15/02/2022
Los ciberataques dirigidos contra las empresas a nivel mundial aumentaron un 31% en 2021, de acuerdo con una encuesta realizada por el Foro Económico Mundial (WEF, por sus siglas en inglés). La necesidad de recurrir a formatos de teletrabajo por la situación de pandemia, sin medidas de seguridad adecuadas o la ausencia de una sólida cultura de seguridad entre los empleados, es una oportunidad que los ciberdelincuentes no están dejando pasar.
El correo electrónico constituye el principal vehículo para realizar los ataques. El phishing (emails fraudulentos en los que suplantan la identidad de compañías y organismos públicos) continuó al alza durante el pasado año. El trabajo en remoto ha incrementado el número, la sofisticación y el impacto de los ataques de phishing a las empresas. Durante 2021 Microsoft interceptó 35.700 millones de intentos de phishing dirigidos a empresas y particulares, tal como expone en su publicación “Ciberseñales”.
Estos correos llevan en muchas ocasiones archivos adjuntos infectados con software malicioso (malware). Los ciberdelincuentes suplantan en ellos tanto a organismos oficiales (Agencia Tributaria o Ministerio de Trabajo, por ejemplo) como a compañías privadas de paquetería, suministro, telecomunicaciones, etc.
Otra ciberamenaza muy frecuente que sufren las empresas es el denominado “Fraude al CEO”. Consiste en usurpar la identidad, también a través de correo electrónico, de un directivo de la empresa para solicitar a un empleado del departamento financiero que realice una transferencia confidencial y urgente. Los ciberdelincuentes también se hacen pasar por proveedores de servicio de la compañía y proporcionan un nuevo número de cuenta para que esta realice en ella los abonos relativos al pago de facturas.
Por último, de acuerdo con la firma de ciberseguridad Kaspersky, el 46,7% de todos los incidentes de seguridad en 2021 fueron ataques de ransomware, constituyéndose los organismos del sector público y las empresas del sector industrial, financiero y tecnológico en el foco principal de este ciberataque. El ransomware, ejecutado habitualmente a través de un archivo adjunto en un correo electrónico, tiene como objetivo “secuestrar” y cifrar la información de los equipos de las víctimas.
A continuación se exponen una serie de recomendaciones generales para que mantengas protegida tu empresa de todas estas ciberamenazas:
- Sospecha de los correos electrónicos que no se dirijan a ti de forma personalizada (por ejemplo: “querido cliente”, “estimado usuario”); incluyan un enlace para que hagas clic en él y proporciones datos personales en la página web a la que te intentan redirigir y/o te solicitan la descarga de alguna aplicación o archivo; tengan tono alarmista y pretendan que realices una acción con urgencia; su remitente contenga letras o caracteres extraños y no se corresponda con la dirección oficial de la compañía o persona suplantada.
- Recuerda que BBVA nunca te enviará mensajes SMS con enlaces ni te solicitará información bancaria, como tus claves de acceso a la banca online o códigos de un solo uso (OTP) a través de emails, SMS o llamadas entrantes.
- No descargues documentos, programas o vídeos de páginas web que no sean seguras (las páginas web seguras comienzan por https://) o a las que has accedido a través de un enlace incluido en un correo electrónico o en un SMS si no estás seguro/a de su origen. Se recomienda descargar siempre las aplicaciones desde los mercados oficiales.
- Mantén actualizados el sistema operativo, las aplicaciones y el navegador de tus dispositivos.
- Ten actualizados y en funcionamiento los programas antivirus y antimalware que tu compañía tenga instalados en tu equipo.
- Utiliza con discreción las redes sociales de tu empresa e impide que los ciberdelincuentes puedan utilizar la información que publicas para llevar a cabo algún ataque.
- Para prevenir una estafa de tipo Fraude al CEO, si recibes un email en el que te solicitan realizar una transferencia urgente sin seguir los procedimientos de autorización habituales, contacta directamente con la persona por vía telefónica para confirmar si ha sido ella quien realmente ha efectuado la petición.
- Ten copias de seguridad actualizadas para recuperar la información en caso de pérdida accidental o daño intencional (ataque ransomware). Es recomendable realizar dos copias de seguridad en sitios diferentes y desconectadas del sistema.
- Es necesario llevar a cabo un programa de concienciación de los empleados en materia de ciberseguridad, así como difundir y reforzar una cultura de seguridad entre ellos.