. Asimismo, las plataformas tecnológicas como Google y Meta deberían asumir un papel más activo en la educación de sus usuarios, proporcionando advertencias claras y recursos educativos sobre los peligros del phishing.

Ha llegado el momento de que Google y Meta asuman su responsabilidad en la lucha contra el cibercrimen, no como una opción, sino como una obligación ineludible. Deben implementar medidas de verificación más estrictas para los anuncios que involucren instituciones de cualquier sector, sean financieras, gubernamentales o de otro tipo.

Las entidades de todos los sectores, por su parte, no pueden seguir siendo espectadores pasivos. Deben alzar su voz y exigir una mayor protección de su imagen y la de sus usuarios en estas plataformas. El silencio, en este caso, es complicidad.

Como usuarios y ciudadanos de este mundo digital, tenemos la responsabilidad de exigir una mayor regulación y supervisión de la publicidad en línea, así como de educarnos y mantenernos alertas. La seguridad digital no puede ser un lujo, sino un derecho fundamental en la era de la información.

El caso de 25 de Mayo, aunque ocurrido hace años, sigue siendo un recordatorio sombrío de las consecuencias del phishing y de la falta de acción por parte de las grandes tecnológicas. Es hora de que los gigantes tecnológicos dejen de ser espectadores y se conviertan en aliados activos en la lucha contra el fraude en línea, independientemente del sector al que se dirija. La tecnología para prevenir estos ataques existe; lo que falta es la voluntad de implementarla y la determinación de educar a los usuarios.

En última instancia, la pregunta que debemos hacernos no es si Google y Meta pueden hacer más para proteger a sus usuarios en todos los sectores, sino por qué han elegido no hacerlo hasta ahora. La respuesta a esta pregunta podría revelar mucho sobre las prioridades de estas empresas y sobre el futuro de nuestra seguridad en línea. Mientras tanto, la educación y la concientización siguen siendo nuestras mejores defensas contra el phishing en esta era digital.