Fraudes en la red, cuidado con los ciberdelincuentes

En los últimos meses, se ha experimentado un importante aumento de fraudes en la red, y son varias las modalidades que utilizan los ciberdelincuentes para hacerse con su botín.

Lanzamos este post para informar de los tres fraudes realizados por internet más comunes y cómo prevenirlos. Aunque no vamos a profundizar técnicamente en cómo se llevan a cabo, si os vamos a dar unas pautas para saber cómo actuar ante diferentes casos. Este post va dirigido a los financieros y responsables de realizar pagos en las empresas, principales objetivos de los ciberdelincuentes.

¡Empezamos!

Fraude de facturas

Este fraude por internet se basa en la solicitud, por parte del estafador, del cambio de cuentas bancarias para la realización de los pagos mediante transferencia, o por la modificación de las propias facturas del proveedor.

¿Cómo lo hacen?

• • Alguien se hace pasar por el proveedor y contacta con tu empresa.
  • Combinan varias formas de contacto, como teléfono, carta, email, etc.
  • El estafador solicita que se cambien los datos bancarios para el pago de las próximas facturas, esta cuenta será la que controle el estafador.

 

¿Qué puedes hacer si eres empresa?

• • Asegúrate de informar a tus empleados para que conozcan este tipo de fraudes.
  • Crea un procedimiento de verificación antes de realizar pagos que garantice la legitimidad de las solicitudes de pago.
  • Revisa la información publicada en la web, especialmente la dirigida a suministros y proveedores. Asegúrate de no compartir estos datos en redes sociales y de que tu personal tampoco lo haga.

 

¿Qué hacer como empleado?

• • Siempre que te proporcionen un número de cuenta nuevo, verifícalo por otra vía, como teléfono, burofax, reunión personal, etc.
  • No uses los datos de contacto de una carta, fax o email para responder a una solicitud de cambio de datos bancarios, en su lugar, contacta por tus canales habituales o utiliza correspondencias anteriores.
  • Establece un punto de contacto único con las empresas a las que realizas pagos habitualmente.
  • Cuando realices un pago, envía un correo electrónico al destinatario para informarle, incluyendo el nombre del banco y los últimos 4 dígitos de la cuenta de abono.
  • Evita compartir información de tu empresa en redes sociales.

 

 

Fraude al CEO

El fraude al CEO tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o haga una transferencia desde la cuenta de la compañía.

¿Cómo lo hacen?

• • El estafador llama o envía correos electrónicos haciéndose pasar por el alto cargo de la compañía.
  • Han investigado y conocen bien la compañía y al alto cargo al que suplantarán, así como al responsable financiero.
  • Solicitan realizar un pago urgente.
  • Utilizan expresiones como “la compañía confía en ti”, “ahora no estoy disponible”, “esto es confidencial”…
  • Hacen referencia a una situación delicada, como una inspección fiscal, una fusión o adquisición importante, etc.
  • El pago suele requerirse a bancos fuera de Europa.
  • Solicita al financiero que no siga los procedimientos de autorización habituales debido a la urgencia y la importancia de concluir la operación.

 

¿Cómo identificar este fraude?

• • Recibir una llamada telefónica o correo electrónico no solicitado.
  • El alto cargo al que suplantan es alguien con quien normalmente no estás en contacto.
  • El alto cargo al que suplantan se encuentra de viaje y no estará disponible, situación que el ciberdelincuente conoce y de la que se aprovecha.
  • Presión y carácter de urgencia.
  • Solicitud fuera de lugar que contradice los procedimientos internos.
  • Amenazas, comentarios aduladores o promesas de gratificación.

 

¿Qué debes hacer si eres empresa?

