Los cibercriminales siguen teniendo como objetivo a las personas, y no a la infraestructura de la organización, con ataques cada vez más avanzados y personalizados. De las empresas de servicios financieros objetivo, un 56% tenía a más de cinco empleados afectados por ataques BEC en el cuarto trimestre de 2018.
Aunque el fraude por correo electrónico no es una amenaza exclusiva de las empresas de servicios financieros, los empleados de esta industria son clave para los cibercriminales a la hora de conseguir ingresos muy atractivos. Un informe sobre fraudes por correo electrónico en la industria financiera de Proofpoint revela un crecimiento anual del 60% en este tipo de ciberataques a empresas de servicios financieros durante el último cuatrimestre de 2018, y subraya además que los cibercriminales siguen teniendo como objetivo a las personas, con ataques cada vez más avanzados y personalizados.
Dentro de la amplia categoría de estafas por correo electrónico destacan los ataques de compromiso del email corporativo (BEC), en los que los cibercriminales utilizan cualquier una identidad falsa para manipular a los usuarios. Estos ataques están diseñados socialmente para dirigirse a personas concretas dentro de las organizaciones de servicios financieros, que además pueden ejecutar acciones en nombre del atacante. Pues bien, según el informe, De las empresas de servicios financieros objetivo, un 56% tenía a más de cinco empleados afectados por ataques BEC en el cuarto trimestre de 2018.
Por otra parte, un 39% de los mails enviados desde dominios de empresas financieras parecía sospechoso o se categorizó como no verificado. De estos, el 68% se dirigía a empleados, el 36% a clientes y el 19% a socios empresariales.
Según Proofpoint, una seguridad efectiva contra este tipo de ataques requiere de un enfoque de la ciberseguridad centrado en las personas, que incluya una robusta defensa del correo electrónico, capacidades de bloqueo de amenazas entrantes y programas de concienciación en seguridad que ayuden a los usuarios a detectar mails fraudulentos. Desde la compañía, señalan que las organizaciones tienen que asumir que alguno de sus empleados hará clic donde no debe y, por tanto, deben poner en marcha una estrategia de ciberseguridad al servicio de los individuos más atacados y vulnerables, a fin de protegerlos contra ataques de suplantación internos y externos.
“Si un usuario hace clic en un enlace malicioso, puede exponer a toda una empresa y a sus clientes a un riesgo considerable, así como provocar pérdidas económicas importantes. Es fundamental que las organizaciones prioricen la implementación de soluciones con las que protegerse frente a estos ciberataques, especialmente en casos de suplantación de identidad o dominio, además de formar a sus empleados para que puedan identificar y reportar las amenazas que les lleguen a través del mail, redes sociales y páginas web”, apunta Ryan Kalember, vicepresidente ejecutivo de Estrategia de Ciberseguridad para Proofpoint.
ALD/itreseller