Exponencial crecimiento de las estafas mediante e-mails corporativos

CAPITAL FEDERAL (ANDigital) Easy Solutions, la compañía de la protección total contra el fraude y ahora parte de Cyxtera Tecnologies, alertó sobre el creciente uso del BEC, una nueva forma de phishing, para estafar a las empresas, sus empleados y usuarios.

El esquema conocido como Afectación de Emails Corporativos (BEC por su sigla en inglés) es un uso que se le da al spearphishing (una forma de phishing ) en el que los atacantes pretenden ser ejecutivos u oficiales financieros de una organización con el fin de obtener acceso a fondos o información sensible.

En este marco, María Lobato, directora de Marketing de Easy Solutions, explicó que, “entre enero de 2015 y diciembre de 2016, los ataques BEC aumentaron en 1300 % y el Centro de Quejas de Crímenes en Internet del FBI reportó que entre octubre de 2013 y junio de 2016 los criminales intentaron robar más de 5.300 millones de dólares en esquemas BEC”.

El “spearphishing” es una forma de phishing con un enfoque diferente: los atacantes seleccionan cuidadosamente a sus víctimas y utilizan ingeniería social para adaptar cada ataque según la identidad de la víctima a quién va dirigido.

“Los ataques de spearphishing son exitosos porque involucran un exhaustivo proceso de investigación y planeación por parte de los atacantes. Los emails son creados para parecer completamente legítimos; los atacantes pueden incluso investigar los intercambios de emails dentro de una organización para lograr que sus mensajes suenen lo más auténtico posible”, añadió Lobato.

Y recalcó que “estos ataques usualmente toman la forma de solicitudes al área financiera para que se realicen transferencias de altas sumas de dinero. Incluso, el atacante puede aparentar ser un miembro del departamento de IT, sacando ventaja de la confianza del usuario para convencerlo de revelar sus credenciales”.

Phishing es una de las formas más antiguas de fraude digital y no muestra signos de desaparecer pronto. De acuerdo al informe El Pulso del Cibercrimen 2017 de Easy Solutions, el 97 % de las personas no puede reconocer con precisión un email de phishing y cerca del 30 % de estos emails son abiertos por sus destinatarios.

Teniendo en cuenta estos indicadores, los creadores de estos ataques tienen serios incentivos para continuar con sus actividades delictivas.

De acuerdo al informe, en 2016, se crearon 13 mil sitios nuevos de phishing, con más de 400 mil visitas cada mes. Pero aún más alarmante es el hecho que, desde 2016, el número de sitios de phishing ha aumentado en 250 por ciento.

“El bajo costo operacional para lanzar un ataque de phishing, combinado con que se necesita muy poco conocimiento técnico para hacerlo, hace de esta una estrategia muy llamativa para los criminales”, destacó la ejecutiva de Easy Solutions.

Al tiempo que agregó que “a medida que se vuelven más comunes, los ataques de phishing también se vuelven más sofisticados, lo cual causa que sea más difícil que la gente determine con certeza si un email, una página de redes sociales o incluso un sitio web es legítimo o producto de esfuerzos cibercriminales”.

“Estos ataques solo seguirán avanzando, es decir, las organizaciones necesitan más de un mecanismo para proteger su marca y sus usuarios”, completó.

Consejos para implementar una fuerte estrategia antiphishing

Un fuerte plan de seguridad multinivel puede reducir enormemente el riesgo de que su organización sea víctima de un ataque y de tener que enfrentar las consecuencias que esto pueda acarrear.

Si bien educar a los usuarios finales sobre cómo identificar emails y sitios web falsificados resulta útil, esto solo puede funcionar como parte de una estrategia antifraude más grande y proactiva.
Estos son algunos consejos para proteger a su organización y usuarios finales contra el phishing:

1. Fortalezca sus habilidades de detección, como el uso de tecnología de machine learning, para garantizar que los ataques sean eficientemente detectados.

2. Implemente un protocolo de autenticación de emails como DMARC para reducir el riesgo de que mensajes falsos lleguen a las bandejas de entrada.

3. Saque provecho de la autenticación multifactorial de usuarios para reducir el riesgo de brechas de cuentas.

4. Asóciese con un proveedor que brinde monitoreo 24/7/365 para detectar y desactivar usos fraudulentos o maliciosos del nombre de su marca.

* * *