Fraudes cibernéticos: tipos de estafas y cómo proteger a tu organización

Aunque no hay cifras puntuales sobre las pérdidas financieras del año pasado (ni en México ni en otros países), Cybersecurity Ventures estimó que el cibercrimen en 2021 pudo haber generado pérdidas de seis billones de dólares a nivel global.

Steve Morgan, editor en jefe de la revista Cybercrime, explica que si las ganancias del crimen cibernético se midieran como un país, éste sería la tercera economía más grande del mundo después de China y Estados Unidos.

Los delitos cibernéticos son más numerosos y costosos que nunca; esta es la realidad que enfrentan las organizaciones hoy. Y aunque se estima que en los últimos cinco años se han invertido en el mundo más de un billón de dólares en productos y servicios de ciberseguridad, sigue existiendo un déficit en la preparación de las empresas frente a los riesgos que existen en la web.

La situación es que las empresas son cada vez más digitales: manejan mayores volúmenes de transacciones virtuales, automatizan sus procesos y hasta trabajan en línea de manera colaborativa. Si bien esto representa una ventaja competitiva, también las vuelve más vulnerables frente a los ciberataques, especialmente a los que se especializan en defraudar y cometer delitos financieros a través de internet.

Cuando hablamos de fraude cibernético nos referimos a la serie de delitos (como el robo de identidad, la extorsión online, el robo de datos bancarios o la ciberextorsión, por mencionar algunos) que involucran engañar a los individuos o empleados para obtener acceso a su información personal o financiera almacenada en línea. Con ese acceso, las posibilidades de lo que pueden hacer son casi ilimitadas.

Como líder, si quieres transformar tu modelo operativo y administrar el riesgo de fraude eficazmente, primero debes concentrarte en conocer los tipos de fraudes cibernéticos que existen para dominarlos:

• Fraude por internet y a través de correo electrónico
• Robo de identidad
• Venta de datos corporativos
• Ciberextorsión
• Ciberespionaje

Fraude por internet y a través de correo electrónico

Es cualquier esquema de fraude que utiliza emails, sitios web, salas de chat o foros de mensajes que presentan solicitudes engañosas a las víctimas potenciales para que otorguen algún dato confidencial que les permita acceder a sus cuentas financieras, personales o empresariales.

El método de fraude por email más común es el spam, que generalmente consiste en correos comerciales que buscan persuadirte de comprar un producto o servicio, de visitar un sitio web donde puedes realizar una compra, o de divulgar tu cuenta bancaria o datos de tus tarjetas a través de ese mensaje. Es importante evitar los correos spam sin contestarlos ni descargar los documentos adjuntos que puedan contener.

Lo mismo aplica para los sitios, chats o foros que aparentan ser verídicos pero exigen, a través de las conversaciones o de los links compartidos, información privilegiada como números de tarjetas o cuentas bancarias, PIN de tarjetas de débito o contraseñas de cuentas.

Robo de identidad

Corresponde al robo de información particular para usarla sin permiso del propietario. Los hackers buscan obtener datos de tus colaboradores o tu empresa, como nombres completos, direcciones, números de seguridad social o números de cuentas bancarias, ya sea para comprar cosas o abrir cuentas. Las empresas en particular caen víctimas de un robo de identidad porque tienen saldos y límites de crédito más grandes que los individuos.

En este sentido, lo mejor que puedes hacer para evitar que alguien sin autorización acceda a tus datos empresariales es usar un software de ciberseguridad.

Venta de datos corporativos

La dark web está oculta para la mayoría de los usuarios, por ello no cuenta con el mismo nivel de seguridad y supervisión que recibe el internet accesible al público. Esto genera la posibilidad de comprar y vender información personal/empresarial mientras el delincuente se mantiene en el anonimato.

Como mencionamos anteriormente, los ciberdelincuentes pueden robar tu información a través de correos electrónicos, redes sociales o cuentas digitales usando malware, phishing o esquemas de fraude. Incluso pueden acceder a tu base de datos con un ciberataque a gran escala: en 2019, por ejemplo, se robaron más de 4,000 millones de registros usando violaciones de datos, un aumento del 54% con respecto al año anterior según datos de Norton.

Independientemente del método que utilicen, una vez que tienen acceso a tus datos los usarán ellos mismos o los venderán en la dark web.

Ciberextorsión

La extorsión cibernética ocurre cuando los delincuentes amenazan con inhabilitar las operaciones de la empresa o comprometer sus datos confidenciales a menos que reciban un pago. Los dos métodos más populares para entrar son el ransomware y los ataques DDoS (denegación de servicio distribuido).

El ransomware es el software malicioso que se instala al hacer clic en un link infectado o al descargar un archivo inseguro. El software se encarga de encriptar los archivos de la víctima para que no pueda usar sus redes y computadoras; entonces los hackers contactan a la víctima ofreciéndole desencriptar los archivos por una suma de dinero.

