Los ciberdelincuentes siempre están atentos a cualquier oportunidad que permita aprovecharse de las vulnerabilidades para tratar de lucrarse a nuestra costa.
Si piensas que tu empresa es muy pequeña y que estás a salvo porque nos hackers no se van a interesar en ella, estás muy equivocado, ya que 7 de cada 10 ciberataques se dirigen a pymes, como contábamos en este artículo.
Por ejemplo, hace apenas unos días explicábamos que los estafadores están aprovechando la vuelta de las vacaciones para lanzar una campaña con el fin de robar credenciales de acceso bajo el subterfugio de supuestas facturas pendientes de pago.
Y ahora hemos conocido dos nuevas maneras que están empleados los ciberdelincuentes para intentar atacar a la empresa.
Cuidado con las propuestas en LinkedIn
La primera de ellas se sirve de un entorno aparentemente seguro como es LinkedIn. Esta red social profesional no suele albergar este tipo de amenazas, por lo que los atacantes saben que pueden cogernos con la guardia baja. Sin embargo, siempre hay que estar alerta, porque los ciberdelincuentes innovan continuamente.
Los expertos de Panda Security han detectado una oleada de ataques a pymes a través de los mensajes internos de LinkedIn, mediante los que los ciberdelincuentes intentan colar malware en nuestros equipos.
De esta manera, los hackers emplean la denominada ingeniería social para pedir propuestas económicas en las páginas corporativas de cientos de pymes en LinkedIn o en los perfiles de sus directivos.
Su modus operandi en sencillo, pero muy eficaz. Los ciberdelincuentes se hacen pasar por directivos de una empresa para solicitar nuestros servicios, facilitando una dirección de correo electrónico muy similar a una dirección real.
Así empieza una conversación que acaba desembocando en el envío de una documentación que hemos de descargar para firmar un contrato de prestación de servicios. Sin embargo, lo que se esconde tras ese archivo realmente es un fichero infectado de malware que puede llegar a tomar el control de todo el sistema informático de la compañía cuando hacemos clic.
La compañía de ciberseguridad alerta de que el ataque está tan bien diseñado que más del 85% de las empresas que han recibido estos mensajes han caído en la trampa.
“Pensaba que habíamos ganado un contrato de 150.000 euros. Pero en lugar de eso, nos hackearon a toda la empresa”, explica el CEO de una pequeña consultora de transporte y logística a Panda Security.
“En el email en el que nos indicaban cómo descargar las bases del proyecto, mencionaban un presupuesto e incluso la comisión habitual que se suele cobrar por el éxito en los servicios que ofrecemos”, añade.
La compañía de ciberseguridad ofrece otros ejemplos, como el de una agencia de publicidad en internet que ha recibido cinco ataques distintos en lo que va del mes de septiembre. “Los timos estaban tan bien perpetrados que la persona encargada de leer los emails internos de LinkedIn ha caído en el engaño tres veces seguidas”, apunta el director general de la pyme víctima de los ataques.
Panda Security precisa que en los mensajes se suplanta la identidad de directivos de marcas de renombre, creando perfiles de LinkedIn muy trabajados, por lo que las solicitudes parecen legítimas.
Los ciberdelincuentes quieren tu teléfono
Otra forma de ataque que han detectado los expertos de ESET se enfoca en el número de teléfono móvil de sus víctimas, que pueden ser tanto particulares como empresas.
Los ciberdelincuentes lo quieren porque les permite realizar fraudes, enviar mensajes maliciosos o incluso acceder a información sensible, como cuentas bancarias o datos corporativos.
Además, la empresa de ciberseguridad advierte que los atacantes se pueden hacer con nuestro número de teléfono muy fácilmente, ya sea a través de filtraciones de datos o campañas de phishing. Y una vez que los tienen, pueden realizar diversos ataques.
Uno de las modalidades empleadas es el smishing. “Los estafadores utilizan mensajes de texto para enviar enlaces o archivos maliciosos que, si se abren, pueden instalar spyware o malware en tu dispositivo”, detalla ESET. Asimismo, recurren a sitios web de phishing que buscan robar credenciales o información personal.
Otras formas más elaboradas son el desvío de llamadas, el intercambio de la tarjeta SIM o la suplantación del identificador de llamadas. “Los estafadores también pueden manipular tu línea telefónica desviando tus llamadas a números bajo su control, lo que les permite interceptar información sensible. El intercambio de SIM, donde los delincuentes transfieren tu número a su tarjeta SIM, es aún más grave, ya que te deja sin acceso a tu línea mientras ellos utilizan tu número para realizar fraudes. Además, pueden falsificar su identificador de llamadas, utilizando Voz sobre Protocolo de Internet (VoIP), para hacerse pasar por ti o por un contacto de confianza, ocultando su verdadera identidad mientras cometen delitos”, especifica la firma de seguridad.
Los ciberdelincuentes también pueden valerse del phishing para obtener datos corporativos. “En el entorno corporativo, la dependencia de teléfonos para revisar correos y mensajes de trabajo presenta un riesgo adicional, creando un vector de ataque considerable, ya que los ordenadores dejaron de ser hace tiempo los únicos puntos de acceso para comprometer dispositivos”, recalca ESET.
“Los ciberdelincuentes aprovechan esta situación para realizar ataques de phishing dirigidos, suplantando a ejecutivos o departamentos de contabilidad para solicitar transferencias de dinero o acceso a sistemas críticos. La falta de verificación de la legitimidad de estas solicitudes facilita los ataques, que pueden resultar en pérdidas financieras significativas para las empresas”, avisa la compañía.
Por último, se detiene en el conocido fraude del CEO. “Los estafadores se hacen pasar por cargos directivos para realizar solicitudes urgentes de fondos. Con el uso de inteligencia artificial para clonar voces, estas llamadas parecen legítimas y suelen provenir de números auténticos, lo que aumenta la credibilidad del engaño y la posibilidad de éxito”, señala ESET.
