Durante la temporada de Halloween 2024, se evidenció un incremento en los intentos de phishing temático y fraudes digitales aprovechando el alto tráfico en plataformas de comercio electrónico y redes sociales.
Los atacantes utilizaron mensajes y promociones alusivas a la fecha (sorteos, descuentos y “cupones”) para engañar a usuarios y obtener credenciales bancarias o datos personales.

La mayoría de los casos se propagaron a través de WhatsApp, correo electrónico y anuncios falsos en redes sociales, imitando marcas reconocidas y dominios legítimos.

Descripción del Problema

Los usuarios fueron víctimas de campañas fraudulentas en las que:

  • Se clonaron sitios web de tiendas reales.
  • Se ofrecieron descuentos falsos o regalos a cambio de registrar datos personales.
  • Se instalaron aplicaciones no oficiales con malware.
  • Se difundieron enlaces de phishing que solicitaban acceso a cuentas de Google, Facebook o plataformas de pago.

El ataque explotó principalmente la ingeniería social, apelando a la emoción y la confianza que generan las festividades.

Impacto

  • Más de 4.500 reportes de estafas digitales entre septiembre y noviembre de 2023 (CAI Virtual, 2024).
  • Pérdidas económicas estimadas en millones de pesos por transferencias o compras fraudulentas.
  • Afectación a la confianza digital de los usuarios en campañas comerciales.
  • Incremento en el uso de infraestructura maliciosa internacional para el robo de datos.

Causas Raíz

  1. Falta de educación digital en los usuarios sobre los métodos actuales de phishing.
  2. Ausencia de autenticación multifactor (MFA) en cuentas personales y empresariales.
  3. Poca verificación de URLs y dominios antes de ingresar información sensible.
  4. Ingeniería social efectiva por parte de los atacantes (mensajes convincentes y visualmente legítimos).
  5. Uso de redes públicas o dispositivos sin antivirus actualizado.

Acciones Correctivas Implementadas

  • Publicación de alertas informativas por parte del CSIRT Colombia y el Centro Cibernético Policial.
  • Difusión de la campaña “No caigas en el truco digital”, orientada a concientizar sobre phishing estacional.
  • Monitoreo de dominios fraudulentos mediante herramientas OSINT y listas negras de URL.
  • Coordinación con plataformas de redes sociales para bloquear anuncios falsos.
  • Refuerzo de medidas técnicas en empresas con MFA, filtros de correo y actualizaciones de seguridad.

Lecciones Aprendidas

  1. La educación continua es la primera línea de defensa contra el phishing.
  2. La ingeniería social sigue siendo más efectiva que los exploits técnicos.
  3. Es vital fortalecer la cultura de verificación digital en usuarios, familias y empresas.
  4. Los eventos estacionales (Halloween, Black Friday, Navidad) incrementan los riesgos de estafas digitales.
  5. Los equipos CSIRT deben anticipar y preparar campañas de concienciación preventiva antes de las fechas críticas.

Recomendaciones

  • Implementar campañas institucionales de ciberconcienciación trimestral.
  • Exigir MFA en todos los servicios institucionales y personales críticos.
  • Promover el uso de dominios verificados y certificados SSL.
  • Reportar correos o enlaces sospechosos a los canales del CAI Virtual o CSIRT Nacional.
  • Realizar simulacros de phishing interno para medir la respuesta del personal.

Conclusión

El “phishing temático” demuestra cómo la creatividad de los atacantes puede convertir una festividad en un campo de riesgo digital.
La principal lección aprendida es que la ciberseguridad no depende solo de la tecnología, sino del comportamiento humano informado.
Reforzar la educación, la prevención y la vigilancia activa permitirá que el único susto en Halloween sea el de las máscaras, y no el de las finanzas o la identidad digital.

Bibliografía