PROVEEDORES

Evalúa, homologa y monitorea el
desempeño de tus proveedores

COMPRAS

Reduce costos negociando con múltiples proveedores en procesos comparables

Centraliza y automatiza tus compras para tener control total

PAGOS

Acelera tus cuentas por pagar con mayor control y menos errores

Automatiza la recepción y validación de facturas electrónicas

OTROS

Ten acceso a financiamiento para ti y tus proveedores mejorado tu liquidez

RED DE PROVEEDORES B2M

Conecta con más de 1000 proveedores activos y acelera tus procesos de compra desde el primer día

EMPRESA

Conoce la historia de eBIZ y nuestros productos

CONTENIDO

Encuentra las últimas noticias sobre procurement

ESET: claves para protegerse del Whaling

Hay un tipo de phishing dirigido a las personas de alto rango de una organización para robarles datos confidenciales, accesos privilegiados o dinero. Aquí algunas sugerencias para evitar ser víctimas de estos ataques.

ÚLTIMAS NOTICIAS

Bienvenida LBM | eBIZ Noticias
Bienvenida BIZPARTNER | eBIZ Noticias
260616-bienvenida-prosoldes-b
260603-bienvenida-MAXTECHPERU-portada
eBIZ rediseña web para mejorar la experiencia de usuario
Bienvenida ELA Asesoría & Comercialización | eBIZ Noticias

NOTICIAS RELACIONADAS

Inicio / Artículo / ESET: claves para protegerse del Whaling

ESET: claves para protegerse del Whaling

Hay un tipo de phishing dirigido a las personas de alto rango de una organización para robarles datos confidenciales, accesos privilegiados o dinero. Aquí algunas sugerencias para evitar ser víctimas de estos ataques.

A nivel global, según Security Magazine, durante un día pueden ocurrir al menos 2200 ataques cibernéticos, equivalentes a un ataque cada 39 segundos. El phishing es en una de las tácticas más comunes dentro de ese grupo. Solo en 2022 hubo 3400 millones de correos spam diarios en el mundo. Y lejos de reducirse, siguen elevándose, tanto en la gran empresa como en la pyme.

En el Perú, Telefónica informó que el cibercrimen ha afectado a 36% de las pymes. Y solo en la primera mitad del 2024, según ESET, los peruanos recibieron más de un millón de ataques de phishing, lo que lo convierte en una amenaza muy relevante. 

El phishing es una técnica que se vale del engaño – el criminal se hace pasar por una persona, empresa o servicio de confianza – para que la víctima, confiada, termine descargando un programa maligno que infecte los equipos. Y aun cuando la mayoría de los peruanos saben qué es, la incidencia de las distintas variedades de phishing sigue recolectando víctimas.    

Banner gif A

Una de esas modalidades es el whaling ¿De qué se trata? Son ataques a personas de alto rango de una organización mediante correos electrónicos personalizados que buscan obtener datos confidenciales, instalar malware o inducir a la víctima a realizar transferencias fraudulentas. En suma, robar datos o dinero, como cualquier otro phishing, pero esta vez es dirigido con un objetivo particular (spearphishing o pesca con arcón): infectar a personas con un alto nivel de privilegios en el acceso a datos de una organización, los “peces gordos” o ballenas.  

Se podría pensar que, por ser presidente de un directorio o gerente, la víctima está bien prevenida. Pero no, porque el correo llega con el nombre y apellido del directivo junto a preguntas o asuntos frecuentes, lo cual genera confianza. Una investigación de PhishMe concluyó que el ransomware (secuestro de datos) se produce en el 97% de las veces luego de recibir emails con phishing.

En otra encuesta, realizada por la Healthcare Information and Management Systems Society (HIMSS), se reveló que la mayoría (59%) de los encuestados afirmó que el phishing de correo electrónico fue el punto inicial de compromiso del incidente de seguridad más grave y un 13% fueron por whaling.

