Aumentan los ciberataques a pymes durante la pandemia: los ciberdelitos más comunes

El Instituto Nacional de Ciberseguridad gestionó durante 2020 -el año de la pandemia- más de 133.155 incidentes de ciberseguridad, la mayoría de ciudadanos y empresas (10.6.466). Respecto a la tipología de los incidentes, el 35% correspondía a malware y el 32,02% a cualquier tipo de fraude, seguido de sistemas vulnerables, con un 17,39%. Muchos de los ciberataques los sufren las pequeñas y medianas empresas, y el coste medio de un ataque puede oscilar entre los 3.000 y los 35.000 euros, según datos del INCIBE.

Las ciberamenazas y fraudes que pueden afectar a empresas y autónomos son amplias, por ello conocer cuáles son, cómo identificarlas y qué hacer en caso de sufrir uno de estos incidentes de seguridad es muy importante para que la continuidad del negocio no se vea afectada.

Ransomware: Es un tipo de malware o software malicioso que afecta a la información contenida en los diferentes dispositivos impidiendo su acceso, generalmente cifrándola y solicitando un rescate económico a los afectados a cambio de poder recuperar su acceso.

Fuga de información: Una fuga de información o fuga de datos se produce cuando se pierde la confidencialidad de la información de la empresa. Dicha información solamente debería ser accesible el grupo de usuarios autorizado dentro de la organización. El problema se materializa cuando debido a un incidente de seguridad, dicha información es accesible por terceras personas no autorizadas.

Correos electrónicos con malware: Las campañas de correos electrónicos para distribuir malware son una de las principales vías de infección que utilizan los ciberdelincuentes para comprometer los dispositivos de las víctimas.

Ataques de tipo phishing: Es un tipo de fraude cometido generalmente a través del correo electrónico, aunque pueden utilizar otros medios, como mensajes SMS (smishing), redes sociales, aplicaciones de mensajería instantánea o llamadas telefónicas (vishing), cuyo objetivo principal es robar información confidencial y credenciales de acceso.

El fraude del CEO: Se trata de un ataque dirigido contra una víctima en concreto, de la cual se ha recopilado información previamente por distintos medios, como la página web corporativa, redes sociales "profesionales" o cualquier otro medio, cuyo objetivo es hacer que el ataque sea más creíble.

El fraude de RRHH: El fraude de RR.HH. utiliza técnicas similares al fraude del CEO pero en esta ocasión las víctimas son el personal de recursos humanos de la empresa y un empleado al que suplantan su identidad.

Ataques contra la página web corporativa: La página web de la empresa es un activo importante, los ciberdelincuentes buscarán atacarla por diversos motivos, como es hacerse con información confidencial, utilizarla para perpetrar nuevos ataques o simplemente para dañar la imagen de la organización.

El falso soporte de Microsoft: trata de un fraude donde el estafador suplanta la identidad de un técnico de Microsoft con el pretexto de solucionar ciertos problemas técnicos en el equipo, siendo su objetivo real comprometer la seguridad y privacidad del dispositivo afectado y, por lo tanto, de la propia empresa.

Ataques de denegación de servicios: Los ataques de denegación de servicio tienen como objetivo degradar la calidad de un servicio; por ejemplo, la página web corporativa, hasta dejarlo en un estado no funcional. Para conseguirlo los ciberdelincuentes saturan los recursos del sistema que aloja el servicio a interrumpir, enviándoles una avalancha de peticiones que no son capaces de atender.

Ataques de adware: El adware es un tipo de software malicioso cuyo objetivo es mostrar anuncios publicitarios a su víctima con el fin de generar ingresos a los ciberdelincuentes.

Suplantación de proveedores: Pueden llegar a ser un gran problema para las empresas, ya que, creyendo hacer una transferencia bancaria al proveedor legítimo, se realiza en realidad a un ciberdelincuencia.

Recomendaciones de seguridad

• Ante correos electrónicos de remitentes desconocidos se deben extremar las precauciones, ya que puede tratarse de una comunicación fraudulenta.
• Los remitentes de los correos electrónicos pueden estar falseados. Es necesario saber identificar este tipo de comunicaciones para evitar caer en el fraude.
• Un solo caracter en el nombre de dominio (web y correo electrónico) puede llegar a provocar un incidente de seguridad.
• Si un correo presenta enlaces externos a páginas web o documentos adjuntos, se han de extremar las precauciones, y es recomendable analizarlos con herramientas en línea o con el antivirus del dispositivo.
• Todos los dispositivos de la empresa y las herramientas que tienen instaladas estarán siempre actualizadas a la última versión disponible.
• Los dispositivos de la empresa contarán con aplicaciones antivirus instaladas y actualizadas.
• El correo electrónico no es el único canal de comunicación que utilizan los ciberdelincuentes. Se debe tener también especial precaución con llamadas telefónicas y comunicaciones de aplicaciones de mensajería instantánea, mensajes SMS o redes sociales.
• Ante solicitudes que requieran la modificación de datos bancarios, se debe verificar dicha solicitud por un canal de comunicación alternativo y confiable.
• Los correos de extorsión a causa de un supuesto vídeo privado son un fraude. Hay que eliminarlos directamente, ya que dicho vídeo no existe.
• Siempre se utilizarán contraseñas robustas para acceder a los distintos servicios corporativos. Además, se evitará reutilizar contraseñas en más de un servicio y, siempre que sea posible, habilitar un doble factor de autenticación.
• Se realizarán copias de seguridad periódicas de la información de la empresa y se comprobará que es posible su restauración.