La tercera semana de noviembre, desde el año 2000, se conmemora la Semana Internacional de Concienciación sobre el Fraude (IFAW, por sus siglas en inglés) con el fin de concientizar a nivel global sobre este delito y educar a la población sobre sus riesgos e impactos. La IFAW fue iniciada por la Asociación de Examinadores de Fraude Certificados (ACFE) en 2000 y desde entonces muchas compañías de seguridad se comprometen a difundir recomendaciones para prevenir el fraude y organizan una serie de actividades y eventos relativos al tema.
El fraude afecta negativamente tanto a los ciudadanos en particular como a las empresas y las entidades del Gobierno tanto en el mundo físico como el virtual. En nuestro país viene creciendo en forma sostenida en los últimos años. El Ministerio Público informó que en 2021 manejaron 11,810 denuncias por fraude informático. Para 2022 fueron 13,852 y llegaron a 21,842 en 2023. Este año, solo hasta el primer semestre había 14,935 denuncias, superando todo lo reportado en 2022 y sin duda cerrará con un alza superior al 40% de lo reportado en 2023.
Se trata de un problema que afecta a todas las economías mundial. Por ejemplo, según el informe anual de 2021 del Centro Canadiense de Lucha contra el Fraude (CAFC), los delitos de fraude y usurpación de identidad crecieron rápidamente, con pérdidas individuales estimadas en US$165 millones en 2020 y US$379 millones al año siguiente, es decir más del doble que el año anterior.
En la mayoría de los casos, estos fraudes se cometen luego de infectar con malware (programas maliciosos) los equipos que se conectan a Internet. El 80% de las infecciones por malware se consiguen a través de intentos de phishing, según el portal KnowledgeFlow. De hecho, se estima que el 93% de los correos electrónicos de phishing contienen malware que infecta a las PC para volverlas vulnerables.
Enemigo interno
Carla Roncato, vicepresidenta de identidad en WatchGuard Technologies, alertó que muchas de las estafas y engaños que conllevan al fraude en las organizaciones surgen de descuidos al interior de las empresas, entre los trabajadores. Las amenazas internas, explicó, pueden ser igual de dañinas que otros ataques – uno cada segundo – y son mucho más difíciles de detectar.
Según datos de Statista, señaló Roncato en el Blog de WatchGuard, las amenazas internas se encuentran entre los principales riesgos para los gerentes de seguridad [Chief Information Security Officers (CISO)] y el 30% las considera uno de los cinco riesgos de ciberseguridad más graves. Esto se debe a que los empleados, contratistas y proveedores con acceso a información privilegiada pueden violar los controles de seguridad, lo que facilita la entrada de agentes maliciosos para cometer fraudes.
| Estadística global sobre amenazas de ciberseguridad 2024 | |
| Ataques de ransomware | 41% |
| Malware (software malicioso) | 38% |
| Fraude por correo electrónico (compromiso de correo electrónico empresarial) | 36% |
| Compromiso de cuenta en la nube (Microsoft 365, G Suite u otras) | 34% |
| Amenaza interna (negligente, accidental o criminal) | 30% |
| Ataque de denegación de servicio distribuido (DDoS) | 30% |
| Ataques a la cadena de suministro | 25% |
| Smishing (ataques vía SMS) y/o Vishing (fraudes por llamadas telefónicas) | 24% |
A medida que la tecnología se vuelve más sofisticada con ayuda de la inteligencia artificial se amplía el riesgo, porque los ataques son más eficientes en el logro de sus objetivos criminales. A ello se suma que cada vez hay más dispositivos accediendo a información corporativa, lo que amplía el espectro por supervisar y genera una peligrosa falta de visibilidad que ocasiona brechas que son aprovechadas por los delincuentes.
El aumento del trabajo a distancia también dificulta la tarea de supervisión de las redes corporativas, añadió Roncato. De hecho, «Cifas informó de que los registros en la base de datos de amenazas internas (ITD) en Reino Unido aumentaron un 14% en 2023, y consistieron principalmente en acciones deshonestas por parte de los empleados (49%), y muchas organizaciones citaron las crecientes presiones financieras como el principal desencadenante», señaló.
A nivel corporativo, ya se trate de grandes o pequeñas empresas, es fundamental implantar un programa interno de gestión de riesgos. Este debe incluir una definición clara de políticas sobre el acceso a datos corporativos y las consecuencias de las infracciones, controles de accesos privilegiados e implementar herramientas de supervisión de la actividad de los usuarios para identificar comportamientos anómalos, advirtió Roncato.
«Solo mediante una combinación de tecnología robusta, formación continua y vigilancia proactiva se puede mitigar eficazmente el riesgo que suponen las amenazas internas y externas».
Carla Roncato, vicepresidenta de identidad en WatchGuard Technologies
El plan de acción para cuando sucede un ataque debe incluir la capacidad de realizar investigaciones forenses para evaluar el alcance y el impacto del incidente junto a toda una campaña de formación del personal en la prevención ante campañas de phishing, que cada vez son más sofisticadas. La educación en ciberdefensa de las personas que integran la organización es crucial para lograr cambios, no es suficiente invertir en la última tecnología, remarcó el Dr. Erick Iriarte Ahon, CEO de eBIZ.
Reforzar la protección de las credenciales mediante la implantación de la Autenticación Multi-Factor (MFA) es otro paso crucial que deben dar las empresas para salvaguardar sus sistemas. Pero no es suficiente. Bitdefender e Intecnia Corp ha alertado que, por ejemplo, según la División de Atlanta del FBI, los ciberdelincuentes están explotando las cookies robadas para eludir la Autenticación Multi-Factor (MFA) y obtener acceso a las cuentas en redes sociales.
«Solo mediante una combinación de tecnología robusta, formación continua y vigilancia proactiva se puede mitigar eficazmente el riesgo que suponen las amenazas internas y externas, garantizando la resiliencia de la organización en un entorno cada vez más complejo», acotó Carla Roncato.
Sepa más: El 30 de noviembre se celebra desde hace 36 años el Dia Internacional de la Seguridad Informática con el fin de elevar la conciencia sobre la materia.
