El 27% de las pérdidas que genera el cibercrimen se debe a ataques de compromiso del email
- Seguridad
Los ataques BEC, que comprometen el email, suponen unas pérdidas casi 80 veces mayores que las del ransomware. Suponen el 27% de las generadas por ciberataques y, además, el número de víctimas aumenta anualmente un 10%.
En los últimos cinco años, el FBI ha recibido una media de 652.000 denuncias anuales sobre ciberestafas que afectan a víctimas de todo el mundo. En su reciente estudio sobre crímenes en internet apunta que las pérdidas económicas por fraude electrónico se han más que duplicado en solo dos años, pasando de 4.200 millones de dólares en 2020 a 10.300 millones de dólares en 2022.
La vulneración de correo electrónico de empresas o ataques BEC (Business Email Compromise) destaca por ser una estrategia eficaz, acaparando un 27% de las pérdidas en ciberdelincuencia. El año pasado, las empresas globales perdieron más de 2.700 millones de dólares por estas estafas, unos 300 millones más que en 2021, lo que supone unas pérdidas casi 80 veces mayores que las del ransomware. Cada incidente BEC puede costarle a la empresa afectada unos 124.000 dólares.
El número de víctimas de los ataques BEC crece asimismo año tras año, casi un 10%. Según el informe State of the Phish 2023 de Proofpoint, el 75% de los encuestados dijo que su organización había sufrido al menos un ataque BEC en 2022. En España, un 90% de empresas experimentó un ataque BEC en 2022, un 13% más respecto al año anterior. Esto puede deberse a que ha aumentado el uso de idiomas como el español en estas amenazas.
Entre las estafas más comunes se encuentran aquellas que incluyen emails de proveedores, redireccionamiento de nóminas o fraudes inmobiliarios, aunque poco a poco dejan a paso a tácticas más sofisticadas. El FBI ha detectado casos en los que los ciberdelincuentes convencen a sus víctimas para que envíen fondos a plataformas de criptomonedas; falsificaciones de números de teléfono de empresas legítimas para dar datos bancarios fraudulentos a los usuarios; o suplantaciones de la Administración Pública.
Reticencias a la hora de denunciar
El phishing sigue dominando la lista de amenazas, con un 38% de denuncias ante el FBI en 2022, así como una incidencia de un 84% en todo el mundo y un 90% en España, de acuerdo con los informes de Proofpoint sobre ese mismo año.
Por otro lado, según el FBI, en 2022 disminuyeron los incidentes de ransomware un 36%, con 2.385 denuncias comunicadas, lo que ha supuesto también las pérdidas económicas derivadas de ello. Esto podría considerarse como una buena noticia, pero los expertos creen más probable que estas cifras se deban a la reticencia de las víctimas de ransomware a denunciar los incidentes a las fuerzas de seguridad, lo cual dificulta conocer el número real de afectados.
A pesar de estos datos, la investigación de Proofpoint sigue mostrando un alto nivel de ataques de ransomware en todo el mundo. Según su encuesta State of the Phish, el 64% de las organizaciones globales afirmó haber sido infectadas por ransomware en 2022, mientras que en España el 89% experimentó al menos un intento de ataque de este tipo; y lo que es más alarmante, en algunos casos se suelen producir múltiples incidentes de infección.
Según los expertos del equipo de investigación de la firma de ciberseguridad, “lo que está claro es que los ciberdelincuentes siguen explotando la vulnerabilidad humana con ingeniería social y nunca dejan de innovar en sus ataques. El email continúa como el vector de amenaza número uno y, para defenderlo, se necesita una plataforma multicapa con controles de seguridad que incluyan la autenticación del correo, la formación en seguridad y la inteligencia compartida sobre amenazas”.