En los últimos 5 años, el FBI ha recibido una media de 652.000 denuncias anuales relacionadas con las ciberestafas que afectan a todo el mundo. En un reciente estudio que han publicado desvelan como las pérdidas económicas se han duplicado en los dos últimos años hasta alcanzar la cifra de 10.300 millones de dólares. Ahora, desde Proofpoint han analizado algunas de las conclusiones reflejadas en ese informe con datos muy reveladores relacionados con el correo electrónico.
Los ataques BEC lideran las pérdidas en ciberdelincuencia
La vulneración de correo electrónico de empresas o ataques BEC (Business Email Compromise) destaca por ser una estrategia eficaz, acaparando un 27% de las pérdidas en ciberdelincuencia. El año pasado, las empresas globales perdieron más de 2.700 millones de dólares por estas estafas, unos 300 millones más que en 2021. Unas pérdidas casi 80 veces mayores que las del ransomware. Cada incidente BEC puede costarle a la empresa afectada unos 124.000 dólares.
El número de víctimas de los ataques BEC crece asimismo año tras año, casi un 10%. Según el informe State of the Phish 2023 de Proofpoint, el 75% de los encuestados dijo que su organización había sufrido al menos un ataque BEC en 2022. Un dato que recoge la realidad de 7.500 usuarios y 1.050 profesionales de seguridad TI en 15 países, incluido España. Aquí se refleja también esa subida: un 90% de empresas españolas encuestadas experimentó un ataque BEC en 2022, un 13% más respecto al año anterior. Esto puede deberse a que ha aumentado el uso de idiomas como el español en estas amenazas.
Entre las estafas más comunes se encuentran aquellas que incluyen emails de proveedores, redireccionamiento de nóminas o fraudes inmobiliarios, aunque poco a poco dejan a paso a tácticas más sofisticadas. El FBI ha detectado casos en los que los ciberdelincuentes convencen a sus víctimas para que envíen fondos a plataformas de criptomonedas, que luego se transfieren rápidamente sin ser rastreados por las instituciones bancarias; falsificaciones de números de teléfono de empresas legítimas para dar datos bancarios fraudulentos a los usuarios; o suplantaciones de la Administración Pública.
Se denuncia el phishing, pero hay reticencias con el ransomware
Basta con que una persona caiga ante la trampa del phishing para que los ciberdelincuentes obtengan la información que necesitan para penetrar en una organización, comprometer cuentas, recaudar dinero o todo lo anterior. No sorprende, por tanto, que el phishing siga dominando la lista de amenazas, con un 38% de denuncias ante el FBI en 2022, así como una incidencia de un 84% en todo el mundo y un 90% en España, de acuerdo con los informes de Proofpoint sobre ese mismo año.
Por otro lado, según el FBI, en 2022 disminuyeron los incidentes de ransomware un 36%, con 2.385 denuncias comunicadas al IC3, reduciéndose también las pérdidas económicas derivadas de ello. Esto podría considerarse como una buena noticia, pero los expertos creen más probable que estas cifras se deban a la reticencia de las víctimas de ransomware a denunciar los incidentes a las fuerzas de seguridad, lo cual dificulta conocer el número real de afectados.
A pesar de estos datos, la investigación de Proofpoint sigue mostrando un alto nivel de ataques de ransomware en todo el mundo. Según su encuesta State of the Phish, el 64% de las organizaciones globales afirmó haber sido infectadas por ransomware en 2022, mientras que en España el 89% experimentó al menos un intento de ataque de este tipo; y lo que es más alarmante, en algunos casos se suelen producir múltiples incidentes de infección.
“Lo que está claro es que los ciberdelincuentes siguen explotando la vulnerabilidad humana con ingeniería social y nunca dejan de innovar en sus ataques”, afirma el equipo de investigación de Proofpoint. “El email continúa como el vector de amenaza número uno y, para defenderlo, se necesita una plataforma multicapa con controles de seguridad que incluyan la autenticación del correo, la educación en seguridad y la inteligencia compartida sobre amenazas”.