Ciberataques por correo corporativo siguen aumentando
Capacitación y seguridad son vitales para evitar ser víctima de los ciberdelincuentes
El llamado ataque de Business Email Compromise (BEC) fue el segundo más común en cuanto ingeniería social durante 2021, según Verizon. Tan solo en Estados Unidos entre 2014 y 2019 esta forma de ciberfraude costó a las empresas dos mil millones de dólares, informó el Buró Federal de Investigaciones (FBI, por sus siglas en inglés).
Pero eso no es todo, de acuerdo con los expertos de Kaspersky esta situación va en franco ascenso, ya que tan sólo en el cuarto trimestre del año pasado ellos evitaron ocho mil ataques de este tipo, concentrando la mayoría en octubre con cinco mil 037 casos.
El BEC es una modalidad de estafa que apunta al correo corporativo fingiendo provenir de un representante de una empresa de confianza. Dicho ataque cuenta con un par de mecanismos principales: el primero se conoce como “BEC-as-a-Service” y consiste en el envío de correos simplificados en masa para atrapar a la mayor cantidad de víctimas posibles; el segundo es un ataque BEC dirigido, este suele suplantar la identidad de una empresa de confianza para persuadir a la víctima de realizar una transferencia o instalar un malware.
“En este momento, observamos que los ataques BEC se han convertido en una de las técnicas de ingeniería social más difundidas. La razón de esto es bastante simple: los estafadores usan estos esquemas porque funcionan. Aunque ahora menos personas tienden a caer en los correos electrónicos falsos simples enviados a gran escala, los estafadores han comenzado a recopilar cuidadosamente datos sobre sus víctimas y luego los usan para generar confianza. Algunos de estos ataques son posibles porque los ciberdelincuentes pueden encontrar fácilmente nombres y puestos de trabajo de los empleados, así como listas de contactos en acceso abierto. Por eso es que pedimos a los usuarios que actúen con cautela en el trabajo”, comentó Roman Dedenok, experto en seguridad de Kaspersky.
Para evitar ser víctima de los ciberdelincuentes, es necesario explicar a los empleados la importancia de no compartir datos ni detalles de su trabajo; capacitarlos para contrarrestar la ingeniería social; y utilizar herramientas de seguridad.