El Internet Crime Complaint Center (IC3) del FBI ha publicado su informe sobre delitos en Internet 2024 Internet Crime Report. Y ha revelado un aumento sin precedentes de las pérdidas por ciberdelincuencia en Estados Unidos. El año pasado, las pérdidas totales alcanzaron los 16 600 millones de dólares, lo que supone un aumento del 33 % respecto al año anterior. El correo electrónico sigue siendo el vector de ataque más explotado, ya que los ciberdelincuentes lo utilizan para estafas de phishing, ataques Business Email Compromise (BEC) y filtración de datos a gran escala.
Proofpoint analizó el informe de este año desde el punto de vista de la seguridad del correo electrónico. Nuestro análisis subraya la creciente necesidad de que las organizaciones adopten defensas multicapa centradas en las personas que reduzcan las amenazas activadas por las personas en el correo electrónico, la nube y las plataformas de colaboración. Estas son las principales conclusiones.
Tendencias de denuncias y pérdidas del informe de IC3 del FBI en los últimos cinco años.
Las amenazas basadas en el correo electrónico dominan el panorama
El correo electrónico sigue siendo el principal canal para la ciberdelincuencia, tanto por su frecuencia como por su impacto financiero.
- El phishing y la suplantación de identidad encabezaron todos los tipos de denuncias, con 193 407 incidentes. Estos ataques son cada vez más sutiles y utilizan códigos QR, páginas de inicio de sesión falsas y activos de marca comprometidos para engañar a los usuarios.
- Los ataques Business Email Compromise (BEC) fueron los segundos ciberdelito más costoso, generando 2770 millones de dólares en pérdidas en un total de 21 442 incidentes.
- Las fugas de datos personales, muchas de las cuales se producen por el compromiso del correo electrónico, causaron pérdidas por valor de 1450 millones de dólares. Se produjeron 64 882 denuncias.
Cuando se combinan estas categorías, representan más de 4000 millones de dólares en pérdidas. Esto demuestra hasta qué punto las amenazas distribuidas por correo electrónico están relacionadas con la pérdida de datos, el fraude y el daño a la marca. Los ciberdelincuentes actuales no se limitan a eludir la tecnología, sino que explotan el comportamiento humano.
BEC: la amenaza más cara del correo electrónico
Los ataques BEC son muy selectivos y se basan en la ingeniería social. Los ciberdelincuentes se hacen pasar por ejecutivos, proveedores o representantes legales para engañar a los empleados para que transfieran fondos o compartan documentos confidenciales.
Según el informe del IC3 del año pasado:
- 2770 millones de dólares en pérdidas causadas por ataques BEC, lo que la convierte en la segunda categoría de ciberdelincuencia más costosa a nivel global.
- 21 442 incidentes, lo que se mantiene en gran medida año tras año.
Una parte importante de estas pérdidas se debió a fraudes inmobiliarios y de nóminas, en los que los ciberdelincuentes se hacían pasar por personas para cambiar los datos de las transferencias bancarias o la información de las cuentas bancarias asociadas a las nóminas. Solo en 2024, las víctimas mayores de 60 años perdieron 38 millones de dólares por estas estafas.
El Recovery Asset Team del IC3 del FBI informó de una tasa de éxito del 66 % en la congelación de transferencias fraudulentas de BEC. En un caso, pudo interceptar y devolver casi un millón de dólares en fondos robados a una víctima de fraude inmobiliario.
Proofpoint ayuda a reducir los ataques BEC. Utilizamos la IA basada en el comportamiento para evaluar la intención de los mensajes, los indicios lingüísticos y las relaciones anómalas entre remitente y destinatario para detectar amenazas que eluden los gateways de correo electrónico tradicionales.
Phishing: más común, cada vez más costoso
El phishing sigue siendo el tipo de ataque más popular, con casi 200 000 denuncias en 2024. Pero lo más alarmante es el aumento de las pérdidas, que pasaron de 18,7 millones en 2023 a 70 millones este año. Eso supone un aumento del 274 %.
Los atacantes han perfeccionado sus tácticas:
- Uso de códigos QR para eludir las herramientas de detección de enlaces de correo electrónico.
- Payloads maliciosas incrustadas en archivos PDF adjuntos.
- Uso de dominios comprometidos o parecidos para suplantar marcas.
Cabe destacar que el número total de denuncias por phishing descendió desde las 298 878 de 2023. Este descenso puede deberse a que los atacantes prefieren las campañas de mayor conversión y menor volumen, especialmente las que utilizan estafas BEC o de usurpación de cuentas.
Para protegerse contra el phishing, Proofpoint recomienda un enfoque multicapa. Esto significa utilizar banners de advertencia adaptables, aplicar el aislamiento de clics y dar prioridad a los programas de formación para concienciar en materia de seguridad que ayuden a los usuarios a ser resistentes a las amenazas de phishing.
Mayores de 60 años: el grupo demográfico más afectado por la ciberdelincuencia
El informe del IC3 detalla un fuerte aumento de los ataques dirigidos a personas de 60 años o más:
- 147 127 denuncias, un 46 % más que el año anterior
- 4800 millones en pérdidas, un 43 % más que en 2023
Los adultos mayores fueron los más afectados por las estafas de phishing, soporte técnico y BEC. También se han llevado la peor parte de las estafas relacionadas con inversiones en criptomoneda, perdiendo más de 2800 millones de dólares por estafas que suelen comenzar con señuelos de phishing o correos electrónicos falsos.
Como estos usuarios pueden carecer de conocimientos digitales o de familiaridad con los vectores de amenazas modernos, Proofpoint anima a las organizaciones a ampliar la formación de concienciación más allá de los empleados, llegando a familiares, jubilados y clientes de edad avanzada.
Denuncias del informe IC3 del FBI por grupos de edad en 2024.
Conclusión
El informe 2024 del IC3 refuerza lo que los defensores ya saben: el correo electrónico sigue siendo la principal fuente de ciberriesgos. Aunque los ataques de phishing y BEC no son amenazas nuevas, cada vez son más selectivas, más costosas y dañinas cuando tienen éxito.
Para mantenerse un paso por delante, las organizaciones deben pasar de la defensa reactiva a la prevención proactiva. Esto comienza con la detección temprana de las amenazas centradas en las personas, la automatización de la respuesta a las amenazas y la priorización de la protección de las personas que tienen más probabilidades de convertirse en objetivo.
Proofpoint está aquí para ayudar. Nuestra plataforma basada en inteligencia artificial detiene las amenazas avanzadas antes de que los usuarios interactuar, lo que reduce drásticamente el riesgo y el tiempo necesario para neutralizarlas.
Descubra cómo Proofpoint puede ayudarle a proteger a sus empleados contra las principales amenazas actuales que se distribuyen por correo electrónico con Proofpoint Core Email Protection.