Las estafas Business Email Compromise (BEC) y EAC (compromiso de cuentas de correo electrónico) cuestan a las empresas víctimas más de 1800 millones de dólares, lo que representa el 44 % de las pérdidas declaradas por empresas y particulares el año pasado.
El Internet Crime Complaint Center (IC3) del FBI acaba de publicar su informe anual Internet Crime Report, en el que detalla los ataques de los que han sido víctimas las empresas a nivel mundial en 2020, así como las pérdidas financieras asociadas.
El informe revela que se presentaron 791 790 denuncias por ciberataques, con unas pérdidas totales por valor de 4200 millones de dólares durante el año, un aumento de más de 300 000 denuncias (69,4 %) y de 700 millones de dólares de pérdidas declaradas (20 %) respecto a 2019. Analicemos las principales conclusiones del informe de este año.
Business Email Compromise (BEC)
Si bien el ransomware sigue dominando la atención de los medios de comunicación, las estafas Business Email Compromise (BEC)/compromiso de cuentas de correo electrónico (EAC) y el phishing se encuentran entre las amenazas más devastadoras. Las estafas BEC representaron uno de cada dos temas de actualidad más candentes de 2020. Las pérdidas financieras atribuibles a ataques BEC/EAC fueron 64 veces más elevadas que el ransomware y representan un 44 % de todas las pérdidas declaradas en 2020. Sin embargo, las denuncias presentadas sobre ataques BEC/EAC no fueron tantas como podría esperarse y solo representan el 2,4 % del total de denuncias. Las estadísticas del informe permiten extraer algunas conclusiones:
- A diferencia de las amenazas de phishing clásicas, los ataques BEC/EAC son muy dirigidos.
- Aunque el volumen de ataques BEC/EAC es bajo, ocasionan grandes pérdidas financieras.
El FBI advirtió al público sobre la evolución de los ataques BEC/EAC: suplantación de identidad, hacking de cuenta de cuentas de correo electrónico de miembros de la dirección, solicitudes de transferencias bancarias a ubicaciones fraudulentas, compromiso de correo electrónico de proveedores, solicitudes fraudulentas de grandes cantidades de tarjetas regalo, etc.
Esto coincide con lo observado por Proofpoint: los ciberdelincuentes han convertido la cadena de suministro y el ecosistema de partners en otro vector de amenazas que les permiten lanzar ataques indirectos a las empresas objetivo. La suplantación de la identidad de los proveedores y el compromiso de sus cuentas representan un riesgo importante para las empresas. Y lo que es peor, la mayor parte de ellas carecen de visibilidad del riesgo asociado a los proveedores. Además, también observamos más variantes BEC/EAC, como las estafas de tarjetas regalo, la redirección de nóminas, las relacionadas con facturas de proveedores, el fraude de fusiones y adquisiciones y la redirección de envíos. Entre los distintos tipos de estafas, el fraude de proveedores es a menudo el que genera las mayores pérdidas.
Estafadores que aprovechan la pandemia de COVID-19
2020 fue un año absolutamente atípico debido a la pandemia de COVID-19. Como señala el informe del IC3 del FBI, los estafadores se han aprovechado de la pandemia para atacar tanto a empresas como a particulares. Proofpoint también ha observado el uso de temas relacionados con el coronavirus en ataques de ingeniería social de gran envergadura (BEC, phishing de credenciales, malware y campañas de spam) desde el inicio de la pandemia. Y en los últimos meses, los investigadores de Proofpoint han observado más ataques que aprovechan noticias relacionadas con las ayudas, las vacunas y las variantes de la COVID-19. Prevemos que los ciberdelincuentes seguirán utilizando temas relacionados con el virus a lo largo de toda esta crisis sanitaria.
El phishing sigue siendo una amenaza importante
Casi la tercera parte de las denuncias presentadas tenían que ver con ataques phishing. El número de denuncias contra este tipo de amenaza es más de dos veces superior a la cifra registrada en 2019: se presentaron 126 640 denuncias más. Esto demuestra claramente que los ciberdelincuentes atacan a las personas en lugar de aprovechar las vulnerabilidades de la infraestructura de las empresas. Los atacantes siguen aprovechando la naturaleza humana, atrayendo o amenazando a sus víctimas para que lleven a cabo las acciones que desean.
El ransomware sigue creciendo
Según el informe Internet Crime Report del IC3 del FBI, el número de ataques de ransomware continuó aumentando en 2020, con 2474 incidentes denunciados y pérdidas superiores a los 29 millones de dólares. El informe destaca las campañas de phishing por correo electrónico como uno de los vectores de infección de ransomware más comunes. Curiosamente, el informe señala que las pérdidas atribuibles al ransomware son "artificialmente bajas", ya que el número no tiene en cuenta las pérdidas estimadas por pérdida de negocio, productividad, salarios, archivos, equipos, etc. Además, la cifra no refleja las denuncias realizadas directamente en oficinas del FBI. Por lo tanto, el número de ataques de ransomware y las pérdidas asociadas son en realidad mucho más elevadas.
Entre todos los incidentes denunciados en 2020, los ataques BEC/EAC son los que ocasionaron las mayores pérdidas, mientras que el phishing, el vishing, el smishing y el pharming fueron las que lideraron el número de víctimas. Ambos tipos de amenazas están relacionados con el compromiso de cuentas cloud y de correo electrónico, recurren a la ingeniería social y, sobre todo, atacan a las personas.
Para luchar contra las amenazas activadas por personas, las organizaciones deben adoptar un enfoque de seguridad centrado en las personas. Proofpoint puede ayudarle a reducir los riesgos de seguridad con una plataforma de protección frente a amenazas que bloquea las amenazas a través del correo electrónico y la nube dirigidas contra sus empleados, ofrece visibilidad de los riesgos asociados a su personal y refuerza la resiliencia de los usuarios contra las amenazas avanzadas actuales.