No cabe duda de que las ciberestafas son muy rentables para los hackers. Por eso, continuamente diseñan fórmulas nuevas para continuar engañando a sus víctimas, que no dejan de crecer. En 2021, último año del que tenemos estadísticas completas, se produjo al menos un intento de phishing en el 83% de las organizaciones de nuestro país. De hecho, España es el tercer país que más ataques de este tipo sufre, solo por detrás de EE.UU. y Reino Unido.
En cuanto a las consecuencias de los ataques, en la mayoría de las ocasiones se detectaron infecciones en los equipos (73%), y en el 44% de los casos se llegó a sufrir la pérdida de datos.
Fraudes habituales entre CEOs y empleados
Normalmente, en las empresas los engaños mediante phishing tienen como puerta de entrada el correo electrónico corporativo y, por supuesto, no son acciones que se realizan gratuitamente. Los ciberdelincuentes buscan lucrarse a través de la extorsión a sus víctimas.
Así es cómo funciona el engaño: los piratas informáticos consiguen suplantar la identidad de personas con cierta influencia en la organización o la de clientes o proveedores, por ejemplo. Como es lógico, el empresario o trabajador no sospecha nada hasta que, por desgracia, es demasiado tarde.
En concreto, estos son los tipos de ataques de phishing más abundantes en las compañías españolas:
- El soporte técnico de Microsoft: los ciberdelincuentes suplantan la identidad de un técnico de esta compañía tecnológica y convencen al receptor del mensaje de estar llevando a cabo acciones para solucionar ciertos problemas técnicos que está sufriendo el equipo en cuestión. Gracias a esta intrusión, los atacantes tienen acceso a una gran cantidad de información confidencial de la organización.
- El fraude del CEO: en este caso, el engaño se dirige a un empleado que tenga la posibilidad, por su puesto de trabajo, de realizar movimientos bancarios en nombre de la empresa. La idea es que el trabajador reciba un correo electrónico supuestamente de su jefe ordenándole que haga una determinada operación financiera urgente. El problema es que, en realidad, la cuenta de destino de esta transferencia es la del estafador.
- El fraude de recursos humanos: consiste en enviar un email a uno de los trabajadores del departamento de recursos humanos solicitando un cambio del número de cuenta para el pago mensual de su nómina en una nueva dirección, que efectivamente es la del hacker.
Como ves, en todos los casos el factor humano es clave para que los ciberdelincuentes se salgan con la suya. Por eso, es importante siempre que cualquier integrante de una empresa se mantenga alerta, teniendo en cuenta que estos ataques se pueden producir en cualquier momento y a pesar de tener implementadas varias medidas de seguridad.
En consecuencia, lo que aconsejamos desde nuestro despacho de abogados es verificar siempre la identidad de quienes solicitan acciones o movimientos que comprometan cantidades de dinero o la seguridad de los dispositivos. En otras palabras y como conclusión: en el ámbito de la ciberseguridad, la prevención es vital para evitar dar pasos en falso.