La suplantación de identidad, también llamada “el fraude del CEO”, consiste en simular correos de un alto ejecutivo de la empresa a un trabajador para que este le facilite información o bien gestione algún pago. El modus operandi es sencillo: al trabajador o trabajadora se le ordena con distintos argumentos que facilite información sensible o bien que realice transferencias a cuentas que, en realidad, controlan los ciberdelincuentes.
Esta suplantación de identidad no deja de ser otra forma de ciberataque, que cada vez está más presente en el día a día de las organizaciones en España. Según informa Público, uno de cada seis delitos (16,3%) que se denuncian en España se cometen a través de internet: en concreto, 287.963 el año pasado de los 1.773.366. Y, de ellos, 257.907, casi nueve de cada diez entre los cibernéticos y uno de cada siete en el cómputo global, se encuadran en la categoría de “fraudes informáticos”, donde se incluye la suplantación de identidad y las sustracciones de datos, que crece a un ritmo de una denuncia cada 2 minutos.
Ciberataques en solo 1h y 32 minutos
Pero ¿cómo es posible que haya una denuncia cada 2 minutos? Si tenemos en cuenta que los ciberataques no suelen ser autoría de una sola persona, sino que existen auténticos grupos organizados que se dedican exclusivamente a encontrar brechas de seguridad, entenderemos por qué son tan prolíficos.
De acuerdo con el último informe anual de ciberamenazas realizado por CrowdStrike, el tiempo que tarda un ciberdelincuente en acceder a los sistemas de una organización una vez que ha conseguido romper las barreras se ha reducido hasta una hora y treinta y dos minutos. Es decir, consiguen sus objetivos en un tercio del tiempo que necesitaban hace un año, cuando, según los análisis de la compañía, un ciberdelincuente podía demorarse unas cuatro horas y media en comenzar sus movimientos laterales fuera del punto de ataque. De hecho, en una de cada tres intrusiones (36%), el adversario consiguió acceder a sus objetivos en menos de media hora. Estas cifras muestran cómo los criminales adaptan sus tácticas, técnicas y procedimientos de forma continua para acelerar sus ataques.
El “tráfico” de datos, objetivo principal de los ciberdelincuentes
¿Y qué se hace con los datos substraídos a través de la suplantación de identidad? Principalmente tienen dos usos: por un lado, la explotación directa para comprar productos y efectuar transferencias de dinero. El segundo motivo, el más habitual, consiste en vender esos datos a otros delincuentes en webs especializadas y foros de la ‘dark web’, como ocurrió con el caso del ciberataque a Twitch.
Según explica Alberto Redondo, comandante de la Unidad Técnica de la Policía Judicial de la Guardia Civil especializada en ciberdelincuencia en declaraciones a Público, los ciberdelitos son cada vez más sofisticados y muy transversales: “varía la víctima, la tecnología, el objetivo. [Los ciberdelincuentes] realizan labores de ingeniería social, planificación, estudios de mercado, análisis de posibles víctimas, seguimientos en redes sociales; con mayor intensidad cuanto mayor es el objetivo”.
Como decíamos, no es de extrañar que con tanta preparación los ciberdelincuentes sean capaces de “engañar” a los trabajadores de una organización, la principal vía de entrada para este tipo de ciberataques, y arrasar con todo en muy poco tiempo.
La Suplantación de identidad o Fraude del CEO en España
Según el diario económico Expansión, España es el tercer país del mundo -solo por detrás de Brasil y Australia- con mayor proporción de ataques de phishing, además de que la suplantación de identidad ha crecido de forma espectacular durante 2020. Según Expansión, el Fraude del CEO ha costado ya 10.000 millones a las empresas, aunque la cifra puede ser aún mayor ya que muchas compañías no reconocen haber caído en el timo porque este tipo de estafas, aparte de los daños económicos, expone gravemente la reputación de una organización.
El peligro de sufrir un ciberataque de estas características es cada vez más frecuente. De hecho, la suplantación de identidad es el tipo de estafa que más se ha reportado en España durante el último año, seguido por los ataques de phishing y el fraude documental según el Informe sobre el estado del fraude en España 2019-2020 realizado por la asociación española de empresas contra el fraude (AEECF).
Según este informe, el importe total de pérdida por motivos de fraude en 2019 va desde los 300.000 euros hasta el de millón de euros, dependiendo del tipo de empresa y la gravedad del ataque.
Si nos centramos en dónde se concentra el número más elevado de ciberataques, Madrid destaca como la Comunidad Autónoma con el mayor índice de fraude informático, seguida de Andalucía.
Según la AEECF, el mejor aliado para la prevención del fraude es la implementación de medidas relacionadas con tecnología avanzada para la verificación de identidad, como la analítica avanzada o la Inteligencia Artificial. En términos de presupuesto para prevenir el fraude, solo en 2020 un 70% de las empresas ya contaba con más de 50.000€ para prevenir los ciberataques.
