Desde el estallido de la crisis del Covid-19, los ciberdelincuentes no han perdido el tiempo en explotar la pandemia. En esta época de incertidumbre, el coronavirus ha provocado un aumento de los ciberataques, las estafas de phishing y las actividades maliciosas, lo que hace que la concienciación sobre la ciberseguridad sea más importante que nunca.
Los estafadores se aprovechan de Covid-19
En las últimas semanas han surgido numerosas estafas en las que los delincuentes tratan de aprovecharse de las preocupaciones de los ciudadanos, desde cómo reclamar el dinero perdido en las vacaciones hasta la solicitud de ayudas económicas por el cierre de los colegios.
Según Google, los estafadores están enviando 18 millones de correos electrónicos relacionados con Covid-19 a los usuarios de Gmail cada día en un intento de persuadir a las víctimas para que descarguen software malicioso, roben información confidencial o hagan donaciones a causas falsas.
En el último mes, el Centro Nacional de Ciberseguridad (NCSC) también ha informado de que se han identificado y eliminado más de 2.000 estafas en línea relacionadas con el coronavirus. En un intento de reprimir a los estafadores y a las estafas de phishing, el NCSC ha eliminado 471 tiendas online falsas, 555 sitios de distribución de malware y 832 fraudes por adelantado, en los que se promete una gran suma de dinero a cambio de un pago inicial.
Mientras la amenaza del Covid-19 aumenta, también lo hace el riesgo de ataques por parte de delincuentes oportunistas que pretenden aprovecharse de una sociedad bloqueada. Con el repentino cambio de circunstancias, y con más gente trabajando desde casa que nunca, la crisis del Covid-19 ha presentado oportunidades ideales para los ciberdelincuentes.
Phishing y la pandemia de Covid-19
A medida que el público busca información sobre la pandemia mundial, los ataques de phishing por coronavirus han aprovechado las noticias recientes y los anuncios del gobierno.
La Oficina Nacional de Inteligencia contra el Fraude (NFIB) ha informado de un aumento del 400% en las estafas como resultado de los ataques de phishing relacionados con el coronavirus.
En las últimas campañas, los ciberdelincuentes han creado sitios web y correos electrónicos falsos haciéndose pasar por autoridades legítimas, como la Organización Mundial de la Salud y la Agencia Tributaria, para infectar dispositivos con malware, robar información personal y comprometer cuentas.
Las estafas más frecuentes son las que prometen compartir consejos sobre cómo evitar ser infectado, ofrecer asesoramiento sobre ayuda financiera, proporcionar actualizaciones sobre la propagación del virus y acceso a equipos de protección personal.
Al animar a los usuarios a actuar con rapidez y al provocar la curiosidad y el miedo, algunos estudios han demostrado que la tasa de clics en los ataques de phishing ha aumentado de menos del 5% a más del 40% con las estafas de coronavirus.
Cómo combatir el compromiso del correo electrónico empresarial durante una crisis
En medio de un fuerte aumento de los ataques de phishing relacionados con el coronavirus en todo el mundo, los ataques de compromiso del correo electrónico empresarial se consideran ahora una de las mayores amenazas a las que se enfrentan las empresas.
Según Gartner, se espera que los ataques BEC se dupliquen cada año hasta superar los 5.000 millones de dólares en 2023, lo que supondrá grandes pérdidas económicas para las empresas.
Aunque son relativamente poco tecnológicas y sencillas de ejecutar, estas sofisticadas estafas no sólo causan pérdidas financieras considerables, sino que también afectan a las relaciones, la reputación de la organización y la confianza de las partes interesadas.
En febrero, un estudio reveló que los ataques BEC aumentaron en casi un 25% y abarcaron desde fraudes a directores generales hasta facturas falsas y cuentas de correo electrónico de empleados comprometidas. Para aprovechar aún más los temores de Covid-19, los estafadores han sacado provecho pidiendo a las organizaciones que contribuyan a falsas organizaciones benéficas y facturando productos de limpieza y EPI.
Covid-19 y videoconferencia
Como cualquier tecnología, si no se gestiona adecuadamente, la videoconferencia plantea riesgos para la privacidad y la seguridad de nuestra información personal. Como las personas y las empresas dependen cada vez más de las videoconferencias para estar conectadas, los estafadores no han tardado en aprovechar la oportunidad.
Esto ha dado lugar a una oleada de incidentes en los que los hackers han accedido sin autorización a las llamadas de videoconferencia y han espiado las conversaciones privadas, han secuestrado los controles de pantalla y han lanzado toda una serie de ataques maliciosos.
A principios de este año, la preocupación por la seguridad surgió cuando se compartió la ID de Zoom de una reunión del gabinete del Reino Unido en una publicación en las redes sociales. Junto con la identificación, también aparecían los nombres de usuario de algunos de los ministros del gabinete, lo que permitió a los ciberdelincuentes acceder a la reunión privada.
El Washington Post también informó de que miles de reuniones grabadas con Zoom se pueden ver en línea, incluyendo sesiones de terapia, reuniones financieras, llamadas de telesalud y clases escolares que exponían los rostros y otros detalles de los niños.
Aunque la mayoría de las aplicaciones de videoconferencia tienen controles que pueden configurarse para mitigar estos peligros, también presenta una serie de riesgos adicionales, como compartir accidentalmente en pantalla información confidencial o tener datos sensibles en el fondo del vídeo. Teniendo esto en cuenta, la educación de los usuarios es vital para crear conciencia sobre los riesgos de las videoconferencias y cómo mitigarlos.