• • Sé consciente de los riesgos e informa a los trabajadores.
  • Pide a tu equipo que sean precavidos ante solicitudes de pagos.
  • Implanta un procedimiento para garantizar que las solicitudes de pago son legítimas.
  • Crea protocolos internos para realizar pagos.
  • Establece procedimientos para gestionar fraudes.
  • Revisa el contenido de tu web, limita la información y sé precavido en el uso de las redes sociales.
  • Mantén tus sistemas actualizados y seguros.
  • Avisa siempre a los cuerpos de seguridad, aunque hayas evitado el fraude.

 

¿Qué hacer si eres un trabajador con responsabilidad financiera?

• • Respeta los procedimientos de seguridad, no te saltes ningún paso y no cedas a la presión.
  • Revisa las direcciones de correo a las que mandas mensajes, suelen utilizar alias, pero el correo electrónico no será el correo real, sino uno parecido.
  • Ante cualquier duda, consulta a un compañero/a o superior.
  • No abras enlaces o adjuntos sospechosos en tu email, ten mucho cuidado si utilizas tu correo personal en tu puesto de trabajo.
  • Limita la información y sé precavido en las redes sociales.
  • No compartas información sobre la seguridad o procedimientos internos de la empresa.
  • Ante una llamada o correo sospechoso, informa al departamento de informática.

 

“Phishing” bancario por email

El término “phishing” hace referencia a los correos electrónicos fraudulentos que engañan a los destinatarios haciéndose pasar por conocidos, es decir, suplantando la identidad de otras personas, para que compartan su información personal, financiera o de seguridad.

 

¿Cómo lo hacen?

• • Estos correos electrónicos pueden parecer idénticos al tipo de correspondencia que envían los bancos reales. Copian los logotipos, el diseño y el tono de los correos electrónicos reales.
  • Te piden que descargues un documento adjunto o que hagas clic en un enlace.
  • Usan un mensaje que transmite un sentido de urgencia.
  • Los ciberdelincuentes se aprovechan del estrés del día a día, a simple vista sus correos parecen ser legítimos, y las prisas por responder o solucionar una consulta de nuestra entidad puede ser fatal.
  • Ten especial cuidado si utilizas tu móvil o tablet, en estos dispositivos puede ser más difícil identificar el intento de phishing.

 

¿Qué puedes hacer?

• • Mantener tus aplicaciones actualizadas, incluyendo navegador, antivirus y sistema operativo.
  • Atención a cualquier correo electrónico “de tu banco” que solicite datos como contraseña, número de cuenta… Los bancos NUNCA piden información por esta vía.
  • Revisa el correo con cuidado, habitualmente contienen errores gramaticales o de ortografía.
  • No respondas nunca a un correo sospechoso. Si lo deseas puedes reenviárselo a tu banco escribiendo tu el correo electrónico real para informarles.
  • No hagas clic en ningún enlace ni descargues ficheros.

En caso de duda, llama a tu banco o usa tu canal de acceso habitual, nunca desde los enlaces del correo electrónico recibido.

 

Algunos datos de interés

Según un Informe sobre el Estado del Fraude en España en el periodo 2020-2021, que aporta la Asociación Española de Empresas Contra el Fraude, el fraude se ha incrementado durante la situación excepcional que ha marcado la pandemia COVID-19. Se estima que el fraude online es el canal más utilizado, con una cuota del 75%.

El fraude por internet que más sufren las empresas españolas es el fraude de identidad de cliente o fraude al CEO, seguido del fraude de Facturas o fraude documental y el fraude a través de Phishing.

 

Ciberataques

En los casos de fraude por internet mencionados, si bien no precisan de fuertes ataques a infraestructuras y sistemas, se vienen utilizando ciertas técnicas que se aprovechan de sistemas obsoletos y pocas o ninguna medida de seguridad. Por esto, y por la cantidad de ataques que nuestra organización puede sufrir a través de la red, es altamente recomendable disponer de sistemas actualizados con sistemas antivirus, antimalware, antispam y que dispongan de una política de actualización adecuada.

A continuación, os proponemos que visitéis el mapa de ciberataques en tiempo real que la empresa Fortinet pone a nuestra disposición, veréis que «es un no parar».