+595 981 573157 X:@MigueGasparmiguel.gaspar@tekhnos.com
Durante décadas, bancos, empresas y organismos públicos operaron bajo una premisa cómoda: si el sistema es complejo y opaco, el atacante no encontrará la puerta. Ese principio —conocido en ciberseguridad como security through obscurity— está muerto. Y mientras las instituciones tardan en aceptarlo, los ciudadanos pagamos las consecuencias.
Paraguay no es la excepción. En los últimos años, cientos de clientes de entidades financieras locales han sido víctimas de phishing bancario: correos electrónicos o mensajes de WhatsApp que imitan con precisión quirúrgica la identidad visual de un banco real. El mensaje avisa, por ejemplo, que su cuenta fue bloqueada por actividad sospechosa y que debe ingresar sus datos en un enlace. Ese enlace lleva a una página falsa, casi indistinguible de la original. El usuario se identifica, coloca su contraseña, su token. Y, en cuestión de minutos, su cuenta queda vacía.
Pero el phishing es solo la puerta de entrada. Detrás viene la suplantación de identidad; con los datos capturados, el delincuente puede solicitar préstamos, realizar transferencias o incluso abrir cuentas a nombre de la víctima. En Paraguay, donde la verificación biométrica aún no es universal en todos los canales digitales, este vector de ataque sigue siendo alarmantemente efectivo.
Existe además otra amenaza menos visible: los enlaces con malware. Un PDF enviado por correo, una imagen recibida por Telegram, un archivo compartido desde una cuenta comprometida de un conocido. Al abrirlos, el usuario instala sin saberlo un programa que puede activar el acceso remoto al dispositivo, ya que el atacante ve la pantalla en tiempo real, captura contraseñas, intercepta códigos de verificación y opera el teléfono o la computadora como si fuera el dueño.
Ahora bien, sería injusto cargar toda la responsabilidad sobre el usuario. Las propias instituciones financieras son vulnerables. Los bancos no operan solos, pues dependen de proveedores externos para procesamiento de pagos, autenticación, soporte técnico y almacenamiento de datos. Cualquier eslabón débil en esa cadena de suministro de servicios puede ser el punto de entrada de un ataque masivo. Casos como el del Banco Central de Bangladesh —donde se robaron 81 millones de dólares a través del sistema SWIFT— demuestran que ninguna institución, por grande o sofisticada que sea, está blindada por defecto.
¿Qué puede hacer usted entonces? Primero, doble factor de autenticación a todo y desconfiar de cualquier comunicación que genere urgencia. Nunca ingresar credenciales desde un enlace recibido, sino siempre escribir la dirección del banco directamente en el navegador. Activar las notificaciones de movimientos en tiempo real y revisar su estado de cuenta al menos una vez por semana. Reportar cualquier operación desconocida de forma inmediata.
La oscuridad ya no protege a nadie. La información, en cambio, sí.
James Madison expresaba: “La circulación de confianza es mejor que la circulación de dinero ”.