El IC3 (Internet Crime Complaint Center) del FBI ya ha publicado su reporte sobre el cibercrimen durante 2022, arrojando datos que, si bien no nos sorprenden, tampoco son esperanzadores.
El número de incidencias recibidas ha disminuido ligeramente respecto al año anterior, pero las pérdidas reportadas se han disparado en más de 7.000 millones de dólares, llegando a superar los 10.000 millones.
El engaño más común sigue siendo el phishing, recabando cinco veces más víctimas que la siguiente casuística: las brechas de datos personales. En cuanto a la suma monetaria que les ha costado a las víctimas, la lista la encabezan las estafas relacionadas con la inversión y el compromiso de sus credenciales (Business E-mail Compromise).
A continuación te contamos cuáles son los vectores de ataque destacados en este reporte y cómo protegernos.
Principales vectores de ataque
BEC
Muchas personas no son conscientes de las graves consecuencias que puede acarrear el compromiso de sus credenciales. Un ataque BEC se produce cuando, tras conseguir el usuario y contraseña de un empleado, un ciberdelincuente consigue el control de su cuenta de correo electrónico. De esta forma, es capaz de llevar a cabo acciones en su nombre, tales como transferencias o petición de información sensible a otros empleados de la organización, partners o clientes.
Estas credenciales las pueden obtener por fuerza bruta, infiltrándose en los sistemas de la organización. Sin embargo, muchas veces utilizan la ingeniería social para ello, siendo el propio empleado quien se las proporciona directamente al ciberdelincuente. Para ello, basta un correo de phishing o una llamada de vishing. Las razones que proporcionan para ponerse en contacto con la víctima pueden ser muy variadas, así como las entidades que intentan suplantar. No obstante, el resultado es el mismo: la petición de credenciales, ya sea directamente durante la llamada o tras redirigirla a una página fraudulenta.
Para protegernos de este tipo de ataque, lo importante es tener claro que nunca debemos proporcionar nuestras credenciales a nadie, bajo ningún concepto. Ningún servicio que utilicemos nos pedirá nuestras contraseñas.
Por otra parte, debemos tener cuidado con los correos que recibimos. Fijarnos bien en todos sus componentes (cuerpo del mensaje, enlaces, remitente…) nos ayudará a evitar incidentes que podrían tener graves consecuencias.
Estafas de inversión
Como se ha indicado anteriormente, este tipo de engaño es el que más dinero ha recabado para el cibercrimen, duplicando las cifras respecto al año pasado. Especial relevancia han adquirido las estafas involucrando criptomonedas.
Los ciberdelincuentes utilizan la ingeniería social para hacer que las víctimas crean que están haciendo una buena inversión que les reportará beneficios cuando, en realidad, están depositando su dinero directamente en manos de los ladrones. Estos ataques consisten, en muchas ocasiones, en comprometer las cuentas en redes sociales de personajes famosos o suplantar su identidad para generar más credibilidad y llegar a una gran cantidad de personas, pero también pueden hackear cuentas de personas anónimas para llegar a su lista de contactos.
Sin embargo, este no es su único modus operandi, sino que también pueden utilizan cualquier pretexto para acercarse a la víctima y conseguir convencerla, ya sea creando una aplicación fraudulenta, presentándose como un experto en inversión, etc.
Para protegernos de este tipo de ataque, es importante contrastar siempre la legitimidad de este tipo de propuestas con la supuesta persona de origen en caso de que la conozcamos, preguntándole directamente a través de otro canal. Estas estafas suelen venir acompañadas con mensajes de urgencia, indicando que la oferta estará disponible solo durante un corto periodo de tiempo, pero no debemos dejarnos llevar por las prisas, sino pensar e investigar detenidamente antes de actuar.
En cuanto a las aplicaciones fraudulentas, debemos aplicar siempre el sentido común: utilizar aquellas que sean de confianza. En caso de querer probar con otra nueva, es importante preguntar a conocidos y revisar reseñas antes de proceder.