Desde ESET explican que estos ataques tienen una sofisticación que combina técnicas de ingeniería social avanzada y requieren de una exhaustiva investigación previa. Una técnica que utilizan los cibercriminales para ejecutar este engaño es el llamado fraude del CEO.

Casos emblemáticos existen y no son tan antiguos. Por ejemplo, un fabricante aeroespacial se convirtió en una víctima más cuando un gerente financiero recibió un correo electrónico que creyó procedía del director general de la empresa. Le pedía una transferencia inmediata de unos US$ 44 millones para cerrar un importante acuerdo comercial. Se hizo la operación y luego, cuando descubrieron el fraude, ya el atacante se había llevado el dinero.

Desde ESET explican que estos ataques tienen una sofisticación que combina técnicas de ingeniería social avanzada y requieren de una exhaustiva investigación previa. Una técnica que utilizan los cibercriminales para ejecutar este engaño es el llamado «fraude del CEO», añaden, cuando el cibercriminal suplanta la identidad de personas de altos rangos y envían mensajes a otras personas de alto rango o mandos intermedios. 

Este tipo de ataques hacen necesario aumentar la conciencia de que toda la información pública puede ayudarles a los cibercriminales a cometer estos ataques en los que se suplanta la identidad de una persona o entidad. A los atacantes le serán útiles los perfiles públicos de las personas, tanto en redes personales como Facebook, Instagram, Twitter, o perfiles profesionales en, por ejemplo, LinkedIn”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica. 

Fuente: WeLiveSecurity by ESET | Spoofing de correo en el cual se utiliza un dominio que suplanta la identidad de un servicio real, como es usps.com.

ESET explica que los ataques de whaling funcionan al seguir una secuencia estratégica y bien estructurada para garantizar la máxima efectividad. Los pasos clave incluyen: 

  1. Investigación sobre la organización y sus ejecutivos, a partir de fuentes públicas, como redes sociales, sitios web corporativos e informes de medios de comunicación, con el fin de comprender la estructura organizacional e identificar posibles debilidades. 
  2. Creación de correos electrónicos falsos altamente personalizados con la información obtenida, diseñados para parecer que provienen de fuentes confiables, a menudo imitando direcciones de correo electrónico de colegas, socios comerciales u otras entidades acreditadas, mediante la técnica de spoofing. Esta técnica permite ocultar la verdadera dirección de correo electrónico y cambiarla por una que parece legítima. 
  3. Envío del correo electrónico con un sentido de urgencia para inducir una respuesta rápida. Puede incluir solicitudes para transferir fondos, compartir información confidencial, o hacer clic en un enlace malicioso. 

Por su nivel de personalización y sofisticación puede ser difícil de detectar, sin embargo, hay algunas señales de advertencia que ESET recomienda se le brinde especial atención, a saber: 

  • Remitente falsificado: A veces, puede parecer que los correos electrónicos provienen de una fuente confiable, pero un examen detallado puede revelar ligeras discrepancias en la dirección de correo electrónico. 
  • Solicitudes inusuales: Siempre se debe comprobar por otros canales de comunicación, si se recibe una solicitud de información confidencial o transferencias financieras urgentes. 
  • Errores gramaticales y ortográficos: Aunque es una tendencia el uso de inteligencia artificial para la confección de las estrategias de ingeniería social que hacen a los correos de phishing más convincente, es útil prestar atención a posibles errores que puedan contener.

Sobre el artículo

Comparte este artículo

Tabla de contenidos

ÚLTIMAS NOTICIAS

Bienvenida LBM | eBIZ Noticias
Bienvenida BIZPARTNER | eBIZ Noticias
260616-bienvenida-prosoldes-b
260603-bienvenida-MAXTECHPERU-portada
eBIZ rediseña web para mejorar la experiencia de usuario
Bienvenida ELA Asesoría & Comercialización | eBIZ Noticias

Preguntas frecuentes sobre B2M

¿Aún tienes dudas? te compartimos las dudas más comunes sobre nuestro producto.

