¾ÅÉ«ÊÓƵ

A los delincuentes les encanta aprovechar las buenas oportunidades. Por desgracia, la pandemia mundial les ha proporcionado muchas.

Utilizando estratagemas sobre las pruebas de COVID-19, las vacunas o las solicitudes de donaciones para los afectados por la pandemia, los delincuentes digitales intentaron aprovecharse de las debilidades de las personas y de las vulnerabilidades de las empresas para obtener beneficios económicos. Se aprovecharon de los puntos débiles de las plantillas que cambiaron rápidamente al trabajo en remoto, tratando de pillar a los empleados con la guardia baja e incitándoles a dar acceso a información personal y financiera o a firmar el acceso a las redes de la empresa.

Por supuesto, los delincuentes se dirigieron a sectores clave, especialmente a aquellos que se vieron rápidamente afectados por la propagación de COVID, como la sanidad, las organizaciones de cooperación, las empresas de servicios médicos, la industria, el transporte, la administración pública y las instituciones educativas. Ahora, se espera que los malos actores pongan sus ojos en otras industrias, desde Bienes y Servicios de Consumo hasta Viajes y Hostelería y Comercio Minorista, a medida que se recuperan tras los cierres y siguen lidiando con la escasez de personal.

Según el t de la Oficina Federal de Investigación (FBI), en 2021 las denuncias por ciberdelincuencia aumentaron un 7% y provocaron pérdidas por valor de 6.900 millones de dólares, un 64% más que en 2020. El informe anual lo elabora el Centro de Denuncias de Delitos en Internet (IC3) del FBI, que ofrece al público estadounidense una vía directa para denunciar los ciberdelitos al FBI.

Manipulación magistral

Como ilustran los datos del FBI/IC3, los fraudes de manipulación social son la opción más popular para los delitos contra los individuos y las empresas. La "manipulación social" se refiere a una variedad de métodos utilizados para obtener acceso, datos o dinero mediante el fraude.

Estos ataques han tenido éxito a lo largo de los siglos porque se aprovechan de la naturaleza humana. Dirigirse a las personas, ya sea como individuos o como empleados de una empresa, en lugar de intentar romper la tecnología y las medidas de ciberseguridad añadidas, ha resultado más fácil y bastante lucrativo. Muchas personas están más que dispuestas a proporcionar ayuda a alguien que la pide. Y muchos pueden dejarse convencer por los halagos y una conversación carismática. El encanto personal ha demostrado ser eficaz para abrir puertas cerradas y vencer los sistemas de seguridad.

En 2021, las denuncias por ciberdelincuencia aumentaron un 7% y supusieron pérdidas por valor de 6.900 millones de dólares, un 64% más que en 2020.

Artimañas disfrazadas

Phishing. Vishing. Smishing. Pharming. Estas son las tácticas de manipulación social más utilizadas, que utilizan correos electrónicos, mensajes de texto y llamadas telefónicas no solicitadas, supuestamente de una empresa real, para pedir credenciales personales, financieras y/o de acceso.

El phishing es el método con el que la mayoría está familiarizado y utiliza la comunicación por correo electrónico. El smishing ataca a las víctimas mediante el uso de SMS, o mensajes de texto. El vishing utiliza la comunicación por voz. Estos enfoques pueden combinarse con otros métodos de ingeniería social que atraen a las víctimas para que llamen a un determinado número de teléfono y proporcionen información personal sensible. El pharming, una combinación de phishing y farming, es una estafa digital en la que se manipula el tráfico de un sitio web, redirigiéndolo a otro "spoofed" o sitio falso, en un intento de robar información confidencial.

Aunque estas tácticas existen desde hace tiempo, los delincuentes mejoran constantemente sus métodos y buscan las oportunidades adecuadas. Recientemente, eso ha significado utilizar la pandemia en su beneficio. Existen todo tipo de variaciones de estas tácticas que pueden ser modificadas en función de los problemas actuales o de lo que sea noticia en cada momento.

Un ataque de phishing, por ejemplo, pedía al usuario que confirmara su dirección de correo electrónico para apuntarse a una cita de vacunación. El “asunto” del correo electrónico hacía referencia a los suministros de dosis de la vacuna COVID-19 y, el cuerpo del correo electrónico contenía un enlace malicioso que dirigía al usuario a una página web falsa, en la que se le animaba a iniciar sesión, y a proporcionar mucha información personal, para obtener una vacuna.

