Según el último Informe sobre ciberdelincuencia del Internet Crime Complaint Center (IC3) del FBI, Estados Unidos ha sufrido un “aumento sin precedentes” de ciberataques y otras actividades maliciosas en 2021. Entre los principales incidentes denunciados, las estafas Business Email Compromise (BEC) y el secuestro de cuentas de correo electrónico (EAC, email account compromise) supusieron 2400 millones de dólares en pérdidas ajustadas para empresas y consumidores el año pasado.
Esta cifra marca un acusado incremento respecto a los 1800 millones de dólares de 2020. Para el público americano, implica también un nuevo récord en pérdidas financieras debido a ataques BEC/EAC. Estas estafas han representado casi el 35 % de todas las pérdidas financieras relacionadas con ciberdelitos, lo que implica además un aumento del 28 % interanual.
Las víctimas de la ciberdelincuencia han presentado un número récord de quejas ante el IC3 en 2021: 847 376. Las pérdidas potenciales debido a estos ciberdelitos superan los 6900 millones de dólares. Y, si bien el número de denuncias solo se elevó un 7 % respecto al año anterior, las pérdidas totales generadas por los ciberdelitos aumentaron un 64 % en 2021, desde los 4200 millones de dólares en 2020.
A continuación, se incluye un examen detallado de otros hallazgos del último informe sobre ciberdelincuencia del IC3, junto con análisis basados en nuestras observaciones de estas tendencias en la ciberdelincuencia:
Las estafas por correo electrónico siguen a la cabeza en cuanto a pérdidas financieras
En 2021, el IC3 recibió 19 954 quejas sobre estafas BEC/EAC. Como hemos mencionado, las pérdidas ajustadas relacionadas con estos incidentes suman casi 2400 millones de dólares. De media, las pérdidas por incidente de fraude a través del correo electrónico pasaron de 96 373 a 120 074 dólares, lo que significa un incremento interanual de casi el 25 %.
Aunque los ataques de ransomware siguen dominando las noticias sobre ciberdelitos, las estafas BEC y EAC representaron el mayor porcentaje (35 %) de pérdidas financieras relacionadas con la ciberdelincuencia en 2021. Las pérdidas por ransomware el año pasado sumaron 49 207 908 dólares, según datos del IC3. Sin embargo, las pérdidas financieras que el centro atribuye a ataques BEC y EAC en 2021 son 49 veces superiores a dicha cifra.
Figura 1. Los ataques BEC/EAC siguen representando el máximo de pérdidas financieras entre todos los tipos de ciberdelitos (Fuente: “Internet Crime Report” (Informe sobre ciberdelincuencia), 2021).
Figura 2. Las pérdidas financieras debidas a estafas por correo electrónico aumentaron un 28 % en 2021 (Fuente: “Internet Crime Report” (Informe sobre ciberdelincuencia), 2021).
Los datos del IC3 ayudan también a detectar el nivel de focalización de las estafas BEC/EAC e identifican cómo, aunque el volumen de ataques es bajo comparado con otros tipos de ciberataques, las pérdidas monetarias que suponen para las víctimas pueden ser considerables. En el informe sobre ciberdelincuencia se indica que el número de quejas presentadas el año pasado sobre estas estafas aumentó solo el 3 % respecto a 2020. Sin embargo, las pérdidas financieras que acarrearon estos incidentes aumentaron un 28 % en 2021, lo que implica un incremento interanual del 25 % en cuanto a la media de pérdidas por incidente.
Los ataques BEC continúan evolucionando, al igual que las tácticas de los ciberdelincuentes
El informe sobre ciberdelincuencia para 2021 señala que los ataques BEC/EAC evolucionan y que los métodos empleados por los ciberdelincuentes son cada vez más sofisticados. Según el informe, antes estas estafas se valían del “simple hackeo o la usurpación de cuentas de correo electrónico profesionales o personales y el envío de una solicitud de transferencia de fondos a cuentas bancarias fraudulentas”. Los ciberdelincuentes utilizaban direcciones de correo electrónico de proveedores vulneradas, solicitudes de información fiscal, fraudes relacionados con el mercado inmobiliario, timos de tarjetas regalo y otras estratagemas. Sin embargo, ahora recurren a reuniones virtuales y falsifican las direcciones de los directivos de las empresas para solicitar transferencias bancarias fraudulentas.
Entre todas las variantes de BEC utilizadas en la actualidad, Proofpoint ha observado que el fraude mediante facturas de proveedores suele ser la que representa más pérdidas financieras debido a que implica pagos entre empresas (B2B). Además, nuestra investigación demuestra que casi todas las organizaciones (98 %) reciben amenazas que provienen del dominio de los proveedores.
