Ciberseguridad: El 70% de empresas y organizaciones en España han sufrido ataques con emails falsos en 2023
- La ingeniería social y cómo emplearla en investigaciones digitales OSINT
- Envíanos consultas al 659 800 555 o a verificartve@rtve.es
El 70 por ciento de las empresas y organizaciones en España han sufrido a lo largo del año 2023 ataques llevados a cabo con cuentas de correo electrónico falsas que suplantan su identidad o la de firmas relacionadas, según un informe realizado por la firma estadounidense de ciberseguridad Proofpoint. El estudio explica además que la inteligencia artificial (IA) está permitiendo a los ciberdelincuentes desarrollar sus ataques de una forma más sencilla y con un mayor alcance.
El informe State of the Phish 2024: Europa y Oriente Medio expone el impacto de los ataques basados en la suplantación de identidad de una empresa imitando la dirección de correo electrónico corporativa. Estos incidentes se conocen como ataques BEC (Email Corporativo Comprometido, por sus siglas en inglés) porque permiten a los ciberdelincuentes engañar a los trabajadores de la compañía para que divulguen información confidencial, hagan trasferencias a cuentas bancarias falsas o paguen facturas fraudulentas, entre otras. En 2023, el 70 por ciento de las empresas y organizaciones en España ha sido objeto de ataques de este tipo, de acuerdo con esta investigación, que incluye una encuesta a 7.500 usuarios y 1.050 profesionales de la seguridad de 15 países, así como las conclusiones de 183 millones de mensajes simulados de ataque phishing (de fraude por suplantación) y más de 24 millones de emails. El impacto de estos ataques BEC en España en 2023 ha sido menor que en 2022, cuando afectaron al 90 por ciento de las organizaciones.
La inteligencia artificial (IA) está presente en la creación de estos fraudes que tienen como objetivo vulnerar la ciberseguridad de empresas y organizaciones. "Con este tipo de inteligencia es más sencillo y trivial extender esa amenaza y que les llegue a los destinatarios", ha señalado el ingeniero de ventas de Proofpoint David Vaquero, en la presentación por videoconferencia del estudio. "Es muy difícil discernir si un correo es legítimo o no", ha advertido. El auge de herramientas de IA como ChatGPT ha provocado, a su juicio, que se superen las barreras lingüísticas, ya que estas aplicaciones son capaces de redactar correos electrónicos convincentes y personalizados en varios idiomas. Por este motivo, según ha contado, los ataques BEC han experimentado un crecimiento exponencial en 2023 en países como Japón, Corea del Sur o Emiratos Árabes Unidos.
Las estafas telefónicas son cada vez más populares
Además de los ataques a través de email falsos, los ciberdelincuentes también utilizan otras vías y plataformas para acceder a información confidencial o bancaria de las empresas. Es el caso de los ataques por teléfono tipo TOAD, los intentos de ransomware (ataques para secuestrar información) través de códigos maliciosos o las estafas que consiguen eludir la protección de un sistema de identificación de factor múltiple conocido como Autentificación Multifactor (MFA, por sus siglas en inglés).
Los ataques del tipo TOAD (Telephone Oriented Attack Delivery, por sus siglas en inglés) se han convertido en un método habitual en el que los ciberdelincuentes contactan con la víctima a través de una llamada telefónica haciéndose pasar por una empresa legítima. El 64 por ciento de las organizaciones españolas encuestadas ha experimentado un ataque por teléfono en 2023, según el informe. En VerificaRTVE ya te alertamos de una estafa en la que los ciberdelincuentes simulaban el número de teléfono de un banco para robar dinero a sus clientes. Los ataques e infecciones por ransomware también han aumentado. Se trata de un tipo de programa malicioso (malware) que toma el control del equipo bloqueando o cifrando la información del usuario para, a continuación, pedir dinero a cambio de liberar o descifrar el material secuestrado. En el caso de España, las infecciones por ransomware han aumentado un 3 por ciento, pasando de un 69 por ciento en 2022 a un 72 por ciento en 2023. Si hablamos de las compañías en nuestro país que han pagado un rescate para recuperar sus sistemas, el estudio asegura que en 2023 lo hicieron el 64 por ciento de las corporaciones afectadas por estos ciberdelitos.
El ingeniero de ventas de Proofpoint David Vaquero ha asegurado que algunos ciberdelincuentes utilizan infraestructuras para conseguir eludir la protección que impone un sistema de Autentificación Multifactor (MFA). "Hemos visto que hay múltiples técnicas y amenazas que se saltan estas protecciones para convertirse en nosotros y cogernos esas cuentas", ha explicado. En este sentido, ha señalado que "el más famoso es EvilProxy, que está muy extendido". En líneas generales, el estudio de Proofpoint apunta que Microsoft es la marca más "usurpada", con 68 millones de mensajes maliciosos asociados a la corporación tecnológica o a sus productos y más de 20 millones de amenazas de correo relacionadas con el paquete Office 365.
El rol del trabajador para no exponer la seguridad corporativa
"El usuario juega un papel relevante en la seguridad de las compañías", ha recalcado Fernando Anaya, responsable de desarrollo de negocio de España y Portugal de Proofpoint. "El 71 por ciento de los usuarios han realizado acciones peligrosas dentro de su organización", ha explicado Anaya, que hace hincapié en que se registran prácticas como "usar dispositivos de trabajado en tareas personales, reusar contraseñas, responder a mensajes de origen desconocido o descargar archivos adjuntos desconocidos". Las motivaciones detrás de estos comportamientos son variadas como el ahorro de tiempo, la comodidad y la sensación de urgencia como principales razones. Sobre este punto, el responsable de Proofpoint ha apuntado que "el 58 por ciento de estas acciones que presentan riesgos dentro de las organizaciones vienen de la ingeniería social".
Los dos responsables en España de esta firma estadounidense de ciberseguridad subrayan que es fundamental que los empleados de una compañía sean conscientes de su responsabilidad en materia de seguridad y la conviertan en una prioridad. "Si bien la concienciación es necesaria, no es la única acción necesaria para que se incremente la seguridad", ha señalado Anaya, antes de concluir que lo necesario es que "los usuarios se involucren" y "cambien su comportamiento".