El email es
uno de los principales coladeros para las empresas en lo tocante a la infección con malware, robo de información sensible
o secuestro de datos corporativos.
Cada solamente 24 horas se envían alrededor de 6.400 millones de emails falsos, fraudulentos o peligrosos, una gran proporción de ellos correspondientes a
la recurrente ciberamenaza del phishing.
Los datos
están recogidos por el informe 2018 Email Fraud Landscape, que señala que los Estados Unidos siguen liderando el mundo como fuente de correo electrónico falso. Por otro lado desde Panda Security recuerdan que
según Cofense,
9 de cada 10 ciberataques comienzan con un email de phishing, mientras que un 81% de los responsables de seguridad TI empresariales ha confirmado el incremento de estas amenazas llevadas a cabo mediante correo electrónico.
El phishing, la sencilla ciberestafa que todavía no ha tocado techo
En los últimos años, el uso de phishing ha subido como la espuma: de hecho, cada mes se crean 1,4 millones de páginas web dedicadas a esta ciberestafa según datos extraídos de un informe de Webroot. La técnica, para la que no es preciso contar con sofisticados conocimientos de informática, se basa en la aplicación de métodos de ingeniería social para suplantar la identidad de personas, marcas, bancos o empresas con la finalidad de obtener información confidencial y datos personales de forma fraudulenta, desde credenciales a datos bancarios como las tarjetas de crédito.
Recientemente te hablamos de las estafas BEC, un subtipo de phishing que ha proliferado mucho en la actualidad, convirtiéndose en el ciberdelito más lucrativo del pasado 2017. También conocidas como fraude del CEO, las estafas BEC consisten en hacerse pasar por el CEO de una empresa para lograr que se transfieran grandes sumas de dinero a cuentas bancarias fraudulentas. El modus operandi es sencillo: el ciberdelincuente suplanta la identidad de uno de los directivos, a menudo valiéndose del email pero también de las redes sociales, para solicitar una transacción urgente, pudiendo ocasionar profundos agravios económicos en el seno de las organizaciones.
Para diferenciar el fraude del CEO del phishing normal, esta nueva ciberestafa se caracteriza porque alrededor de un 60% de los correos electrónicos implicados en las estafas BEC no contienen ningún hipervínculo, por lo que los hace menos detectables a los sistemas de ciberseguridad. Desde Panda Security destacan que suelen recurrir “a algo tan simple como escribir un número de cuenta para que hagan la transferencia”.
Además, pierden el carácter masivo e indiscriminado del phishing habitual para buscar perfiles individuales y concretos, empleando técnicas de Spear Phishing, investigando en profundidad a la empresa y al empleado mediante noticias, perfiles en redes sociales o información online para dotar de credibilidad al contenido del email. El FBI calcula que las estafas BEC han provocado pérdidas superiores a los 12.000 millones de dólares desde el año 2013.
Para detectar y evitar los ataques de phishing debes tener sentido común y calma, hacer simulacros y brindar formación específica en ciberseguridad a los empleados, cifrar los emails para evitar los robos de daros sensibles, detectar las técnicas de ingeniería social o revisar aspectos como la hora de envío, los destinatarios, el remitente o la estructura de los hipervínculos. También es importante revisar los contenidos -llamando por teléfono o hablando en persona con el supuesto remitente-.