Las administraciones públicas, en el punto de mira
Las Administraciones Públicas hace tiempo que asumieron la necesidad de emprender una transformación integral para convertirse en una Administración Digital, tanto de puertas adentro (empleados públicos) como de puertas afuera (ciudadanos y empresas). El objetivo no fue otro que culminar la transición de “Ciudadano Administrado” a “Ciudadano Usuario” con una clara orientación a la prestación de Servicios Públicos Digitales, con el concepto de “Data Centric & Citizen Centric” como paradigma de la Transformación Digital en las Administraciones Públicas.
Sin embargo, las administraciones públicas no solo no están absentas de los ciberataques, sino que se han convertido en un claro objetivo para los ciberdelincuentes.
Sin ir más lejos, se ha cumplido un mes desde que el Ayuntamiento de Sevilla detectara que había sido estafado por ciberdelincuentes. Los ciberdelincuentes lograron suplantar la identidad de la compañía adjudicataria del contrato de las luces de Navidad del año pasado. A través de un correo electrónico haciéndose pasar por la empresa, solicitaron el cambio de cuenta donde la Tesorería municipal debía ingresar el pago por el servicio prestado. Y de esa manera voló casi un millón de euros de las arcas públicas.
Los ciberdelincuentes intervienen cuando saben que hay pendiente el pago de algún contrato para solicitar un cambio en el número de cuenta y redirigir los fondos a una que ellos controlan. Aquí es donde el Ayuntamiento de Sevilla responsabiliza de lo ocurrido al ataque sufrido por la contratista, la firma murciana Elecfes. Sus correos fueron suplantados y uno de ellos llegó a la Tesorería municipal informando de donde se debían abonar 962.797 euros por el montaje del alumbrado de la Navidad de 2020. Según el diario ABC, esa comunicación fraudulenta iba acompañada de un certificado bancario que resultó ser falso, lo que hizo que el trabajador que recibió ese correo no sospechara.
En este caso, los ciberdelincuentes pudieron actuar desde un servidor falso suplantando la cuenta de correo de la empresa, pero ¿se adoptaron todas las medidas para verificar que ese correo que pedía algo tan sensible no era falso? La falta de concienciación frente a posibles ciberataques mediante correo electrónico es clave en este tipo de fraudes.
El Ayuntamiento de Sevilla no es un caso aislado, sino que según ABC son más de una docena los ayuntamientos que en los últimos meses han picado en el anzuelo de los ciberdelincuentes realizando pagos que debían haber ido a parar a sus contratistas.
Otro de los casos más recientes y mediáticos de ciberataque a una administración pública es el de la Universidad Autónoma de Barcelona (UAB), a la que los ciberatacantes piden 3 millones de euros.
Por su parte, Javier Lafuente, rector de la UAB, ha declarado que están realizando una “autopsia” de la situación y que ya “han encontrado ficheros que indican quién está detrás” del ciberataque. Además, Lafuente ha dejado claro que no le consta que los ciberatacantes hayan pedido ese rescate de 3 millones de euros porque “no se han puesto en contacto con ellos ni piensan hacerlo” y que no preguntarán qué tipo de rescate quieren porque “no piensan pagar”.
Dejando de lado la negativa a realizar el pago, lo que parecía una caída temporal del sistema de la UAB ha acabado convirtiéndose en un problema serio que, según la propia institución, parece estar lejos de solucionarse.
El ciberataque no solo se ha llevado el wifi de todo el campus por delante, sino también las herramientas básicas como el campus virtual, el portal de servicios y trámites en línea o el servicio de bibliotecas, que ahora cuenta con una página provisional para que los alumnos puedan consultar los catálogos y resolver sus dudas. Además, el sistema de mensajería electrónica también ha caído, dejando en la nube trámites de vital importancia para los estudiantes como la asignación del profesorado para el trabajo de final de grado. En el mejor de los casos, se espera que el sistema se recupere antes de Navidad, pero esta fecha aún queda muy lejos tanto para los más de 37.000 estudiantes como para los casi 4.000 docentes que forman parte de la Universitat Autònoma de Barcelona.
Cómo prevenir la suplantación de identidad y proteger el correo electrónico
Una de las mejores formas de proteger a nuestra organización frente a ataques a través de correo electrónico es el protocolo de autenticación DMARC, que suministra protección a nivel de dominio, detecta y evita las técnicas de suplantación de identidad. Con DMARC:
- Protegemos a las personas de nuestra organización, que se han convertido en el objetivo de los ciberdelincuentes.
- Protegemos nuestra imagen de marca, ya que no podemos permitir en ningún caso que alguien envíe a nuestros clientes o proveedores una campaña en nuestro nombre.
- Nos aseguramos de que las comunicaciones que recibimos sean fiables y veraces.
En Open3s apostamos por una solución integral de protección ante las principales amenazas existentes (ransomware, BEC y phishing), centrada en el principal vector de ataque actual: el correo electrónico y las personas.
Si quieres saber más sobre cómo proteger a tu organización de los ataques de ransomware, descárgate nuestro Open Paper: