Hay una frase que se repite con frecuencia en redes sociales y conversaciones cotidianas, especialmente en un país donde la sensación de inseguridad ya no se limita a las calles: “entré a una página web y me vaciaron la cuenta bancaria”. ¿Pero en realidad basta con visitar una página para ser hackeado? Aunque los ciberdelincuentes se vuelven cada vez más creativos, los expertos aseguran que no es tan fácil que un simple clic termine en un robo digital.
En la mayoría de los casos, cuando ocurre un fraude o sustracción de datos, es el propio usuario quien —sin darse cuenta— ha facilitado información sensible. Puede suceder al ingresar sus credenciales en un sitio falso, una tienda clonada o una página bancaria falsificada. El diseño puede parecer idéntico al original, pero los datos viajan directo a manos de los atacantes.
Ya mucho se ha dicho del phishing, esa vieja técnica que sigue siendo una de las más usadas en Perú. A través de correos, mensajes o publicaciones en redes sociales que suplantan a entidades conocidas, los delincuentes buscan que las víctimas revelen sus datos personales o financieros sin sospecharlo.
Sin embargo, el phishing ha evolucionado. Hoy existen versiones más precisas, como el spear phishing, que personaliza los mensajes según la víctima, o el smishing, que utiliza SMS con enlaces falsos. Incluso se han detectado campañas que emplean inteligencia artificial para imitar la forma de escribir de contactos reales, haciendo cada vez más difícil distinguir entre lo legítimo y lo falso.
Entonces, ¿es imposible que me hackeen solo por abrir una página?
vulnerabilidades en navegadores o complementos
En condiciones normales, solo entrar a un sitio web no descarga ni instala malware en un dispositivo moderno y actualizado. Aquí está la clave: sistemas actualizados y software respaldado. Los navegadores y sistemas operativos actuales bloquean la mayoría de las descargas o ejecuciones automáticas.
“Hoy existen múltiples mecanismos de protección —como aislamiento de procesos, verificación de certificados y políticas de contenido— que reducen significativamente el riesgo de que un sitio web ejecute código malicioso sin interacción del usuario”, explica a El Comercio Mario Micucci, experto en seguridad informática de ESET Latinoamérica.
No obstante, Micucci advierte que hay excepciones. Algunas páginas pueden aprovechar vulnerabilidades en navegadores o complementos para ejecutar código sin intervención. “Estos ataques, conocidos como drive-by downloads, son mucho menos frecuentes en la actualidad, pero explican el origen de este mito”, sostiene.
Estos ataques fueron comunes en la década pasada, y aunque hoy son menos habituales, siguen apareciendo en campañas dirigidas o en sitios comprometidos. Ocurren cuando una página aprovecha una falla en el navegador o en complementos como Flash, Java o lectores de PDF. Al cargar el sitio, un script analiza la versión del software y, si detecta una brecha, descarga y ejecuta código sin que el usuario lo note, instalando troyanos o spyware.
Otro método frecuente es el malvertising, que inserta anuncios maliciosos en redes publicitarias legítimas. El usuario puede estar navegando por un portal confiable, pero el anuncio proviene de un servidor externo que intenta redirigirlo o aprovechar una vulnerabilidad. En algunos casos, ni siquiera hace falta hacer clic: basta con que el código se cargue en el espacio del aviso.
Por su parte, los exploit kits son paquetes automatizados alojados en sitios comprometidos, a veces incluso en páginas legítimas que fueron hackeadas. Estas herramientas analizan el entorno del visitante —navegador, sistema operativo, complementos, dirección IP— y lanzan un exploit adaptado. Si el ataque tiene éxito, logran instalar malware en el dispositivo, desde troyanos bancarios hasta ransomware o spyware.
Sistemas actualizados
Aunque suena inquietante, para que una simple visita termine en una infección es necesario que el sistema tenga vulnerabilidades sin corregir. Estas fallas actúan como puertas abiertas que los atacantes aprovechan para entrar y tomar el control de un equipo.
Cuando un desarrollador detecta una vulnerabilidad, la corrige y lanza una actualización o “parche de seguridad”. Por eso uno de los pilares de la ciberseguridad es mantener los equipos al día: tanto las aplicaciones como los sistemas operativos.
Según Micucci, hoy los sistemas más populares, como Windows 10 y 11, incorporan medidas que dificultan la ejecución de código malicioso. Lo mismo ocurre en Android y iOS, que aplican modelos de sandboxing para aislar procesos e impedir intrusiones, y en navegadores como Chrome o Edge, que ejecutan cada pestaña en entornos separados con permisos limitados.
Equipos actualizados son, por tanto, equipos más protegidos. Pero incluso así, la seguridad absoluta no existe. “Las vulnerabilidades de día cero —zero-day— son reales y, aunque poco comunes, pueden ser aprovechadas en ataques dirigidos”, explica Micucci. “Un dispositivo actualizado ofrece un nivel de protección muy alto, pero no es completamente inmune. La superficie de ataque sigue presente, especialmente en componentes como navegadores, motores JavaScript y visores multimedia”.
El especialista recomienda contar con una solución de seguridad confiable instalada en los dispositivos para complementar la protección y reducir aún más el riesgo.