Por otro lado, los ataques DDoS consisten en usar varios sistemas informáticos para atacar a un solo objetivo. Buscan provocar una denegación de servicio, haciendo que la red quede inutilizable de manera temporal. Dependiendo del negocio al que atacan, el tiempo de inactividad del sitio web puede causar pérdidas financieras significativas.

A veces, los delincuentes usan ataques DDoS y ransomware en conjunto. Pueden amenazar a las empresas con mandarles un ataque, o intimidarlas afirmando que publicarán datos sensibles que podrían generarles demandas si no pagan una tarifa para detenerlos.

El problema es que estos ataques siguen en aumento porque a las empresas les sale más “barato” pagar el rescate que cubrir los costos de recuperación. Y están dispuestas a pagar con tal de quitarse ese dolor de cabeza.

Ciberespionaje

Consiste en recopilar secretos comerciales, datos confidenciales, información clasificada o cualquier recurso que pueda usarse para generar una ventaja competitiva o ganar dinero. En algunos casos, la violación tiene la intención de dañar la reputación de la compañía.

Los ciberespías suelen acceder a estos tipos de activos:

• Datos de investigación y desarrollo.
• Información de investigaciones académicas.
• Fórmulas de productos o planos.
• Salarios, estructuras y otros datos confidenciales relacionados con las finanzas y gastos de la organización.
• Bases de datos de clientes y/o proveedores.
• Objetivos comerciales, planes estratégicos y tácticas de marketing.
• Estrategias afiliaciones y comunicaciones políticas.
• Inteligencia militar.

Cómo evitar fraudes cibernéticos en tu organización

Aunque los ataques son cada vez más sofisticados, existen muchas tácticas de ciberseguridad que pueden ayudarte a minimizar los riesgos a los que está expuesto tu entorno.

Te recomendamos empezar capacitando a tus colaboradores para que sigan estas prácticas cuando usen su cuenta de email empresarial:

• Nunca ocupen el correo electrónico del trabajo para registrarse en chats o foros. Al hacerlo su email se vuelve público y no saben quién podría tener acceso a él.
• Reporten cualquier email que no tenga el botón “Responder”. Esta es una característica común del correo no deseado.
• No usen una cuenta asociada al trabajo para realizar compras online.
• No se den de baja del correo no deseado. Si el mensaje contiene algún tipo de malware o ransomware, es probable que el botón “Cancelar suscripción” en la página visitada provoque que el programa malicioso se descargue.
• Si alguien recibe un mensaje comercial pero no reconoce el nombre del remitente, consúltenlo con alguien antes de abrir el archivo adjunto. Los piratas informáticos son muy inteligentes para disfrazar ataques con mensajes genéricos como “Revisa esto y comunícate conmigo al final del día”, y luego cargan un archivo adjunto infectados con un virus.
• Si el mensaje es demasiado bueno para ser verdad, posiblemente lo sea. Omítanlo.

Y en general estas medidas les servirán para evitar estafas en línea:

• Consideren la posibilidad de usar tarjetas empresariales para los gastos de sus colaboradores, aprovechándolas para limitar la cantidad de crédito o saldo que tienen y así minimizar el potencial de pérdida.
• Mantengan sus antivirus y firewalls actualizados constantemente.
• Instalen tecnología antispyware en los dispositivos que utilizan para trabajar.
• Actualicen los sistemas operativos con regularidad.
• Usen un software para monitorear los accesos a sus bases de datos para detectar cualquier actividad extraña.
• Definan una política de seguridad para todos sus colaboradores, donde incluyan reglas para el uso de dispositivos, documentos, emails y hasta redes sociales. El objetivo es que los trabajadores sepan identificar las actividades o prácticas de riesgo, que las eviten y también sepan reportarlas para minimizar su impacto.
• Utilicen cifrado y almacenamiento seguro de archivos y carpetas.
• Consideren la posibilidad de contratar una solución VPN para que la red se mantenga segura aunque los empleados trabajen desde cualquier lugar donde se encuentren.
• Realicen backups de forma constante. En caso de perder sus datos actuales, al haberlos respaldado podrán regresar a una versión relativamente reciente.

También considera la posibilidad de invertir en un ciberseguro. Como última línea de defensa, un seguro cibernético cubrirá las pérdidas financieras derivadas de un ataque o fraude online. Y dependiendo de la póliza, también podría encargarse de los reclamos de terceros que sufran pérdidas derivadas de la violación de datos o de los tiempos de inactividad del sistema.

Esperamos que toda esta información sirva para fortalecer a tu empresa y frenar esta problemática de manera efectiva. De aquí en adelante, tú decidirás cuáles son las tácticas más adecuadas para tu compañía.



¿Te interesa aprender más sobre ciberseguridad y buenas prácticas para el mundo online? No te pierdas los artículos en nuestro blog.