¿Cuál es el ciberataque más costoso al que se enfrentan las empresas hoy en día? Si dijo compromiso de correo electrónico comercial (BEC), tiene razón. El  Informe de delitos en Internet IC3 2021 del FBI  mostró que BEC tuvo un gran impacto contra las empresas estadounidenses ese año. Los reclamantes de BEC ante IC3 sufrieron $2,395,953,296 en pérdidas en 2021, un 28% más que el total récord de $1,866,642,107 de 2020. Estos 10 datos sobre el compromiso del correo electrónico empresarial pueden ayudarlo a comprender el alcance de este peligroso riesgo cibernético para las empresas.

10 datos sobre el compromiso del correo electrónico empresarial que tienes que saber

1. Los esquemas de compromiso de correo electrónico empresarial han causado  pérdidas totales de al menos $ 5300 millones  a aproximadamente 24 000 empresas en los EE. UU. en los últimos 3 años.

2. Más del  70% de las organizaciones  han experimentado un ataque BEC.

3. El Centro de Quejas de Delitos en Internet de la Oficina Federal de Investigaciones de EE. UU. (FBI IC3, por sus siglas en inglés) calificó el compromiso del correo electrónico comercial como un ciberataque que es 64 veces peor para las empresas que el ransomware

4. Casi  el 50% de todos los ataques BEC  resultan de la suplantación de identidad de un individuo.

5. El 68% de los intentos de BEC  involucran la suplantación de identidad de una organización

6. El 53% implica hacerse pasar por un jefe o ejecutivo  en la empresa del objetivo.

7. El 66% de los intentos de BEC  se dirigen a su objetivo por su nombre  .

8. El 77 % de las organizaciones  enfrentaron ataques de compromiso de correo electrónico empresarial en 2021, frente al 65 % en 2020. Eso representó un aumento del 18 % en los ataques BEC.

9. Las pérdidas de BEC que involucran criptomonedas alcanzaron las cifras más altas hasta la fecha en 2021 con poco más  de $ 40 millones en pérdidas expuestas .

10. Phishing/BEC/Smishing fue responsable de la  mayor cantidad de compromisos de datos en el primer semestre de 2022.

Vale la pena conocer los hechos sobre el compromiso del correo electrónico comercial y cómo se ve en acción. Las estafas BEC a  menudo comienzan con el phishing. Es una forma fácil y económica para que los malos actores pongan en marcha la mayoría de los ataques cibernéticos más desagradables de la actualidad. El phishing es popular porque funciona, y los empleados enfrentan una avalancha de amenazas de phishing todos los días. La cantidad de ataques de phishing registrados  alcanzó un máximo histórico en el primer trimestre de 2022 , con más de un millón de ataques en un trimestre registrados por primera vez. Los señuelos de phishing que son parte de un ataque BEC a menudo son sofisticados, lo que dificulta que los empleados los manejen. Se estima que el 97% de los empleados  no pueden detectar un mensaje malicioso sofisticado.

Consejos IC3 del FBI para evitar BEC 

• Utilice canales secundarios o autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta.
• Asegúrese de que la URL en los correos electrónicos esté asociada con la empresa/persona de la que dice ser.
• Esté alerta a los hipervínculos que pueden contener errores ortográficos del nombre de dominio real.
• Absténgase de proporcionar credenciales de inicio de sesión o PII de cualquier tipo por correo electrónico. Tenga en cuenta que muchos correos electrónicos que solicitan su información personal pueden parecer legítimos.
• Verifique la dirección de correo electrónico utilizada para enviar correos electrónicos, especialmente cuando se utiliza un dispositivo móvil o de mano, asegurándose de que la dirección del remitente coincida con la de quien proviene.
• Asegúrese de que la configuración en las computadoras de los empleados esté habilitada para permitir que se vean las extensiones de correo electrónico completas.
• Supervise sus cuentas financieras personales de forma regular en busca de irregularidades, como depósitos faltantes.
• Si descubre que es víctima de un incidente de fraude, comuníquese de inmediato con su institución financiera para solicitar un retiro de fondos. Independientemente de la cantidad perdida, presente una queja en  www.ic3.gov  o, para las víctimas de BEC/EAC,  BEC.ic3.gov , tan pronto como sea posible.

Una de  las armas más efectivas  contra el phishing es la capacitación periódica en materia de seguridad. Este dínamo de beneficios múltiples reduce drásticamente la posibilidad de que los empleados caigan en un señuelo de phishing. De hecho,  el 80% de las organizaciones en un estudio  dijeron que la capacitación en concientización sobre seguridad redujo sustancialmente la posibilidad de que un miembro del personal caiga en la suplantación de identidad. En última instancia, los investigadores determinaron que, si bien la capacitación en concientización sobre seguridad no funciona de la noche a la mañana, logra un progreso constante que se mantiene con el tiempo, lo que  reduce el riesgo de phishing de una empresa del 60 % al 10 % en los primeros 12 meses .

Más allá de capacitar con videos y cuestionarios (el tipo  de capacitación de concientización sobre seguridad más efectivo), capacitar a los empleados para que resistan las tentaciones de los señuelos de phishing mediante simulaciones de phishing es una táctica efectiva. En un informe de Microsoft, los analistas determinaron que cuando los empleados reciben capacitación sobre phishing simulado,  tienen un 50 % menos de probabilidades de caer en el phishing. Es más probable que las personas aprendan y retengan nuevos conocimientos a través de la experiencia, y las simulaciones de phishing ayudan a los empleados a  perfeccionar su capacidad para detectar señales de alerta, y es probable que  un  90 % de los empleados  que reciben más de cinco minutos de capacitación sobre seguridad cada mes sepan cómo hacerlo . desviar los mensajes sospechosos a los administradores o al equipo de TI.

Fuente: ID Agent