Los atacantes suplantan a proveedores o comprometen sus cuentas y así se sirven de los distribuidores y socios comerciales de confianza de las empresas para llevar a cabo su plan de ataque. A pesar de esta tendencia, Proofpoint cree que la mayoría de las organizaciones no tienen visibilidad que les permita descubrir qué proveedores suponen un riesgo.
El phishing se dispara un 280 % durante la pandemia de COVID-19
El número de quejas presentadas en relación con timos de phishing y técnicas relacionadas, como el vishing, smishing y pharming, ha aumentado un 280 % durante la pandemia de COVID-19, que comenzó a inicios de 2020. El informe sobre ciberdelincuencia destaca que las denuncias sobre los distintos tipos de estafas de phishing representaron el 38 % de todas las presentadas en el centro el año pasado.
Como muestra la Figura 3, el número de incidentes para este tipo de amenaza lleva subiendo cinco años, con especial fuerza durante los dos últimos años. El número de incidentes de phishing/vishing/smishing y pharming aumentó un 34 % de 2020 a 2021. Mientras tanto, los otros cuatro tipos de ciberdelitos principales —extorsión, robo de identidad, violación de datos personales y estafas mediante avisos de impago/falta de entrega— están estancados desde 2017.
Figura 3. Cinco tipos de ciberdelitos principales en 2021, en comparación con los cinco años anteriores. (Fuente: “Internet Crime Report” (Informe sobre ciberdelincuencia), 2021).
El notable incremento del phishing y las técnicas relacionadas en los últimos años indica que los ciberdelincuentes siguen aprovechando las vulnerabilidades centradas en las personas. Por lo tanto, las organizaciones deben conocer el riesgo de las personas e implementar los controles necesarios, ya que el correo electrónico sigue siendo el vector de amenaza número uno.
El ransomware se desboca en 2021
Los datos del IC3 muestran que el número de incidentes de ransomware siguió aumentando en 2021, con 3729 incidentes denunciados, lo que implica un incremento del 51 % respecto al año anterior. Y las pérdidas financieras que el IC3 atribuye a los ataques de ransomware en 2021 (más de 49 millones de dólares) han aumentado un 69 % respecto a la cifra de 2020.
Hay que tener en cuenta, además, que las pérdidas para 2021 son artificialmente bajas porque no incluyen las relativas a sueldos, archivos, equipos o servicios de corrección, según el IC3. Estos 49 millones de dólares solo representan lo que las empresas y particulares comunicaron al IC3, no comprenden las denuncias directas que se realizaron en las oficinas del FBI, lo que sugiere que el número real de ataques de ransomware y las pérdidas asociadas son probablemente muy superiores para 2021.
El informe sobre ciberdelincuencia también afirma que “Las tácticas y técnicas de ransomware siguen evolucionando en 2021, lo que demuestra el aumento del nivel de sofisticación tecnológica de los ciberdelincuentes y supone una mayor amenaza de ransomware para las organizaciones de todo el mundo”. Los tres principales vectores de infección inicial en los incidentes de ransomware del año pasado, según el IC3, fueron los mensajes de phishing, los exploits de acceso a escritorio remoto (RDP) y el aprovechamiento de vulnerabilidades de software.
Con el incremento de los incidentes relacionados con el ransomware y la creciente participación de agentes intermediarios de acceso inicial oportunistas para entregar software malicioso, las organizaciones deben plantearse un enfoque de “desplazamiento a la izquierda” (Shift-Left) e invertir en prevención. Proteger el canal de correo electrónico y detener las amenazas en las primeras fases de la cadena de ataque es la forma más eficaz de defenderse contra el ransomware.
El informe del IC3 del FBI subraya la importancia de un enfoque de la seguridad centrado en las personas
Muchos ciberdelincuentes actualmente dependen en gran medida de la ingeniería social para el trabajo preliminar, la activación y el desarrollo de sus campañas, y durante este proceso su objetivo son las personas. Las conclusiones del último informe sobre ciberdelincuencia (“Internet Crime Report”) del IC3 del FBI destaca la necesidad de que las organizaciones cuenten con una plataforma multicapa y centrada en las personas para luchar contra las amenazas activadas por humanos.
Proofpoint puede ayudar a su organización a reducir sus riesgos para la seguridad con una plataforma de protección contra amenazas integrada que detiene los ataques a través del correo electrónico y la nube dirigidos a su personal. Además, nuestra plataforma ofrece visibilidad de los riesgos de sus empleados y le ayuda en su formación para que sean más resilientes contra las amenazas avanzadas.
Para más información sobre nuestras soluciones para la protección contra ataques BEC y EAC, consulte esta página.