Protege tu empresa de los ciberataques de ingeniería social en España

La falta de formación en ciberseguridad de los empleados dentro de las empresas está causando que los ciberdelincuente aumenten sus probabilidades de estafar con éxito a las empresas.

De esta forma las empresas comprometen tanto su reputación por la falta de diligencia, como sus recursos económicos por el alto coste que les supone cuando son víctimas de estos ataques de ingeniería social.

  • Ataques a Prosegur, Grupo PrisaEvertis
  • Correos electrónicos o mensajes de texto haciéndose pasar por tu entidad bancaria o instituciones públicas como Correos o el Ministerio de Economía y Empresa: Phishing.
  • 4 millones de euros estafados a la EMT de Valencia: Fraude del CEO.
  • 30,000 euros de recate solicitados al Instituto de Empleo de Zaragoza: Ransomware.
  • Ataques que dejan inoperativas a empresas como La Cadena SER, Los 40 Principales.

Estos son solo algunos de los tantos ataques que se cometen en España por ciberdelincuentes. El objetivo principal es robar información personal o empresarial para lucrarse económicamente con los rescates que solicitan a las organizaciones con la promesa de que recuperaran sus sistemas o la información empresarial que ha sido comprometida.

La mayoría de estos ataques se cometen a través de lo que hoy se conoce como ciberataques de Ingeniería social.  Entre sus distintas modalidades se encuentran el Phishing, el Ransomware o el Fraude del CEO.

En este artículo os vamos a explicar en que consisten cada uno de ellos y también os daremos técnicas para proteger vuestra empresa de estas estafas.

¿Qué es la ingeniería social?

Los ciberdelincuentes buscan ataques que requieran la menor inversión de tiempo y de recursos, tanto humanos como económicos. Por ello, la mayoría de ciberataques se centran en atacar al mayor número de víctimas con la menor inversión posible.

Para conseguirlo emplean la técnica de ingeniería social. Esta es la técnica más efectiva en la actualidad gracias a la falta de formación en seguridad de la información que tienen los empleados de las empresas.

La ingeniería social basa su estrategia en una premisa básica: es más fácil manejar a las personas que a las máquinas.

Atendiendo a esta premisa, estos ataques se basan en la manipulación psicológica del empleado con el objetivo de conseguir que revele información confidencial o realice cualquier tipo de acción que pueda beneficiar al delincuente.

El éxito de los ataques de ingeniería social: la falta de formación en ciberseguridad:

¿Cómo funcionan estos ataques?

Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico gracias a su uso masivo, tanto por empresas como por particulares.

Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicasaplicaciones de mensajería, o redes sociales.

Este tipo de ataque tiene dos vertiente dependiendo del número de interacciones que requieran por parte del ciberdelincuente.

  1. Hunting: con estos tipos de ataques buscan afectar al mayor número de usuarios realizando, únicamente, una comunicación. Son comunes en campañas de phishing. Por ejemplo: cuando envían mensajes de Endesa diciendo que tienen un reembolso de una factura o de Correos advirtiendo que hay un paquete pendiente de recoger.
  2. Farming: en los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. En este tipo de ataques se busca infundir miedo en las víctimas por medio de supuestos vídeos privados o ataques inminentes contra la empresa.

El Phishing, el Ransomware o el Fraude del CEO

Dentro de las dos modalidades mencionadas se encuentran estos tres tipos de engaños muy comunes y que afectan a empresas de todo tipo y de todos los sectores: hospitales,telefónicas, organismos estatales y por supuesto, Pymes.

Es imprescindible que las empresas formen a través de formación en ciberseguridad a sus empleados para que sepan detectar este tipo de engaños y no comprometan información o recursos económicos de la empresa.

Phishing:

España, Valencia, Ozeaneum, Löffler, Las Aves

El término phishing viene del inglés fishing, que significa pescar. En este caso no se pescan peces, sino datos personales como nombres de usuario, contraseñas o datos de cuentas bancarias.

Los phishers envían mensajes suplantando a una entidad legítima como puede ser un banco, una red social, un servicio técnico o incluso una entidad pública para engañar y manipular a la víctima para que ésta acabe realizando alguna acción que ponga en peligro datos de carácter personal.