¿Cuáles son los principales tipos de RFx que se utilizan en las compras y el abastecimiento estratégico?

Existen cinco tipos principales de RFx, cada uno con un propósito distinto en el proceso de abastecimiento estratégico. La RFI (Solicitud de Información) recopila información general sobre las capacidades de los proveedores, las opciones de mercado y las posibles soluciones, sin esperar propuestas detalladas ni precios, lo que resulta útil para la investigación de mercado y la precalificación. La RFQ (Solicitud de Cotización) se utiliza cuando las especificaciones están bien definidas y el objetivo principal es obtener precios y plazos de entrega competitivos. La RFP (Solicitud de Propuesta) combina la recopilación de información con precios detallados (esencialmente una RFI más una RFQ) y se utiliza cuando se necesita que los proveedores propongan soluciones a un problema definido. La RFT (Solicitud de Licitación) es funcionalmente idéntica a una RFP, pero es el término preferido en la contratación pública, donde las propuestas se comparten abiertamente en portales gubernamentales. La RFS (Solicitud de Solución) invita a los proveedores a proponer enfoques creativos para desafíos amplios o complejos sin especificar la solución con precisión, fomentando así la innovación.

¿Cómo elegir el tipo de RFx adecuado para su proyecto de abastecimiento?

Elegir el tipo de RFx adecuado depende de dos factores clave: la madurez de su organización de compras y los objetivos específicos de su proyecto de abastecimiento. Si está explorando un nuevo mercado o categoría donde los requisitos no están claros, puede comenzar con una RFI para comprender las soluciones disponibles y precalificar a los proveedores antes de comprometerse con un proceso más detallado. Puede usar una RFQ cuando tenga especificaciones claras y necesite precios competitivos, común para compras de productos básicos y servicios bien definidos. Elija una RFP cuando necesite que los proveedores propongan soluciones integrales que incluyan enfoque, metodología, precios y planes de implementación. Seleccione una RFS cuando enfrente desafíos complejos donde las soluciones innovadoras de los proveedores pueden revelar enfoques que no haya considerado. Las organizaciones con funciones de compras menos maduras generalmente comienzan con RFQ y se expanden a RFI y RFP a medida que desarrollan marcos de gestión de categorías más sofisticados. El Centro de Información sobre Abastecimiento Estratégico de Art of Procurement ( artofprocurement.com/insight-hubs ) ayuda a los equipos a relacionar los tipos de RFx con los escenarios de abastecimiento. 

¿Cuál es la diferencia entre una RFP y una RFQ en materia de adquisiciones?

La diferencia fundamental radica en el alcance y la complejidad. Una RFQ (Solicitud de Cotización) es una solicitud específica de precios y condiciones de entrega, donde el comprador ya sabe exactamente lo que necesita: las especificaciones son fijas y el criterio principal de evaluación es el costo. Una RFP (Solicitud de Propuesta) es más amplia y solicita a los proveedores que propongan una solución a un problema definido, incluyendo su enfoque, metodología, equipo, cronograma y precios. El libro «Art of Procurement» describe una RFP como esencialmente una combinación de «RFI + RFQ», ya que combina cuestionarios para recopilar información sobre las capacidades del proveedor con la recopilación detallada de precios. Utilice una RFQ para compras sencillas de productos básicos con especificaciones claras. Utilice una RFP para compras complejas donde desee evaluar el enfoque, la metodología y el valor del proveedor más allá del precio. La elección afecta directamente la relación con el proveedor: las RFQ generan precios comparables rápidamente, mientras que las RFP generan propuestas más completas que permiten una evaluación multidimensional.

Comienza tu
transformación
digital con B2M

Solicita una demostración personalizada y descubre como automatizar tu cadena
de suministro

    Solicita una demo de nuestra plataforma

    Campos obligatorios = (*)

    Todos los correos de eBIZ incluyen un link de desuscripción para que puedas dejar de recibir nuestros comunicados en cualquier momento. Por favor revisa nuestra política de privacidad para consultar información adicional.