ALMERÍA.- La Guardia Civil de la Comandancia de Almería a través de los Equipos de Investigación Tecnología (EDITE) y el Equipo @ advierte del aumento de estafas dirigidas a las pequeñas y medianas empresas (PYMES).
Los ciberdelincuentes ponen su punto de mira en la PYMES, debido a la cantidad de transacciones económicas que efectúan, de menor cuantía, aunque más numerosas que en las grandes empresas y la menor inversión en soluciones de protección en ciberseguridad, incluyendo actualización de conocimientos en hábitos de uso seguro de internet. La inexistencia, en ocasiones, de un departamento de seguridad informática propio que mantenga permanentemente actualizados los sistemas y formados a los trabajadores, o externalización de este servicio, recurriendo en muchas ocasiones a empresas externas que, a pesar de su profesionalidad y de hacer un trabajo excepcional, en algunas ocasiones pueden no ser capaces de cubrir la demanda concreta que cada una de estas empresas necesita para neutralizar este tipo de ciberdelitos.
• “Man In The Middle” o “Business Email Compromise”. Este modus operandi es muy recurrido actualmente por los delincuentes para obtener beneficios fraudulentamente de forma que, una empresa vende a otra un producto o servicio, donde la factura, con todos los detalles de la transacción, el importe y el número de cuenta de abono, se remite por correo electrónico, momento en el que justo antes del envío, los ciberdelincuentes, realizan una intrusión en la relación entre ambas empresas, lo que les permite hacerse con el control de sus comunicaciones y monitorizarlas, de esta manera interceptan la factura, modifican el número de cuenta bancaria de abono y hacen llegar la factura modificada al pagador que realiza el abono, sin reparar en que éste no es el habitual. Cuando el cobrador reclama el pago de la factura, se descubre el engaño.
• Ransomware. Una empresa recibe un correo electrónico aparentemente legítimo que contiene un archivo adjunto o un enlace a una página web. El receptor del correo accede al archivo adjunto o a la dirección web y sin que se dé cuenta, descarga en el equipo un software malicioso que trabaja, sin ser detectado, mapeando la red informática corporativa para encriptar de forma eficaz todos los archivos entrantes, dejándolos inaccesibles salvo que las víctimas accedan a pagar un “rescate”, normalmente en algún tipo de criptomoneda de difícil rastreo, a cambio de obtener la herramienta y la clave de desencriptación, hecho, que no siempre ocurre.
A pesar de que las ciberamenazas que pueden afectar a las PYMES son muchas más, (falsas fugas de datos, el Malware-as-a-service o los ataques a la nube), estos dos modus operandi son, actualmente, los que más impacto están teniendo entre las empresas almerienses.
¿Qué pueden hacer las PYMES para evitar ser objeto de estos ciberdelitos?
En primer lugar, conocer el funcionamiento de estas estafas, ayudará en gran medida a evitar ser víctima de ellas.
Al detectar un cambio de cuenta de abono de una factura, se recomienda contrastarlo por un medio diferente al correo electrónico, como una llamada telefónica al responsable de facturación de la otra empresa.
La formación periódica del personal en hábitos de navegación seguros es fundamental, aprendiendo a detectar correos electrónicos sospechosos y evitando la apertura de documentos adjuntos a correos de dudosa procedencia o no solicitados.
Inversión en soluciones informáticas de seguridad como antivirus o firewalls, mantener el software actualizado y realizar copias de seguridades periódicas y redundantes.
Los dos consejos más importantes:
• El uso de contraseñas seguras, diferentes para cada servicio y que sean cambiadas de forma periódica.
• Aprender a detectar las técnicas de ingeniería social: esa manipulación psicológica dirigida a conseguir que las víctimas revelen información confidencial para, de este modo, no facilitar esa información corporativa sensible o de seguridad a personas desconocidas, aunque se identifiquen como miembros de la propia empresa o de departamentos técnicos, sin requerir una segunda forma de verificar la identidad del solicitante.
Desde la Comandancia de la Guardia Civil de Almería se recomienda agudizar la prudencia, redoblando esfuerzos de verificación de sistemas (correos electrónicos, llamadas telefónicas, etc.) y fundamental, la formación continua y sistemas de seguridad como mejores armas para prevenir este tipo de delitos.
