Las estafas BEC o Business Email Compromise sin duda fueron una estrategia eficaz para los ciberdelicuentes en 2022. El año pasado, las empresas perdieron más de 2700 millones de dólares por este tipo de fraude online, según el último informe sobre delitos en Internet del IC3 o Internet Crime Complaint Center del FBI. Eso supone 300 millones de dólares más que en 2021.
Estas pérdidas fueron además casi 80 veces superiores a las provocadas por el ransomware. De hecho, el IC3 del FBI señala que las estafas BEC representaron un impresionante 27 % del conjunto de pérdidas económicas relacionadas con la ciberdelincuencia el año pasado. Además, aumentó el coste medio de cada incidente individual: de 120 000 dólares en 2021 a 124 000 dólares en 2022.
En 2022 se redujeron las denuncias al IC3 del FBI (800 944 frente a 847 376). Sin embargo, las pérdidas totales pasaron de 6900 a más de 10 2000 millones de dólares. Esto supone un incremento interanual del 48 %.
Figura 1. Denuncias y pérdidas asociadas a la ciberdelincuencia en los últimos cinco años. (Fuente: Informe sobre delitos en Internet 2022, IC3 del FBI).
Prevalencia cada vez mayor de las estafas BEC—y pérdidas en aumento
Las estafas BEC fueron una de las principales amenazas destacadas en el informe. En 2022, el IC3 recibió 21,832 denuncias sobre estafas BEC. El incremento interanual de las denuncias de ataques BEC pasó del 3 % en 2021 al 9 % en 2022. Esta tendencia sugiere que los ataques BEC son más prevalentes que nunca.
El número de víctimas que cayeron en este tipo de fraude online también experimentó un incremento interanual de casi un 10 %. La investigación realizada en el marco del informe State of the Phish de 2023 de Proofpoint destaca esta tendencia. Entrevistamos a 7500 empleados y 1050 profesionales de seguridad de TI en 15 países. El 75 % de los encuestados afirmó que su organización había sufrido al menos un ataque BEC en 2022.
El informe State of the Phish señala también que los países de habla no inglesa experimentan más ataques BEC en sus propios idiomas. Sin embargo, el inglés sigue siendo el idioma principal utilizado en estos ataques.
En comparación con el phishing, los ataques BEC tienen menos víctimas. Sin embargo, generan pérdidas económicas significativamente más altas. Esto se debe a que las estafas BEC son muy dirigidas, por lo que suelen generar un mayor perjuicio económico incluso si el volumen es bajo.
Figura 2. Las estafas BEC representaron el 27 % de todas las pérdidas económicas asociadas a la ciberdelincuencia denunciadas por las empresas el año pasado. (Fuente: Informe sobre delitos en Internet 2022, IC3 del FBI).
Los estafadores emplean tácticas más sofisticadas
Las estrategias BEC más utilizadas incluyen los mensajes de correo electrónico de proveedores comprometidos, solicitudes de grandes cantidades en tarjetas regalo, desvío de nóminas, solicitudes de información fiscal y fraudes relacionados con el mercado inmobiliario. Más recientemente, el FBI ha observado sofisticadas estafas en la que los ciberdelincuentes:
- Convencen a las víctimas para que envíen fondos directamente a plataformas de criptomonedas, en las que pueden transferirse rápidamente sin que pueden rastrearlas las instituciones bancarias.
- Atacan las cuentas de inversión de las víctimas en lugar de las cuentas bancarias.
- Suplantan números de teléfono legítimos de las empresas para confirmar detalles bancarios fraudulentos con las víctimas.
- Utilizan centros de llamadas para estafar a las víctimas mediante la suplantación de personal técnico y de atención al cliente, y funcionarios públicos.
Proofpoint bloquea más de 3 millones de mensajes BEC al mes. Las mayores pérdidas asociadas a incidentes BEC (según nuestras observaciones) proceden del fraude de facturas de proveedores.
Hemos analizado recientemente casi 2000 organizaciones, y hemos descubierto que casi el 88 % experimentó un ataque por correo electrónico basado en proveedores en un período de una semana en febrero de 2023. Este dato es una prueba más de que los proveedores constituyen en la actualidad otro vector de amenazas. Desafortunadamente, la mayoría de las organizaciones carecen de las herramientas que les permitan ver qué proveedores o partners comerciales podrían ser suplantados o comprometidos.
