La presentación de la VI edición del Ciberday que se celebrará en Palencia el próximo 26 de octubre bajo el lema "Ciberseguridad, victoria o extinción" dejó en la entrevista concedida a COPE más de un titular por parte del presidente de la Asociación de Empresarios de Tecnologías de la Información y Comunicación (APETIC), Julio Cesar Miguel.

“En solo una semana, he recibido llamadas de cuatro personas que han sido víctimas de una ciberestafa en Palencia, con cuantías de entre 9.000 y 70.000 euros. Imagínense cuantas estafas se habrán producido en ese periodo de tiempo en Castilla y León o en España”.

Así de severo se mostraba ese experto, asegurando además que “solo se denuncian las relevantes, podemos estimar que hay un 90 por ciento de casos que se desconocen. Suponen delitos complejos de investigar y esclarecer y raramente se recupera el dinero perdido o los datos robados”.

¿Cómo puede un ciberdelincuente robar 70.000 euros?

Por raro que parezca, el Phishing es una de las formas ya más comunes de ciberataque a empresas y particulares.

Para realizar el fraude, en primer lugar los delincuentes habitualmente piratean el servidor o el hosting de la página web de la empresa con el objetivo de tener acceso al portal donde se aloja el correo electrónico.

Mediante un correo electrónico fraudulento, estos ciberdelincuentes alertan de que debemos cambiar las claves por seguridad de nuestro servidor. Cuando los hackers ingresan y modifican las credenciales en el portal, obtienen acceso total a los correos de la empresa, lo que incluye nuestras transacciones bancarias o facturas.

En ocasiones no es necesario ni siquiera este paso. La falta de seguridad informática en los dispositivos de la empresa, la utilización de contraseñas de baja calidad, la omisión de la autenticación de dos factores y el almacenamiento de contraseñas en carpetas compartidas son todas tácticas que los ciberdelincuentes pueden emplear para acceder a su servidor de correo.

• Left6:No existe configuración de publicidad para el slot solicitado

Una vez que obtienen acceso, utilizan una técnica de intercepción de comunicaciones en los correos electrónicos, conocida como "MitM - Hombre en el Medio", es decir, el hacker se posiciona entre las dos partesque están intercambiando mensajes de correo electrónico, por ejemplo la empresa y un proveedor.

Cambios en las facturas y documentos sin que el estafado note nada

Al colocarse entre los dos interlocutores e interfiriendo las comunicaciones pueden modificar las mismas y su contenido. El objetivo principal de este tipo de ataques es dirigirse a pagos de facturas y transferencias de grandes cantidades de dinero, como la compra de vehículos, transacciones inmobiliarias, o en el caso de esta persona en Palencia, el pago de facturas a un importante proveedor.

La estafa no necesariamente se lleva a cabo de inmediato; generalmente, los estafadores esperan mientras filtran correos electrónicos para obtener el botín más grande posible. Monitorizan los mensajes de correo electrónico de la empresa y esperan a que aparezcan mensajes que contengan, por ejemplo, la palabra "IBAN", un término que suele estar presente en las facturas.

En esta posición intermedia entre el proveedor y el cliente, los ciberdelincuentes y hackers pueden aprovechar la oportunidad de interceptar el mensaje y modificar los datos de la cuenta bancaria que aparecen en el correo electrónico, redirigiendo la transferencia a una cuenta diferente.

Del mismo modo, también tienen la capacidad de editar, manipular o suplantar los documentos PDFde las facturas en los que se detalla el IBAN para la transferencia bancaria.

Al realizar estos cambios directamente en el servidor de correos electrónicos mediante el protocolo SMTP, los interlocutores no perciben ningún cambio aparente. Una vez que el cliente efectúa la transferencia a la nueva cuenta bancaria proporcionada por los ciberdelincuentes, estos retiran el dinero y lo envían a cuentas en el extranjero, restaurando la comunicación normal.

