Noticias
Se duplican las pérdidas económicas de las empresas procedentes de estafas electrónicas
Proofpoint, empresa especializada en ciberseguridad y cumplimiento normativo, ha publicado las conclusiones del Informe del IC3 del FBI. En el mismo se recoge una media de 652.000 denuncias sobre ciberestafas registradas por el servicio de seguridad y de inteligencia nacional de Estados Unidos.
Esos ciberataques afectan a usuarios de todo el mundo, y en especial, a medianas y grandes empresas que han visto como se traduce en pérdidas económicas de más de 10.3000 millones de dólares. Un incremento notorio con respecto a los datos de 2020, donde los ataques supusieron pérdidas de 4.200 millones de dólares.
La conclusión principal que se extrae del IC3 del FBI es la necesidad urgente de proteger el correo electrónico corporativo, siendo el Business Email Compromise (BEC) la estrategia más eficaz al representar el 27% de las pérdidas económicas. Se traduce en un incremento del 10% en cuanto al número de víctimas año tras año.
Los ataques BEC supusieron durante 2022 unas pérdidas de más de 2.700 millones de dólares por estafas a empresas de todo el mundo, es decir, 300 millones de dólares más que en 2021. Cada incidente relacionado con la vulnerabilidad del correo electrónico puede costarle a la empresa dañada una media de 124.000 dólares.
Entre las estafas de BEC más comunes se encuentran las relacionadas con proveedores, redireccionamiento de nóminas o fraudes inmobiliarios, aunque cada vez los ciberdelincuentes están perfeccionando más su técnica y volviéndose más sofisticados para causar un daño mayor.
Desde el FBI han visto que los ciberdelincuentes son capaces de convencer a las víctimas para que envíen sumas de dinero a plataformas de criptomonedas, las cuales posteriormente son transferidas sin ningún tipo de rastreo por parte de las entidades bancarias. Las falsificaciones de números de teléfono de empresas para ofrecer datos bancarios fraudulentos a los usuarios o las suplantaciones de la Administración Pública también forman parte de la tónica habitual de los hackers.
Son pérdidas 80 veces mayores que las producidas por ransomware y todo ello se debe a que la irrupción del cloud y la automatización de todos los procesos internos del tejido empresarial, está derivando en una mayor conectividad telemática de todos los departamentos, dándole prioridad al correo electrónico frente a las comunicaciones físicas. Así pues, se ve en éste un blanco fácil para sustraer datos e informaciones confidenciales y sensibles.
El ransomware no se denuncia
Al IC3 del FBI se le suma el Informe ‘State of the Phish 2023’ de Proofpoint, que concluye que el 75% de los encuestados reconoció que su organización había sufrido al menos un ataque BEC en 2022. Se recogen los datos de 7.500 usuarios y 1.050 profesionales de seguridad TI en 15 países de todo el mundo, incluido España.
Lo que representa una subida importante, pues el 90% de las empresas españolas encuestadas sufrió un ataque BEC en 2022, un 13% más con respecto al año anterior. La causa principal apunta a ser el nivel de especialización de los ciberdelincuentes, que además del inglés, han comenzado a utilizar el español como uno de los idiomas preferentes en sus ataques.
El 64% de las organizaciones de todo el mundo sufrió algún ataque de ransomware durante el pasado año, aunque son muchas menos las que denuncian estos hechos ante las fuerzas de seguridad. En su mayoría, prefieren abonar la cuantía solicitada a modo de chantaje para evitar que esos datos confidenciales fuesen transferidos.
El phishing sigue dominando la lista de amenazas al representar el 38% de las denuncias interpuestas ante el FBI en 2022, representando una incidencia del 84% a nivel global y del 90% en España. Estos datos coinciden con los informes proporcionados por Proofpoint, al igual que las conclusiones sobre el ransomware.
El FBI asegura que en 2022 se redujeron los incidentes de este tipo en un 36%, pues solo se comunicaron al IC3 un total de 2.385 denuncias. Si fuesen cifras reales sería un dato positivo, ya que supondrían menos pérdidas económicas, pero realmente estamos ante un descenso debido a la reticencia de los usuarios a denunciar.
La encuesta ‘State of the Phish 2023’ de Proofpoint asegura que el 89% de las organizaciones de España experimentó, al menos, un intento de ataque de este tipo. La ingeniería social no se espera que tenga freno, y por ende, que los ataques dejen de evolucionar.
Para protegerse frente al BEC lo mejor es implantar una plataforma multicapa con controles de seguridad que incluyan autenticación, pero también abogar por la educación en seguridad y la inteligencia compartida sobre amenazas.