Ransomware
Uno de los viejos conocidos que nunca falta en este tipo de listas es el ransomware, que consiste en un programa malicioso que cifra los archivos del dispositivo infectado. A cambio de la clave para descifrarlos, se pide una cantidad de dinero determinada dentro de un plazo estipulado. No obstante, no hay garantías de que, efectivamente, se proporcione dicha clave después del pago.
A pesar del sobrado conocimiento acerca de esta amenaza, sigue suponiendo grandes pérdidas para las organizaciones. En 2022, la suma reportada al IC3 ascendió a más de 34,3 millones de dólares, sin contar gastos de negocios perdidos, tiempo, sueldos o cualquier tipo de medida de mitigación contratada a terceros por parte de las víctimas.
Protegerse frente al ransomware es posible, simplemente debemos aumentar nuestra conciencia de ciberseguridad. Una de las principales puertas de entrada de estos programas maliciosos es el correo electrónico. Por eso es importante que estemos alerta ante mensajes que no esperemos, especialmente si provienen de personas que no conocemos. También es posible que intenten suplantar a entidades o contactos nuestros, por lo que comprobar que el remitente está completamente bien escrito será fundamental para evitar incidentes. En caso de tratarse de un correo no solicitado de algún compañero o amigo, lo mejor siempre será, una vez más, preguntarle directamente a través de otro canal (por ejemplo, a través de una llamada).
En cualquier caso, siempre debemos tener cuidado con adjuntos sospechosos y, en caso de que el correo en cuestión incluya un enlace, es mejor no hacer clic en él, sino acceder a través de nuestro navegador buscando la página oficial y legítima.
Fraude de los call center
Hay multitud de organizaciones criminales que utilizan este modus operandi para engañar a sus víctimas. Consiste en llamar de forma masiva a una gran cantidad de personas bajo el pretexto de, bien ofrecer soporte técnico para un supuesto problema en realidad inexistente, bien hacerse pasar por algún tipo de agente gubernamental.
Uno de los casos más famosos es el de la estafa de Microsoft, en el que contactan con nosotros desde, supuestamente, tal entidad. Nos indican que nuestro ordenador está infectado con malware y que ellos pueden solucionar el problema. Lo único que debemos hacer es instalar un programa de control remoto y darles la clave para que puedan hacerlo desde donde se encuentran. No obstante, se trata de cibercriminales y, una vez les proporcionamos el acceso a nuestro dispositivo, el ataque habrá tenido éxito.
De esta forma, este tipo de estafas ha supuesto un coste de 1.000 millones de dólares para las víctimas solo durante 2022.
Evitar caer en un fraude de este estilo no es difícil si mantenemos nuestra guardia alta: debemos tener claro es que ningún servicio legítimo que contacte con nosotros nos pedirá información sensible ni el control de nuestros dispositivos. Lo que sí podría ocurrir es que, si somos nosotros quienes iniciamos la comunicación, nos pidan algún dato para corroborar que somos quienes decimos ser.
Conclusiones
Los incidentes de seguridad siguen estando a la orden del día y su coste es cada vez mayor, tanto para particulares como para organizaciones. Por eso es necesario elevar y mantener siempre nuestro nivel de alerta para evitar ser víctimas del cibercrimen.
Para aumentar el nivel de concienciación en las organizaciones, Kymatio® ha desarrollado una solución efectiva, simple y ágil. Con programas personalizados y automatizadospara evitar el consumo de tiempo del equipo de Seguridad, los empleados pueden recibir el refuerzo que necesitan en las áreas de seguridad de la información que menos dominan. Se trata de una concienciación continua, para asegurar su mantenimiento en el tiempo, pero con sesiones cortas para evitar la sobrecarga.
Las métricas permiten observar el estado de la entidad y aquellas áreas a mejorar, ofreciendo información a nivel individual, departamental y organizacional con recomendaciones y planes de acción. Así, el administrador puede tener una visibilidad 360º del estado de la organización, mientras que el empleado tiene en su portal las sesiones disponibles y toda la información relativa a su itinerario de concienciación.