Aprovechando las debilidades

Para las empresas, los empleados eran cada vez más vulnerables, no sólo por los retos de ciberseguridad que supone el trabajo en remoto. Durante la pandemia, los empleados se encontraron con mayores niveles de estrés, compaginando el trabajo a tiempo completo con la educación en casa, el cuidado de los niños y, en algunos casos, de los ancianos, además del temor a infectarse con el propio virus. Cuando se está bajo presión, las personas son más propensas a ceder a las demandas urgentes procedentes de un proveedor, un colaborador comercial o un colega supuestamente importante.

Esa es exactamente la estrategia que se esconde detrás de los fraudes del correo electrónico empresarial (BEC). Estas sofisticadas estafas son llevadas a cabo por estafadores que comprometen las cuentas de correo electrónico a través de técnicas de manipulación social o de intrusión informática para realizar transferencias de fondos no autorizadas. Las campañas BEC transmiten una sensación de urgencia. El correo electrónico pide a los remitentes que actúen rápidamente y muchos lo hacen. Según el informe del FBI, los ciberdelincuentes robaron 2.400 millones de dólares al comprometer cuentas de correo electrónico de empresas. (Accede a más información sobre BEC en mi artículo - 3 evoluciones del riesgo en el correo electrónico empresarial y cómo proteger tu negocio).

Engaño exhaustivo

Los delincuentes siguen siendo creativos. A medida que las empresas se trasladan a las reuniones virtuales, ha surgido una nueva técnica de estafa: el Deepfake. Los deepfakes se refieren a personas manipuladas digitalmente que parecen otra persona.

Una de las más comunes hasta ahora ha sido que un delincuente se haga pasar por el presidente de una filial extranjera y solicite transferencias bancarias para completar una transacción confidencial. Los estafadores están empezando a alejarse de eso y están enviando correos electrónicos con apariencia oficial de un adjunto del departamento fiscal o contable de la empresa, solicitando formularios W-2 u otra información sobre grupos específicos de empleados. Estos datos incluyen los números de identificación del contribuyente de los empleados, así como de la propia empresa; los estafadores pueden utilizarlos para realizar estafas individuales o corporativas. Por ejemplo, algunos defraudadores se hacen pasar por el Servicio de Impuestos Internos u otra entidad para extorsionar el pago de impuestos alegando que no se declaran.

Una de las razones por las que los ataques de suplantación de identidad de ejecutivos tienen éxito es la sofisticación de los autores a la hora de dirigirse a personas concretas, imitando el comportamiento de las empresas o imitando escenarios plausibles. A menudo, los manipuladores sociales obtienen información de fuentes públicas. Digamos que el director general de una empresa ha hablado con los inversores sobre un próximo viaje de negocios a un país extranjero o ha hecho referencias a él en las redes sociales. Un estafador hábil podría utilizar esa y otras informaciones para engañar a los empleados desprevenidos con una solicitud de fondos muy oportuna. Por cierto, hacerse pasar por el segundo ejecutivo de un departamento suele ser más plausible que fingir ser un alto ejecutivo más visible, como el director financiero.

Aprovechar la crisis

Los delincuentes siempre aprovechan las crisis para lanzar ataques oportunistas de manipulación social. La pandemia no fue una excepción. Se mueven para encontrar rápidamente nuevas oportunidades, aprovechando las catástrofes naturales, la temporada de impuestos y, ahora, el conflicto ucraniano-ruso.

Con el aumento de los ataques de manipulación social, es urgente que las empresas mantengan una cadencia continua de comunicación y formación para ayudar a los empleados a entender los ataques de ingeniería social y las técnicas cambiantes de los delincuentes. Reconocer los ataques y difundir su conocimiento son los pasos más importantes para prevenirlos.

Incluso con una mayor concienciación, fuertes controles internos y una ciberseguridad estricta, los esquemas de manipulación social pueden tener éxito. Como se ha mencionado anteriormente, los delincuentes son creativos y están continuamente ideando nuevas formas de engañar a la gente.

Afortunadamente, existe una cobertura completa para delitos comerciales con una extensión de endoso de manipulación social para hacer frente a las pérdidas en caso de que los delincuentes tengan éxito. Aunque las cláusulas de manipulación social de muchas compañías limitan la cobertura a la pérdida de dinero y valores, la cobertura de suplantación de identidad fraudulenta (también conocida como manipulación social) de ¾ÅÉ«ÊÓƵprotege también la pérdida de bienes.

Dependiendo de las circunstancias del delito, un siniestro por manipulación social también puede afectar a una póliza de seguro cibernético. Es importante entender cómo la cobertura contra el crimen y la cibernética pueden abordar ciertos tipos de pérdidas.

La forma más rentable de hacer frente al fraude es prevenirlo. Perfeccionar los controles y procesos corporativos, así como contar con la mirada vigilante de los empleados, son medidas clave de prevención. Y contar con el seguro adecuado tampoco está de más.