La suplantación inteligente y el fraude por correo electrónico por parte de ciberdelincuentes se ha convertido en un quebradero de cabeza por las pérdidas que … genera en el mundo empresarial. Así quedó demostrado en la quinta edición de CYBEER, el ciclo de encuentros impulsado por ITRES en colaboración con LA VERDAD y celebrado el pasado jueves en la Sala de Catas de Estrella de Levante con el objetivo de acercar la ciberseguridad desde una perspectiva práctica, estratégica y orientada al negocio. Bajo el título ‘Un correo. Una transferencia. Miles de euros perdidos’, esta nueva edición puso el foco sobre uno de los riesgos empresariales más rentables para los ciberdelincuentes y más desconocidos: el fraude basado en la suplantación de identidad.
Abrió la sesión Sergio León, adjunto a la Dirección TIC en la UCAM, que advirtió, en contra de lo que se podría pensar, que «los ciberdelincuentes no suelen atacar la parte tecnológica de las empresas, ya que existen barreras sólidas de ciberseguridad que lo impiden. Se centran más en atacar la toma de decisiones, tratándose de ganar la confianza de la empresa utilizando los medios tecnológicos de los que ahora se disponen, que son muchos»
Este camino comienza con un correo electrónico, una llamada o un ‘whatsapp’ creando un avatar. Los ciberdelincuentes se valen de medios que hacen muy difícil discernir qué es real y qué no lo es. Sergio León citó la existencia de programas que clonan la voz de cualquier persona, e incluso pueden suplantar a esa persona en vídeo copiando sus movimientos y tics.
Ya se sabe cómo actúan estos delincuentes. En primer lugar acuden a la ‘darkweb’, donde se pueden conseguir listados de miles de usuarios con cuentas comprometidas con sus contraseñas por apenas 20 dólares.
La forma de proceder es la siguiente: El delincuente entra en el correo electrónico de alguien y observa el contenido, quién envía y quién recibe, y determina quiénes son las personas que pueden tener influencia en la toma de decisiones económicas. Curiosamente, la IA facilita este trabajo al estafador porque es capaz de realizar todo este trabajo en minutos.
Uno de los casos más comunes es el correo que el delincuente envía a recursos humanos haciéndose pasar por un empleado real para solicitar el fraccionamiento de una nómina en una cuenta diferente. El éxito para el delincuente radica en que recursos humanos da por legítimo el correo al entender que procede de una persona de confianza.
Sergio León advirtió que este tipo de estafas es más común en pequeñas y medianas empresas más que en grandes corporaciones, pues estas últimas cuentan con equipos muy preparados que pueden detectar rápidamente la acción y disponen de abogados especializados en resolver este tipo de casos con eficacia. Sin embargo, las pequeñas y medianas se basan más en relaciones de confianza, brechas que aprovechan los ciberdelincuentes para colarse y establecer contacto con aquellos que tienen poder en la toma de decisiones, especialmente económicas.
Javier Medina, director de Ciberseguridad y Cumplimiento en ITRES, secundó la visión de Sergio León y aportó datos reveladores sobre la capacidad y picaresca de los delincuentes para adaptar sus estafas por inverosímiles que parezcan: «Los ciberdelincuentes, como buenos oportunistas, explotan los miedos, las fobias, las urgencias y la responsabilidad en el trabajo para conseguir su botín», aseguró Javier Medina, quien recordó que hace apenas cinco años era muy sencillo detectar los fraudes, porque los correos que llegaban estaban mal escritos y la procedencia de los mismos era muy sospechosa. «Sin embargo, ahora disponen de nuevas herramientas para poder usar emails que se tienen como legítimos. Ese es el matiz, la credibilidad absoluta que generan esas suplantaciones».
Casos reales
El siguiente caso, reciente, nos habla de cómo los delincuentes se las ingenian para cambiar de método y han endurecido sus procedimientos para conseguir sus objetivos. Un proveedor, elegido normalmente por vender productos caros, recibe un pedido muy importante siguiendo los cauces normales, quedando con la empresa con la que ha llegado al acuerdo en un lugar determinado para recibir el producto. A los pocos días el proveedor reclama la factura, pero el delincuente ya se ha esfumado con la mercancía.
Tercer caso. Cambia el canal. El ciberdelincuente habla por teléfono o audio de whatsapp y describe una serie de argumentos que suelen despertar miedo, nervios o incoherencia en la víctima. «La última la conocí esta misma semana. Tengo a la policía al teléfono, diciéndome que han hecho una apertura de mi cuenta en Madrid, que tengo que ir a testificar y mañana me llamarán desde el Banco de España». En este caso, los estafadores plantean una situación inesperada que causa nerviosismo en la víctima.
¿Qué pueden hacer las empresas ante este tipo de ciberdelincuencia? Para Javier Medina y Sergio León, todo pasa porque las empresas se conciencien de que existen este tipo de estafas y actúen con protocolos específicos de verificación y comprobación, ofreciendo formación a todas las personas y desde todos los ámbitos, y acudan al sentido común, especialmente cuando se detectan hechos que pueden ser sospechosos.
Soy William Abrego, me uní como ejecutivo de SEO y me abrí camino hasta el puesto de Gerente Asociado de Marketing Digital en 5 años en Prudour Pvt. Ltd. Tengo un conocimiento profundo de SEO en la página y fuera de la página, así como herramientas de marketing de contenido y diferentes estrategias de SEO para promover informes de investigación de mercado y monitorear el tráfico del sitio web, los resultados de búsqueda y el desarrollo de estrategias. Creo que soy el candidato adecuado para este perfil ya que tengo las habilidades y experiencia requeridas.
Enlace de origen : CYBEER analiza los nuevos métodos de la ciberdelincuencia y sus implicaciones
