La ciberdelincuencia ha costado a organizaciones y particulares más de 4.000 millones de dólares en 2020

Un nuevo informe publicado por el FBI ha revelado que a los estadounidenses les robaron más de 4.000 millones de dólares debido a la ciberdelincuencia en 2020. También se encontró en el Informe de Delitos en Internet 2020 el hecho de que el Centro de Denuncias de Delitos en Internet (IC3) vio un aumento del 69% en comparación con lo reportado 2019.

Otras investigaciones han demostrado que los tres principales delitos denunciados por las víctimas en 2020 fueron las estafas de phishing, las estafas de impago/no entrega y la extorsión.

Se destacó que la mayoría de las víctimas habían perdido la mayor cantidad de dinero por estafas de compromiso de correo electrónico comercial (BEC), esquemas de romance y confianza, y fraude de inversión. No es de extrañar que en 2020 aparecieran estafas que se aprovechaban de la pandemia del COVID-19, y que los piratas informáticos estuvieran dispuestos a aprovechar el caos, la perturbación y el miedo del público. En total, el IC3 recibió más de 28.500 denuncias relacionadas con el COVID-19, y los estafadores se dirigieron tanto a empresas como a particulares.

También existe una tendencia notable y preocupante de que los hackers se hagan pasar por funcionarios del gobierno e interactúen con el público a través de las redes sociales y otros métodos tradicionales de comunicación para obtener información sensible y dinero.

El objetivo del IC3 es ofrecer al público un mecanismo fiable y cómodo para denunciar al FBI cualquier sospecha de delito en Internet. A continuación, el FBI analiza y comparte la información de las denuncias presentadas con fines de investigación e inteligencia, para la aplicación de la ley y para la concienciación del público.

El informe completo puede encontrarse aquí:

https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Los siguientes expertos en ciberseguridad aportan su visión y comentarios sobre las conclusiones del informe:

James McQuiggan, defensor de la concienciación sobre la seguridad en KnowBe4:

El informe sobre la delincuencia en Internet de 2020 del IC3 ofrece una excelente visión de los diversos ataques que se producen en todo tipo de organizaciones. No es de extrañar que el compromiso del correo electrónico de negocios (BEC) lidere las pérdidas de las víctimas con algo más de 1.870 millones de dólares, perdidos por menos de veinte mil víctimas.

En comparación, todo lo relacionado con el phishing, incluyendo el SMSishing y el spear phishing, tiene un recuento de víctimas de casi un cuarto de millón de personas. El impacto total es de más de 54 millones de dólares perdidos, que se redujo ligeramente con respecto al año anterior, de 57 millones de dólares. Sin embargo, el recuento de víctimas se duplicó a partir de 2019 en el phishing, por lo que se atacó a más personas, pero la cantidad perdida estuvo muy cerca.

Las estadísticas de este informe pueden proporcionar a los equipos de TI y ciberseguridad munición para discutir con la alta dirección de su organización la necesidad de evaluar los riesgos y los costos para mitigar esos riesgos en comparación con las pérdidas como resultado de una estafa BEC o un ataque de phishing.

Martin Jartelius, CSO de Outpost24:

» La mayoría de las estafas de phishing se basan en alcanzar una necesidad, un deseo, un miedo, y manipularlo. La sofisticación del phishing en general ha crecido considerablemente. Ya no se puede reconocer a los «príncipes nigerianos» por sus correos electrónicos de baja calidad o por su contenido, hemos visto phishing en perfecto inglés, sueco y holandés, sea cual sea el idioma que hable su objetivo.

A nivel técnico, las estafas BEC también han evolucionado, la infraestructura utilizada ya no es una simple dirección de Gmail o Hotmail quemada, sino una compleja red de hosts comprometidos, cuentas de correo electrónico e infraestructura dedicada por objetivo. Compran dominios similares a su objetivo, con pequeñas faltas de ortografía, y localizan sus objetivos dentro de la organización.

Estamos asistiendo a una evolución en la que los ataques dirigidos se están convirtiendo en una mercancía para los phishers. Muchas organizaciones pasan por alto el hecho de que lo que para ellos se percibe como un «ataque de phishing altamente dirigido» es para estos estafadores sólo un dominio recién registrado, un perfil de LinkedIn raspado y una historia inventada. No es de extrañar, pues, que las cifras reveladas en este informe sean tan elevadas y, desde luego, COVID-19 no ha contribuido a ello.

Prepárese siempre para que un ciberataque afecte a su organización antes de que perjudique su situación financiera o su reputación. Estos estafadores criminales no tienen nada que perder y todo que ganar.

Justin Albrecht, ingeniero de inteligencia de seguridad en Lookout:

Como señala el informe del FBI, en 2020 se produjo un aumento masivo del phishing, del smishing (phishing por SMS) y del vishing (phishing por voz). Estas tres categorías de phishing tienen más éxito cuando el actor de la amenaza se dirige a los individuos a través de los teléfonos inteligentes y las tabletas. Los datos de Lookout muestran que casi un tercio de los usuarios de móviles a nivel mundial estuvieron expuestos a un ataque de phishing en 2020. De esos encuentros, Lookout también observó que el 85% de los ataques de phishing móvil pretendían entregar malware móvil como spyware, troyanos bancarios, surveillanceware o stalkerware al smartphone o tableta del objetivo.

El informe señala que las estafas para comprometer el correo electrónico de las empresas, las estafas románticas y de confianza y los fraudes de inversión fueron los principales ataques de pérdidas financieras. Cada uno de estos ataques puede llevarse a cabo eficazmente a través de dispositivos móviles en el correo electrónico, los SMS y las aplicaciones de citas.

Una de las formas más efectivas en que los atacantes inician un ataque BEC es a través del phishing móvil. Los teléfonos inteligentes y las tabletas no cuentan con las mismas herramientas y protecciones de seguridad que los puntos finales tradicionales, como los ordenadores de sobremesa y los portátiles. Ser víctima de un phishing a través de las redes sociales o los SMS en el mismo dispositivo que utilizas para trabajar podría comprometer tus datos laborales tanto como tus datos personales.

Muchos programas maliciosos para móviles relacionados con el phishing se propagan a través de SMS u otras plataformas de mensajería, enviando spam a las listas de contactos de los dispositivos infectados. Esto da lugar a campañas de gran difusión que tienen más probabilidades de éxito, ya que la fuente del enlace de phishing es un conocido o amigo.

Andy Renshaw, vicepresidente de soluciones de pago y estrategia de Feedzai:

«Las conclusiones del FBI son coherentes con la migración masiva a la banca online que se produjo como consecuencia del cierre de sucursales durante los cierres nacionales. De hecho, Feedzai propios datos lo corroboran, al constatar que casi 1 de cada 10 personas ha sufrido un fraude en la banca online o en las tarjetas de pago. De hecho, el estudio demostró que la banca online experimentó un aumento del 250% en los intentos de fraude en 2020.

«Se recomienda a los consumidores que investiguen a los minoristas antes de realizar una compra para evitar las estafas del tipo de no pago/no entrega, y que paguen con una tarjeta de crédito en lugar de una de débito. Activar la autenticación de dos factores siempre que sea posible añade una capa de protección, y asegurarse de elegir una contraseña compleja y única para cada cuenta puede ayudar mucho a prevenir el fraude.»