Los empleados envían y reciben cada día decenas de emails y aunque la mayoría son inocuos, entre ellos hay cada vez más correos falsos que pueden causar multitud de problemas para sus empresas. Así lo demuestra el informe 2018 Email Fraud Landscape, que recoge una cifra alarmante: cada día se envían 6.400 millones de emails fraudulentos. Si además tenemos en cuenta que según Cofense, un 91% de todos los ciberataques comienzan con un mail de phishing, no cabe duda de que el email constituye el vector de ataque de mayor riesgo para las empresas. Asimismo, un 81% de los responsables de seguridad TI empresariales ha detectado un incremento en el número de casos de ataque por este canal. Pero, ¿cuáles son las estafas de phishing más peligrosas y cómo podemos evitarlas?
Las costosas estafas BEC
Como explicamos anteriormente en el blog, una estafa BEC (Business Email Compromise) es un tipo de ataque de phishing donde el ciberatacante se hace pasar por un cliente o proveedor e intenta obtener dinero de ello. Una peculiaridad dentro de este tipo de engaño por email es que alrededor de un 60% de los mails implicados en las estafas BEC no contienen un link, por lo que los hace menos detectables a los sistemas de ciberseguridad. En ocasiones, recurren a algo tan simple como escribir un número de cuenta para que hagan la transferencia.
Otro aspecto destacable es que a diferencia de la mayoría de ataques de phihsing, que se basan en envíos masivos e indiscriminados, las estafas BEC suelen buscar perfiles individuales muy concretos. En este sentido, hay un tipo de estafa BEC más sofisticada conocida como “el fraude del CEO”. En este caso, como su propio nombre indica, el ciberatacante se hace pasar por el máximo responsable de la compañía. Para ello, utiliza técnicas de Spear Phishing, esto es, investiga a la empresa y al empleado, busca noticias y sus perfiles de redes sociales con el fin de documentarse para hacer el mail lo más creíble posible.
Por todos estos motivos, estas estafas son especialmente peligrosas y costosas para las empresas: de acuerdo con datos del FBI, han supuesto un coste total para las compañías de más de 12.000 millones de dólares desde 2013.
¿Cómo evitar los riesgos de los ataques de phishing más peligrosos?
Encontrar vulnerabilidades y brechas de seguridad es una tarea compleja para los ciberatacantes que tienen en su mira a las empresas: muchas veces se encuentran con firewalls o sistemas de seguridad que requieren un nivel de destreza avanzado para poder superarlos. Por ello, les resulta más eficiente recurrir al engaño y esa es la razón por la que los ataques de phishing sean tan comunes. A este juego de engaño, las estafas BEC añaden un sentimiento de urgencia y autoridad, especialmente las que son de tipo “fraude del CEO”: nadie quiere ponerse en un compromiso delante del jefe. Los ciberdelincuentes se aprovechan de ello y por eso son tan peligrosas. Por este motivo, el primer elemento a tener en cuenta para evitar los ataques es sentido común y calma antes de dar un paso en falso.
En esa línea, estas son algunas de las recomendaciones fundamentales para evitar los ataques por email en tu empresa:
- Hacer simulacros de phishing para que los empleados aprendan a distinguirlos.
- Detección de ingeniería social con el fin de que los empleados se planteen preguntas antes de responder al email.
- Cifrado de emails para evitar el robo de información sensible.
Estas prácticas son también válidas para las estafas BEC, pero no son suficientes. Al tratarse de un tipo de phishing tan personalizado, es conveniente verificar de todas las formas posibles la procedencia del email. Para ello, nada mejor que enseñar a los empleados que no dependan exclusivamente del mail. Es mejor que comprueben el contenido del email con su compañero sospechoso de haber sido suplantado o el CEO, ya sea mediante el teléfono o de manera presencial.
Al final, como es extensible a la mayoría de problemas de ciberseguridad, los riesgos de los ataques por email se evitan con una combinación de factores humanos y tecnológicos: el sentido común y la formación de empleados para adquirir experiencia para prevenir y detectar los ataques y el uso de plataformas de ciberseguridad avanzadas que tengan las suficientes capacidades para alertar de peligros que hayamos podido pasar por alto.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
