Las empresas invierten grandes sumas de dinero en seguridad todos los años para evitar ataques de piratas informáticos. Pero el eslabón más débil de la cadena sigue siendo igual de vulnerable. ¿Sabes cuál es? El factor humano.

Este dato no pasa desapercibido por ciberdelincuentes que buscan la forma de conseguir dinero fácil con engaños y falsas promesas. A partir de un simple e-mail pueden robar datos bancarios o capital a las empresas. El grupo de estafas conocidas como “phishing” se basan en el uso de correos electrónicos fraudulentos para engañar al usuario.

En las siguientes líneas te explicamos varios ciberataques de este tipo muy usados para estafar a empresas y qué puedes hacer para defenderte.

Por lo general, hay dos maneras de llevar a cabo la estafa más de moda, que siempre comienza con un simple e-mail.

La primera opción es que alguien escriba al Dpto. Financiero haciéndose pasar por el CEO de la empresa. Sin dar muchas explicaciones, le pide que traspase rápidamente una cantidad “X” de dinero a un número de cuenta, que además no es de uso habitual en la compañía.

Como resultado, el trabajador transfiere el dinero en unos pocos segundos a una cuenta propiedad del ciberdelincuente. Y como se trata de una transferencia, para cuando se detecta el engaño no se puede deshacer. Sencillo pero efectivo, por desgracia.

Otra opción utilizada por igual, pero un poco más elaborada, es la siguiente. Los ciberdelincuentes hackean el e-mail de alguna persona de la empresa con el fin de obtener una factura real. Acto seguido los piratas modifican el número de cuenta de la factura y envían un correo al cliente solicitando la realización de futuros pagos al nuevo número indicado.

El cliente empieza a pagar las facturas a la nueva cuenta hasta que la empresa detecta los impagos y tira del hilo, detectando que ha sido víctima de un delito.

En ambos casos, es personal de la empresa quien lleva a cabo las transferencias y, engañado, envía el dinero directamente a las manos de los delincuentes.

Esta cita atribuida a Aristófanes subraya la importancia de no tener miedo en preguntar.

Si recibes un e-mail sospechoso de estas características, tira del hilo. Consigue más información hasta verificar que la fuente sea fiable.

Para empezar, revisa el e-mail del remitente. En muchas ocasiones se presentan con un nombre conocido pero la cuenta de e-mail los delata, ya que el correo viene de una cuenta tipo [email protected] en lugar de [email protected] Este es el primer paso para detectar un engaño.

Pero la opción que recomendamos por encima de todo es verificar la información sobre nuevas cuentas o formas de pago vía telefónica. Hazlo así incluso si el e-mail es válido (tipo [email protected]), parece provenir de algún conocido o hasta tu propio jefe. Recuerda que la cuenta de correo puede haber sido hackeada.

Un segundo tipo de ataque de phishing muy activo desde hace ya tiempo es el robo de datos bancarios a través de un sencillo correo electrónico.

El usuario recibe un e-mail de “su banco”, en apariencia correcto. En el mensaje, con cualquier excusa, se le indica que debe acceder a su cuenta. El mensaje incluye un link hacia la web de la entidad.

Al pinchar en el botón, se dirige al usuario a una web que es exactamente igual que la de su banco. En apariencia, todo parece normal.

Pero ésta no es la página del banco, sino la de los piratas. Al introducir las claves para acceder, ya le hemos dado al delincuente todo lo que necesita para acceder a nuestra cuenta bancaria.

Distinguir un mensaje de phishing de este tipo puede no ser sencillo, especialmente cuando realizamos gestiones de forma apresurada. Pero revisar la cuenta del remitente también es un consejo válido en este caso.

No obstante, la regla de oro es sencilla: nunca debe pincharse un link incluido en un mensaje electrónico para acceder a la cuenta bancaria. Por seguridad, los bancos, entidades y organismos oficiales, NUNCA incluyen botones de acceso a la cuenta en sus e-mails informativos (no publicitarios). Debe accederse siempre a la web o a la aplicación de forma manual.

Aparte de esto, hay indicativos de que una página web no es la que parece ser, sino una copia fraudulenta:

• No tiene https ni candado verde en la barra de direcciones
• No funcionan los links internos (es solamente una portada)
• Está mal diseñada o tiene faltas de ortografía

Si aún con todo tenemos dudas, es mejor no hacer ninguna gestión en ese momento, y por supuesto no acceder a la cuenta. Tomarse el tiempo de contactar personalmente con el banco y aclarar las sospechas puede evitar una sorpresa desagradable.

Finalmente, si pensamos que hemos caído en algún engaño de este tipo, es importante cambiar las contraseñas inmediatamente y contactar con la entidad para informar de la situación.

No olvides concienciar a todo tu equipo sobre las amenazas del uso de internet. Asegura que todos ellos sigan las recomendaciones cruciales de este post. De esta forma fortalecerás el eslabón que es más vulnerable por naturaleza a ciberataques.