El phishing continúa encabezando la lista de amenazas
Basta con que una sola persona muerda el anzuelo para que los ciberdelincuentes accedan a la información que necesitan para infiltrarse en una organización, comprometer cuentas, conseguir dinero o todo lo anterior. No sorprende que el phishing siga siendo la estrategia preferida por muchos ciberdelincuentes:
- En 2022, el 38 % de las denuncias al IC3 del FBI estaban relacionadas con el phishing.
- El 84 % de las organizaciones entrevistadas para el informe State of the Phish 2023 de Proofpoint afirmaron haber experimentado al menos un ataque de phishing que tuvo éxito.
Figura 3. Comparativa de los principales tipos de delitos, en función del número de denuncias al IC3. (Fuente: Informe sobre delitos en Internet, IC3 del FBI).
Los ciberdelincuentes atacan a las personas. Desafortunadamente, la mayoría de los usuarios carece de los conocimientos y de las herramientas que necesitan para protegerse frente a los ataques de phishing, que recurren en gran medida a la ingeniería social.
Las organizaciones necesitan comprender los riesgos que presentan las personas e invertir en la protección del principal vector de amenazas: el correo electrónico. Y deberían ofrecer formación en materia de seguridad a todos los empleados. Asimismo, deberían utilizar inteligencia sobre amenazas para mejorar sus programas de concienciación en materia de seguridad. Proporcionar a los usuarios un botón de denuncias de mensajes maliciosos también ayuda a protegerles y a proteger la organización.
Muchas víctimas del ransomware es probable que sean reticentes a denunciar
El número de incidentes de ransomware descendió un 36 % en 2022; el número de denuncias al IC3 fue de 2385. Las pérdidas ajustadas asociadas a estos incidentes sumaron 34,3 millones, un descenso frente a los 49 millones de 2021.
Estas cifras podrían ser una buena noticia. Pero es más probable que sean consecuencia de la reticencia de las víctimas a denunciar los incidentes de fraude online a las fuerzas de seguridad. El informe señala que esta reticencia complica conocer el número real de víctimas de ransomware.
Considere también las siguientes conclusiones: casi dos tercios (el 64 %) de las organizaciones entrevistadas para el informe State of the Phish 2023 de Proofpoint reconocieron haber sufrido una infección de ransomware en 2022. Y lo que todavía resulta más alarmante es que más del 66 % de este grupo denunciaron múltiples incidentes de infección. Por lo tanto, estamos casi convencidos de que el número real de incidentes y pérdidas asociadas el año pasado es mucho mayor que el comunicado.
Los ciberdelincuentes utilizan distintas técnicas para infectar a las víctimas con ransomware. Según el informe, los principales vectores de infección de ransomware del año pasado fueron los mensajes de correo electrónico de phishing, los exploits de acceso a escritorio remoto (RDP) y el aprovechamiento de vulnerabilidades de software.
Muchos ataques de ransomware empiezan por un mensaje de correo electrónico. Para hacer frente a los ataques de ransomware de manera más eficaz, las organizaciones deberían adoptar un enfoque de “desplazamiento a la izquierda” e invertir en seguridad del correo electrónico que detenga las amenazas en una etapa temprana de la cadena de ataque. También es importante proteger toda la cadena de ataque, desde el compromiso inicial al poscompromiso.
Combata las amenazas avanzadas por correo electrónico con una estrategia plataforma multicapa
Lo que parece claro es que los ciberdelincuentes siguen atacando a las personas y aprovechando la vulnerabilidad humana a través de la ingeniería social. Y no dejan de innovar y de buscar nuevas herramientas y estratagemas al tiempo que utilizan múltiples vectores de amenazas para atacar a sus víctimas.
El correo electrónico sigue siendo el principal vector de amenazas. La mejor defensa es una plataforma multicapa que cuente con una amplia variedad de controles de seguridad. Estos controles van más allá de un gateway de correo electrónico robusto para incluir autenticación del correo electrónico, formación en seguridad, mSOAR e inteligencia de amenazas compartida.
Nuestra plataforma de protección puede reducir sus riesgos asociados a las personas. Proofpoint Aegis le ofrece visibilidad de los usuarios y proveedores de mayor riesgo, así como de las amenazas que tienen a su organización en el punto de mira.
Para obtener más información sobre cómo combatir las amenazas por correo electrónico, consulte esta página.