Estafas de smishing por coronavirus
El smishing, o suplantación de identidad por SMS, ha experimentado un fuerte aumento a medida que los estafadores intentan atraer a las víctimas desprevenidas con información errónea sobre el brote de coronavirus.
Las últimas campañas de smishing han afirmado ser de empresas que han sufrido retrasos en las entregas debido al coronavirus. Otras estafas populares de smishing han fingido ser de organizaciones legítimas, como bancos o departamentos gubernamentales, para engañar a la gente para que proporcione información personal y financiera, abra un enlace malicioso o pague dinero a una causa falsa.
El smishing ha ganado en popularidad, ya que permite a los ciberdelincuentes engañar a los destinatarios para que revelen información personal o financiera, sin tener que romper las defensas de seguridad de un ordenador o una red.
Recientemente, los estafadores se dirigieron a las personas encerradas con una artera estafa de Netflix que afirmaba regalar pases de suscripción a la plataforma. La estafa había sido perfectamente programada para aprovechar el actual aumento de personas que recurren a los servicios de streaming durante el periodo de aislamiento.
Dado que una persona media envía 15 mensajes de texto al día, el smishing ofrece una oportunidad única para que estos hackers malintencionados se aprovechen de las víctimas que están distraídas mientras trabajan desde casa, o que están abrumadas por la información sobre el virus.
Lainvestigación también ha descubierto que los usuarios son más propensos a responder a un ataque de phishing en un dispositivo móvil, ya que la gente es menos cautelosa con los mensajes de texto que con las estafas de phishing estándar, que suelen ser bloqueadas por los filtros de spam.
Vulnerabilidades del trabajo desde casa
A medida que el trabajo a distancia se convierte en la nueva normalidad, también ha dado lugar a un número creciente de amenazas para muchas organizaciones. De hecho, el 95% de los profesionales de la ciberseguridad afirman que se enfrentan a retos adicionales, con el aumento de los ataques y las nuevas exigencias del trabajo desde casa.
El repentino cambio de circunstancias ha afectado a la forma en que los empleados acceden a las aplicaciones empresariales y ha aumentado la superficie potencial de ataque.
Con el objetivo de aprovechar las interrupciones en el lugar de trabajo, los hackers han estado explotando una serie de vulnerabilidades conocidas en las VPN y en las redes WiFi no seguras en un intento de robar información valiosa.
El hecho de que algunos trabajadores se vean obligados a utilizar sus dispositivos personales para las tareas de trabajo ha incrementado el riesgo de que el malware se introduzca en los dispositivos, poniendo en peligro tanto la información personal como la relacionada con el trabajo. A menudo, estos dispositivos carecen de las herramientas integradas en las redes empresariales, como el software antivirus corporativo, los cortafuegos personalizados y las herramientas de copia de seguridad en línea. El uso de dispositivos personales presenta múltiples oportunidades para que un hacker las aproveche.
En un esfuerzo por evitar que los defraudadores escuchen conversaciones confidenciales y conferencias telefónicas, algunas organizaciones también están instando a su personal a apagar los altavoces inteligentes y los asistentes de voz, como los dispositivos Amazon Echo, Apple HomePod y Google Home.
Según un informe de la Northeastern University, los altavoces inteligentes se activan accidentalmente hasta 19 veces al día, grabando hasta 43 segundos de audio cada vez. Una investigación reciente también sugiere que el 59% de los usuarios de altavoces inteligentes tienen preocupaciones sobre la privacidad, siendo la escucha no deseada y la recopilación de datos lo más importante.
Incluso en tiempos normales, trabajar desde casa puede hacer que los empleados sean vulnerables a los ataques. Sin embargo, el clima actual ha creado la tormenta perfecta en la que los hackers, estafadores y spammers pueden prosperar.
Los investigadores de Zscaler afirman que, desde enero, han observado un aumento del 15% al 20% cada mes en los incidentes de piratería informática, así como un aumento de las amenazas de piratería que utilizan términos como "coronavirus" o "Covid-19".
La conciencia cibernética es más importante que nunca
Los ciberagentes maliciosos ajustan continuamente sus tácticas para aprovechar las nuevas situaciones, y la pandemia de Covid-19 no es una excepción. A medida que los ciberdelincuentes aumentan sus esfuerzos, la concienciación es el arma más poderosa contra estas amenazas y técnicas en evolución.
Los estafadores no tardarán en aprovecharse de cualquier fallo en la seguridad, y las organizaciones deben seguir capacitando y educando a los empleados para que permanezcan atentos. La ciberseguridad es responsabilidad de todos, y con tantos puntos de ataque potenciales, la clave para mejorar la seguridad es crear una cultura de conciencia cibernética.
Activos de sensibilización gratuitos de Covid-19
En esta época de incertidumbre, MetaCompliance se compromete a ayudar a las organizaciones a mitigar el riesgo de las ciberamenazas.
Para ayudar a comunicar una buena higiene y vigilancia cibernética, hemos creado un banco de activos digitales gratuitos, que puede utilizar para apoyar sus comunicaciones durante estos tiempos difíciles.
Haga clic aquí para acceder a sus activos gratuitos de concienciación sobre Covid-19.