En los últimos cinco años, el FBI ha recibido una media de 652.000 denuncias anuales sobre ciberestafas que afectan a víctimas de todo el mundo.
En su reciente estudio sobre crímenes en internet apunta que las pérdidas económicas por fraude electrónico se han más que duplicado en solo dos años, pasando de 4.200 millones de dólares en 2020 a 10.300 millones de dólares en 2022. Expertos en ciberseguridad de Proofpoint han analizado algunas de estas conclusiones del Informe del IC3 del FBI para que las organizaciones y su gente comprendan el riesgo que supone desproteger el principal vector de amenaza: el correo electrónico.
Los ataques BEC lideran las pérdidas en ciberdelincuencia
La vulneración de correo electrónico de empresas o ataques BEC (Business Email Compromise) destaca por ser una estrategia eficaz, acaparando un 27% de las pérdidas en ciberdelincuencia. El año pasado, las empresas globales perdieron más de 2.700 millones de dólares por estas estafas, unos 300 millones más que en 2021. Unas pérdidas casi 80 veces mayores que las del ransomware. Cada incidente BEC puede costarle a la empresa afectada unos 124.000 dólares.
El número de víctimas de los ataques BEC crece asimismo año tras año, casi un 10%. Según el informe State of the Phish 2023 de Proofpoint, el 75% de los encuestados dijo que su organización había sufrido al menos un ataque BEC en 2022. Un dato que recoge la realidad de 7.500 usuarios y 1.050 profesionales de seguridad TI en 15 países, incluido España. Aquí se refleja también esa subida: un 90% de empresas españolas encuestadas experimentó un ataque BEC en 2022, un 13% más respecto al año anterior. Esto puede deberse a que ha aumentado el uso de idiomas como el español en estas amenazas.
Entre las estafas más comunes se encuentran aquellas que incluyen emails de proveedores, redireccionamiento de nóminas o fraudes inmobiliarios, aunque poco a poco dejan a paso a tácticas más sofisticadas. El FBI ha detectado casos en los que los ciberdelincuentes convencen a sus víctimas para que envíen fondos a plataformas de criptomonedas, que luego se transfieren rápidamente sin ser rastreados por las instituciones bancarias; falsificaciones de números de teléfono de empresas legítimas para dar datos bancarios fraudulentos a los usuarios; o suplantaciones de la Administración Pública.
Se denuncia el phishing, pero hay reticencias con el ransomware
Basta con que una persona caiga ante la trampa del phishing para que los ciberdelincuentes obtengan la información que necesitan para penetrar en una organización, comprometer cuentas, recaudar dinero o todo lo anterior. No sorprende, por tanto, que el phishing siga dominando la lista de amenazas, con un 38% de denuncias ante el FBI en 2022, así como una incidencia de un 84% en todo el mundo y un 90% en España, de acuerdo con los informes de Proofpoint sobre ese mismo año.
Por otro lado, según el FBI, en 2022 disminuyeron los incidentes de ransomware un 36%, con 2.385 denuncias comunicadas al IC3, reduciéndose también las pérdidas económicas derivadas de ello. Esto podría considerarse como una buena noticia, pero los expertos creen más probable que estas cifras se deban a la reticencia de las víctimas de ransomware a denunciar los incidentes a las fuerzas de seguridad, lo cual dificulta conocer el número real de afectados.
A pesar de estos datos, la investigación de Proofpoint sigue mostrando un alto nivel de ataques de ransomware en todo el mundo. Según su encuesta State of the Phish, el 64% de las organizaciones globales afirmó haber sido infectadas por ransomware en 2022, mientras que en España el 89% experimentó al menos un intento de ataque de este tipo; y lo que es más alarmante, en algunos casos se suelen producir múltiples incidentes de infección.
“Lo que está claro es que los ciberdelincuentes siguen explotando la vulnerabilidad humana con ingeniería social y nunca dejan de innovar en sus ataques”, afirma el equipo de investigación de Proofpoint. “El email continúa como el vector de amenaza número uno y, para defenderlo, se necesita una plataforma multicapa con controles de seguridad que incluyan la autenticación del correo, la educación en seguridad y la inteligencia compartida sobre amenazas”.
Más información
- Cómo ejecutar una prueba de phishing con éxito para tus empleados
- Los 10 ciberataques de phishing en los que más suelen «picar» los empleados
- 7 formas prácticas de proteger a tu empresa de los piratas informáticos y los ataques de phishing
- Los emails phishing más difíciles de detectar para los empleados
- El auge de las estafas BEC contra empleados: así funcionan las tácticas más lucrativas del cibercrimen