En la diana del ciberdelito: de la falsa llamada del jefe al 'ransomware'
Los amigos de lo ajeno echan mano de tácticas cada vez más depuradas para 'desplumar' a sus víctimas y las empresas son grandes objetivos por el volumen de fondos con el que operan. Para prevenir a sus 400 socios, la Asociación Área Empresarial do Tambre ha difundido un documento informativo de la Policía Nacional avisando de los principales ciberdelitos que, hoy por hoy, tienen en la diana al sector productivo. Con los ataque informáticos y la ingenería social como pilares, los 'golpes' más repetidos son cuatro.
El fraude del Ceo
El modus operandi consiste en engañar a los empleados que tienen acceso a la caja para que paguen una factura falsa o hagan una transferencia. ¿Cómo lo hacen? La Policía Nacional explica que primero se informan sobre el director general en fuentes abiertas e incluso recurren a software malicioso para controlar el correo electrónico de la empresa con el fin de conocer su "mecánica de funcionamiento". Lo siguiente es suplantar la identidad del alto directivo aprovechando, por ejemplo, que está de viaje de negocios.
Así, por ejemplo, "ordenan una transferencia" a un empleado indicándole que se trata de una operación "discreta, confidencial o urgente". Suelen hacer referencia a una inspección fiscal, a la compra de otra empresa, solicitar "absoluta confidencialidad" y que el pago se haga a un banco de fuera de Europa, todos ellos elementos que deben encender las alarmas. El método utilizado puede ser una llamada telefónica o un correo.
Entre otras recomendaciones, la Policía receta concienciar a los empleados de que deben ser "precavidos" cuando les soliciten un abono, implantar protocolos internos para los pagos y un procedimiento de verificación de la legitimación de las solicitudes de pago y limitar la información de la empresa en la web.
El correo electrónico corporativo comprometido
Es una variante del fraude del Ceo que consiste en que los atacantes han comprometido un correo de la empresa y, suplantando la identidad de un proveedor, consiguen que la víctima proceda a abonar una factura mediante transferencia. En este caso, a las recetas anteriores se suman consejos como establecer un punto de contacto único con las firmas con las que se opere habitualmente para evitar disgustos y verificar especialmente las peticiones de acreedores que pidan cambiar datos bancarios.
El secuestro de información o 'ransomware'
Es un software malicioso que cifra todo el contenido de la red corporativa y "todos los dispositivos conectados a ella" para luego solicitar a la compañía "un rescate" a cambio de la contraseña de desbloqueo. La Policía Nacional señala que la amenaza puede consistir en que publiquen la información mercantil en la 'dark web'.
Para evitar caer, hay que prestar atención a correos extraños con archivos adjuntos. Al descargarlos el malware se instala y ejecuta. Los malhechores también pueden entrar "aprovechando vulnerabilidades" o configuraciones de seguridad deficientes en los equipos o en dispositivos externos de empleados que estén infectados y se conecten a los ordenadores de la empresa.
La falsa llamada del jefe
Sucede cuando, mediante una llamada telefónica, el interlocutor, en contacto con el jefe de la empresa, informa de que un paquete debe ser entregado, que toca pagar un impuesto de inmediato o recoger una notificación. La víctima cae al creer que es una orden de su superior, con el que no puede comunicarse al estar cautivo en el fijo y el móvil al mismo tiempo para que no pueda comprobar la veracidad de la información recibida.
Los ciberdelincuentes han conseguido, por esta vía, que víctimas acudan a locales cercanos a comprar tarjetas PaysafeCard e incluso criptomonedas remitiendo los códigos de los efectos comprados a través de Whatsapp.