Refuerza las defensas de tu empresa ante el aumento de la ciberdelincuencia en vacaciones

Al entrar en la temporada de vacaciones, las empresas se preparan para su época más ajetreada y rentable del año, con las rebajas del Black Friday y el Cyber Monday, así como las ofertas de compras navideñas y las reservas de vacaciones en el horizonte. Al mismo tiempo, los ciberdelincuentes están preparando sus esfuerzos para aprovecharse del aumento del gasto en línea y la disminución de la vigilancia.

En los últimos años, los periodos vacacionales han registrado picos significativos de actividad ciberdelictiva y fraude en línea.

Según un informe del Anti-Phishing Working Group (APWG), este número de ataques de phishing supuso un nuevo récord en ese momento, y el peor trimestre para el phishing que la empresa haya visto jamás.

El Secretario General del APWG, Peter Cassidy, comentó: "El amanecer de la delincuencia por IA está sobre nosotros, incluso antes de que hayamos conseguido controlar el phishing convencional. Hoy nos enfrentamos a delincuentes robóticos que aprenden en el trabajo, 24 horas al día, en nombre de sus amos delincuentes".

Durante este periodo también se produjo un aumento del 550% en el número de tácticas, técnicas y procedimientos únicos utilizados por los atacantes, pasando de unas 2 000 en junio a unas sorprendentes 11 000 a finales de 2022.

El año pasado, el 27,7% de los ataques mundiales de phishing del cuarto trimestre se dirigieron a instituciones financieras. En la lista de objetivos también figuraban los proveedores de SaaS y correo web, así como los servicios de mensajería. También se insta a los minoristas a mejorar su ciberseguridad para proteger a los clientes durante la temporada de compras más ajetreada del año. Parece que ningún sector está a salvo de convertirse en objetivo de la ciberdelincuencia navideña.

Hay algunos factores que contribuyen a ello, como que la gente está más relajada y concentrada en las próximas vacaciones -lo que aumenta las probabilidades de éxito de un ataque de phishing-, así como el gran volumen de pagos en línea que se realizan.

Se prevé que las ventas mundiales de comercio electrónico durante la temporada navideña de 2022 alcancen los 5,5 billones de dólares y que en 2023 el mercado del comercio electrónico alcance los 6,3 billones de dólares en ventas.

Este periodo festivo, en el que aumentan las transacciones digitales con tarjeta de crédito y disminuye la concienciación, presenta la combinación perfecta de aumento de la actividad en línea y objetivos vulnerables para los ciberdelincuentes.

Los ciberdelincuentes utilizan diversas tácticas para defraudar a compradores y organizaciones desprevenidos durante la temporada navideña, desde el phishing hasta los sitios web falsos de reserva de hoteles y la recogida de credenciales. He aquí algunas formas de hacerlo:

1. Suplantación de identidad y sitios web falsos
   Los ciberdelincuentes pueden utilizar fraudulentamente nombres de marcas para robar datos confidenciales de los clientes. Un artículo reciente de Bleeping Computer informaba de que unos piratas informáticos atacaron Booking.com utilizando malware para robar información.Una vez que accedieron a la plataforma de reservas en línea, pudieron llegar a los clientes mediante mensajes de phishing o correos electrónicos que redirigían a los usuarios a un sitio web falso con el objetivo de robar la información de sus tarjetas. Como estos mensajes procedían de la plataforma del sitio de reservas, los clientes no tenían motivos para dudar de su legitimidad.La aparición de IA maliciosa también ha contribuido a que los correos electrónicos de spear-phishing sean cada vez más sofisticados y creíbles, imitando a remitentes de confianza.
2. ransomware
   Security Magazine informa de que el uso de ransomware ha aumentado más de un 30% en los periodos vacacionales de los últimos años.Un ataque de ransomware a la empresa de computación en nube Rackspace en diciembre de 2022 interrumpió los servicios de correo electrónico de miles de usuarios y expuso los registros de otras tantas empresas. Se cree que el incidente consistió en la explotación de vulnerabilidades en el servicio alojado Microsoft Exchange de Rackspace. La empresa declaró que el ataque podría suponer una pérdida de ingresos para su negocio de Exchange alojado, así como costes adicionales para mitigar sus efectos.
3. Infracciones de datos
   En octubre de 2022, Zoetop Business Company, propietaria de los gigantes del comercio electrónico Shein y ROMWE, fue multada con 1,9 millones de dólares por el estado de Nueva York tras no revelar una filtración de datos que afectó a 39 millones de clientes.Ese mismo mes, el mercado malicioso de tarjetas de crédito BidenCash publicó gratuitamente en la Dark Web los datos robados de 1,2 millones de tarjetas de crédito. Los expertos en ciberseguridad creen que se trataba de un intento de publicitar la siniestra plataforma de ventas.

Los ejemplos anteriores de ciberdelincuencia en la temporada navideña ponen de relieve varias formas en que las empresas y sus clientes pueden verse afectados si no se toman medidas combativas. Para las empresas, estos daños pueden incluir:

• Pérdidas financieras
• Daños a la reputación
• Disminución de la confianza de los clientes
• Robo de propiedad intelectual
• Acciones legales

Para proteger a su organización y a sus clientes durante el periodo navideño -y durante todo el año- es importante ser proactivo en materia de ciberseguridad. A continuación, analizamos cómo puede hacerlo su empresa.

1. Evaluar la vulnerabilidad
   Muchas empresas no son conscientes de las vulnerabilidades de ciberseguridad hasta que es demasiado tarde. Dedicar tiempo a comprobar aspectos como la puntuación de seguridad de su dominio puede ayudarle a hacer balance de su riesgo antes de actuar para mitigarlo.
2. Mantenga informados a clientes y empleados
   Recuerde a los empleados, clientes y otras partes interesadas las señales de advertencia a las que deben estar atentos en los mensajes de texto, correos electrónicos e incluso en las interacciones telefónicas. Cosas como las llamadas urgentes a la acción y la mala ortografía y gramática son algunas de las señales de advertencia que pueden poner al descubierto un intento de phishing.
3. Implemente medidas de seguridad adicionales
   Adelántese a los furtivos phishers y asegúrese de que sus dominios de correo electrónico están a salvo de la suplantación de identidad con capas de seguridad adicionales como la autenticación, notificación y conformidad de mensajes basada en dominios(DMARC). Esta tecnología garantiza que todos los correos electrónicos recibidos de su empresa son auténticos.Una vez que su dominio es compatible con DMARC, puede implementar BIMI, otro estándar de autenticación que permite mostrar el logotipo de su empresa junto a los correos electrónicos en las bandejas de entrada. Además de sus ventajas de seguridad, BIMI maximiza el impacto del correo electrónico, mejora la entrega y aumenta el reconocimiento de la marca y la confianza.
4. Aproveche la asistencia de expertos
   Contratar a un experto en DMARC como Sendmarc le garantiza que no dejará a su empresa y a sus accionistas vulnerables a las amenazas basadas en el correo electrónico durante estas fiestas.Con Sendmarc, su organización puede implementar rápidamente y sin problemas las normas de autenticación de correo electrónico para combatir la suplantación de marca, fraude por correo electrónico, así como ataques de phishing y spoofing.

Si desea obtener más información sobre las principales ciberamenazas y cómo su empresa puede defenderse de ellas, descargue nuestra Guía de concienciación sobre ciberseguridad, o póngase en contacto con nosotros para saber cómo podemos ayudarle a proteger su empresa y los datos de sus clientes durante el periodo vacacional.