Para conseguir la información que necesitan de sus víctimas se aprovechan de la falta de formación en ciberseguridad y de la carencia de protocolos en las empresas para actuar con este tipo de ataques.

La forma más común del phishing es solicitarle al usuario que haga click en el enlace introducido en el mismo email o que descargue algún documento adjunto al correo o mensaje de texto.

NUNCA SE DEBE DAR CLICK NI DESCARGAR DOCUMENTOS ADJUNTOS de remitentes desconocidos o que nos generen desconfianza.

Fraude del CEO

Valencia, España, Plza Del Ayuntamiento

Este timo consiste en que un empleado con acceso a información privilegiada o a las cuentas bancarias recibe un correo supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa.

En este mensaje le pide ayuda para una operación financiera ¨confidencial y urgente¨.

Así le sucedió a Celia Zafra, jefa de Administración de la Empresa Municipal de Transporte (EMT) de Valencia quien fue engañada por un supuesto abogado de Deloitte que le ha costado a la EMT de valencia 4 millones de euros.

Ransomware

Resultado de imagen de prosegur"
camión Prosegur en puerta de Alcalá

Su aparición data de los años 80. Afectó a empresas de más de 90 Países.

En diciembre de 1989, cuando aún no había nacido la primera página web, 20.000 disquetes de 5,25 se enviaron desde Londres a empresas tanto británicas como de otros países, a los suscriptores de la revista ‘PC Business World’ e incluso a participantes de un congreso sobre el sida organizado por la Organización Mundial de la Salud.

De las 3 amenazas que estamos comentando esta, con diferencia, la que más perjudica a las empresas a las que ataca.

¿qué es y cómo afecta el ransomware?

Es un tipo de malware (software malintencionado) que tiene como objetivo bloquear el uso de ordenadores cifrando la información de más valor para la empresa infectada.

Su objetivo es pedir un rescate a cambio de su liberación.

No tiene una victima preferida. Toda persona conectada a internet y que pueda pagar por el rescate de su información informática puede ser su víctima.

Este malware está afectando a usuarios domésticos, negocios, gobiernos e incluso servicios críticos como hospitales o centrales energéticas.

Rentabilidad económica y anonimato para los delincuentes

Este tipo de ataques supone a los delincuentes una gran rentabilidad económica.

Su modo operandi les proporciona facilidad para ocultarse porque utilizan sistemas de pago internacionales y electrónicos que permiten el anonimato, como es el pago por con la moneda virtual Bitcoin.

Consecuencias por la falta de formación en ciberseguridad.

Este malware cifra los archivos o bien todo el disco duro de la víctima, bloqueándolo para impedir que el usuario acceda a sus ficheros.

El método más común es mediante el envío de correos electrónicos maliciosos a las víctimas (phishing). Los cibercriminales las engañan para que abran un archivo adjunto infectado o hagan clic en un vínculo que les lleva al sitio web del atacante, dónde se infectan.

Los ciberdelincuentes utilizan la ingeniería social aprovechando el desconocimiento generalizado que existe en la actualidad sobre las amenazas latentes que entraña el uso de las nuevas tecnologías.

Las consecuencias inmediatas de estos tipos de ataques son:

  1. Pérdida temporal o permanentes de información.
  2. Interrumpe la actividad normal.
  3. Pérdida económicas para restaurar los sistemas y ficheros.
  4. Daños reputacionales

Recomendaciones para prevenir los ataques y proteger tu empresa

Los sistemas de seguridad informáticos proporcionan, sin duda alguna, seguridad a nivel informático, pero el eslabón más débil dentro de las empresas y por donde entran la mayoría de los ataques es el factor humano.

Implementar soluciones en seguridad informática eficaces y adaptadas a las necesidades reales de vuestra empresa es esencial y el primer paso a dar.

Conjuntamente con lo anterior, es imprescindible crear una política de formación continua en ciberseguridad entre los empleados en todos los niveles, desde el becario hasta los altos directivos.