El fraude se descubre unos días más tarde, cuando el proveedor reclama el pago que, desde su perspectiva, no se ha realizado, y el cliente demuestra el pago con el comprobante de la transferencia realizada días atrás.

Es en este momento cuando se dan cuenta de que los números de cuenta enviados y recibidos no coinciden, evidenciando que han sido víctimas de fraude mediante la modificación de los números de cuenta bancaria en correos electrónicos.

Desconfiar y estar informado para prevenir ciberataques

Para el presidente de la Asociación de Empresarios de Tecnologías de la Información y Comunicación (APETIC), Julio Cesar Miguel, la única solución es conocer cómo actúan los atacantes para podernos proteger y no ser víctimas de esos ciberataques. La información y la formación son fundamentales.

De hecho, ha afirmado en COPE que "la prevención es la única solución cien por cien efectiva", porque una vez sufrido un ciberataque va a ser muy difícil volver a recuperar la situación anterior, ya sea a nivel económico, reputacional y de robo de datos. "Una vez robados, los has perdido definitivamente".

Las recomendaciones son muy básicas

Hacer un uso seguro de la tecnología, usando contraseñas distintas para cada servicio. "La contraseña 123456 está dentro de las veinte contraseñas más utilizadas en 2022", ha puesto como ejemplo el presidente de APETIC.

Ser desconfiado por naturaleza con todos los mensajes y correos que nos llegan. "Desconfiar es la norma y ante la duda no hay que hacer nada. Los malos siempre intenta que la emoción suba, porque cuando sube la emoción baja la inteligencia", ha continuado Julio César Miguel.

Estafas de miles de euros haciéndose pasar por el banco

Otra de las estafas más comunes relatadas por el director de APETIC a COPE se produce mediante el envío de información del propio estafado al delincuenteque se ha hecho pasar previamente por la entidad bancaria.

El proceso de esta estafa comienza con un mensaje SMS que notifica la detección de transferencias sospechosas y anuncia una futura llamada de un supuesto representante del departamento de seguridad del banco para verificar la situación.

“Minutos después, se recibe una llamada en la que una persona se identifica como miembro del departamento de seguridad del banco. Durante la llamada, nos dicen que se han efectuado tres transferencias por importes inferiores a 3,000 euros, preguntan si las ha autorizado y obviamente respondes que no” relata Julio Cesar Miguel.

Es en este punto cuando el estafador instruye a la persona a la que llama, diciéndole que "para revertir las transferencias, debe proporcionarle los códigos que serán enviados a su teléfono móvil. Te persuaden para que los compartas de palabra", todo ello urgiendo a la víctima a realizar el proceso cuanto antes para que las supuestas trasferencias sean reversibles.

En realidad, estos códigos son el segundo factor de autenticación del propio banco. No revierten las transferencias, sino que las ejecutan,

“La estafa aún no se había dado, se materializa cuando la víctima divulga los códigos. Además, el banco no se va a hacer cargo de las pérdidas, ya que esas transferencias las ha autorizado el cliente a través de los códigos recibidos".

La ciberseguridad es completamente necesaria en empresas, administraciones y particulares

El experto enfatiza la importancia de comprender cómo operan los estafadores y adoptar buenas prácticas para utilizar la tecnología de manera segura y por ello anima a acudir al "Ciberday" de este jueves, 26 de octubre, en la Fundación Diaz Caneja donde se explorarán este tipo de estafas y muchas otras, además de destacar las mejores prácticas en seguridad.

El VI Ciberday cuenta con el patrocinio del Ayuntamiento y la Diputación de Palencia y permitirá abordar los retos y oportunidades de las pymes en materia de ciberseguridad, cómo gestionarla en empresas, hogares y administraciones y la amenaza del crimen organizado.

De ello se encargarán el presidente de APETIC y fundador de Grupo CFI, Julio Cesar Miguel; el director general del INCIBE, Félix Barrio; y altos cargos de los departamentos de ciberseguridad de la Guardia Civil y la Policía Nacional.

El objetivo de la jornada es "ser un poco menos accesibles para los estafadores"