El primer semestre del 2020 hemos visto un incremento de alrededor de un 60% de ciberataques en Latinoamérica. El 90% de estos ataques han sido realizados a través de phishing o CeCC (Correos Electrónicos Corporativos Comprometidos).

Es por esto que estamos seguros en Kepler que la primera medida que debe tomar una organización, ya sea pequeña, mediana o grande, es educar a sus empleados a como moverse en forma segura en el ciberespacio.

Los ataques más costos para la víctima comúnmente incluyen investigación de la víctima a través de ingeniería social y suplantación de identidades dentro o fuera de la compañía (clientes o proveedores).

En tiempos como los que nos ha tocado vivir, todos somos susceptibles a caer en un engaño, los cuales  van desde simples y burdos (hasta con faltas de ortografía) a ingeniosos, convincentes y contingentes.

En un artículo anterior vimos como el phishing sobre noticias de Coronavirus han aumentado un 600%,  en Chile hemos visto como rápidamente se han adaptado nuevos engaños como son avisos de «Crédito Covid», «Devolución de impuestos por el SII», «Perdonazo en contribuciones», «Aumento de cupo en línea de crédito por Covid», entre muchos otros.

Por esto, hemos recopilado los TOP 5 de estafas o robos realizados a través de phishing y seguramente te sorprenderá encontrar en esta lista, empresas de tecnología y hasta un banco:

1. FACEBOOK + GOOGLE: Ambos fueron estafados por más de 100 MM USD entre el año 2013 y 2015 a través de una elaborada estafa de facturas fraudulentas. Un cibercriminal de Lituania enviaba facturas falsas a ambas compañías haciéndose pasar por un proveedor asiático.
2. BANCO CRELAN: Banco Belga estafado en $ 75,8 MM USD en un CEO FRAUD (acá otro artículo para tomar medidas de protección contra spoofing). Los atacantes nunca fueron descubiertos.
3. FACC: Un fabricante de piezas aeroespaciales austriaco fue estafado en $ 61 MM USD en otra CEO FRAUD. Un cibercriminal se hizo pasar por el CEO y envió un correo electrónico de phishing a un empleado de contabilidad que transfirió fondos a una cuenta para un proyecto falso. Este caso es un hito de otra manera: la compañía está demandando a su ex CEO y CFO por no hacer lo suficiente para proteger a la compañía de pérdidas millonarias. En el caso en curso, la compañía alegó que los dos líderes «no lograron establecer controles internos adecuados y no cumplieron con sus obligaciones de cooperación y supervisión necesarias»
4. LABORATORIOS UPSHER-SMITH:  Una compañía farmacéutica de EE.UU., fue víctima de una estafa por más de $ 50 MM USD en el transcurso de tres semanas en 2014. Los phishers, haciéndose pasar por el CEO de la compañía, enviaron correos electrónicos de phishing al coordinador de cuentas por pagar de la compañía que les indicó que hicieran nueve transferencias electrónicas fraudulentas. Aunque pudieron retirar un cable, que redujo su pérdida a $ 39 millones (más intereses), inicialmente transfirieron más de $ 50 millones, por lo que ocupan el cuarto lugar en nuestra lista.
5. UBIQUITI NETWORKS: La famosa compañía de redes informáticas de EE. UU., no supo hasta ser informada por el FBI que le habían robado $ 46.7 MM USD, casi el 10% del flujo de caja de la compañía, a través de correos electrónicos de CEO FRAUD y el FBI le notificó la actividad, que había estado vigilando la cuenta bancaria de la unidad de Hong Kong de la compañía.Según el informe financiero trimestral de la compañía:“El incidente involucró la suplantación de los empleados y las solicitudes fraudulentas de una entidad externa dirigida al departamento de finanzas de la Compañía. Este fraude resultó en transferencias de fondos que suman $ 46.7 millones en poder de una subsidiaria de la Compañía incorporada en Hong Kong a otras cuentas en el extranjero en manos de terceros «.

Claro que podemos concluir que los ataques más costos incluyen siempre ciertos factores en común, ingeniería social, investigación, suplantación de identidades, spearphishing. No nos descuidemos, cientos de millones de personas y empresas están siendo hoy atacadas, en forma simultanea, varías veces al día, con ataques que no se enfocan en tecnología, si no, en engañar a la gente. En los inicios de los correos electrónicos nos enseñaron a no abrir correos de fuentes desconocidas. Hoy este consejo queda corto. Los ciberatacantes se hacen pasar por conocidos, organizaciones de confianza, clientes o proveedores.

¿Qué podemos aprender de estos ataques?

El gran factor común es que los empleados de estas compañías simplemente cumplieron con las solicitudes de correo electrónico fraudulentas sin verificar primero que las solicitudes eran válidas.

Una regla de oro es: Si no estoy seguro que la persona que envía el correo me envió un adjunto, no debo abrirlo y NUNCA seguir un link (enlace) desde un email.

Por eso, hoy más que nunca, es importante el transformar a nuestro eslabón más débil, en un firewall humano a través de un programa de entrenamiento, que genere concientización en ciberseguridad para todo el personal de la empresa.