Las pérdidas económicas causadas por las ciberestafas se han duplicado en tan solo dos años, pasando de 4.200 millones de dólares en 2020 a 10.300 millones de dólares en 2022. Así lo pone de manifiesto el 'Internet Crime Report 2022' del FBI, que sitúa el phishing en la primera posición de la lista de ciberamenazas al haber acaparado el 38% de las denuncias que recibió a lo largo del año pasado, que fueron un total de 800.944.
Expertos en ciberseguridad de Proofpoint han analizado algunas de las conclusiones de este informe con el fin de alertar a las organizaciones del riesgo que supone tener desprotegido el correo electrónico, el cual señalan como el principal vector de amenazas.
"Lo que está claro es que los ciberdelincuentes siguen explotando la vulnerabilidad humana con ingeniería social y nunca dejan de innovar en sus ataques", afirma el equipo de investigación de la compañía de ciberseguridad. "El email continúa como el vector de amenaza número uno y, para defenderlo, se necesita una plataforma multicapa con controles de seguridad que incluyan la autenticación del correo, la educación en seguridad y la inteligencia compartida sobre amenazas".
Los ataques BEC, los más rentables para los ciberdelincuentes
Proofpoint ha compartido el análisis de sus expertos a través de un comunicado, en el que afirma que los ataques BEC (Business Email Compromise), o de vulneración del correo electrónico de empresas, lideran las pérdidas en ciberdelincuencia, monopolizando más de una cuarta parte (27%) del total.
Según indica, cada incidente BEC puede costar a la empresa afectada alrededor de 124.000 dólares y el año pasado provocaron unas pérdidas globales de más de 2.700 millones de dólares. Esta cifra supone un incremento de 300 millones respecto al 2021, así como unas pérdidas casi 80 veces mayores que las del ransomware.
Además, Proofpoint advierte que el número de víctimas de los ataques BEC está aumentando año tras año en cerca de un 10%, según constata su informe 'State of the Phish 2023', elaborado a partir de una encuesta a 7.500 usuarios y 1.050 profesionales de seguridad TI en 15 países, incluido España. Tres cuartas partes de los encuestados (exactamente el 75%) reconoció que su empresa sufrió al menos un ataque BEC en 2022, un porcentaje que entre las empresas españolas alcanzó hasta el 90%, un 13% respecto al año anterior. Esto puede deberse, según los expertos, al aumento del uso de idiomas como el español en estas amenazas.
El phishing y otras estafas comunes
Además de dominar la lista de amenazas, el comunicado apunta que el phishing tiene una incidencia del 84% en todo el mundo y de un 90% en España, de acuerdo a los informes de la firma de ciberseguridad del 2022.
Por otra parte, resalta que existen otras estafas comunes, entre las que nombra las que incluyen emails de proveedores, redireccionamiento de nóminas o fraudes inmobiliarios, aunque sus tácticas no dejan de evolucionar pasa ser cada vez más sofisticadas. En este sentido, remarca que el FBI ha detectado suplantaciones de la Administración Pública; falsificaciones de números de teléfono de empresas legítimas para dar datos bancarios fraudulentos a los usuarios; o casos en los que los ciberdelincuentes convencen a sus víctimas para que envíen dinero a plataformas de criptomonedas, que posteriormente se transfieren rápidamente sin ser rastreados por las instituciones bancarias.
El ransomware disminuye, pero…
Los expertos de Proofpoint también han puesto el foco en los incidentes de ransomware. Según el FBI, el año pasado descendieron un 36%, reduciéndose también las pérdidas económicas derivadas de ellos. No obstante, el equipo de investigación de la compañía advierte que esta caída se debe probablemente a la reticencia de las víctimas de ransomware de denunciar estos ataques a las fuerzas de seguridad, lo que dificulta conocer el número real de afectados.
Además, recuerdan que su encuesta 'State of the Phish' muestra que el 64% de las organizaciones globales manifestó haber sido objetivo de un ataque de ransomware en 2022, mientras que en España a el 89% experimentó al menos un intento de ataque de este tipo. "Y lo que es más alarmante, en algunos casos se suelen producir múltiples incidentes de infección", rematan.