Mantenerse seguro y protegido: Evitar estafas empresariales

Cómo mantenerse seguro y protegido

Ciberdelincuencia: la ciberdelincuencia es cualquier actividad ilegal que se realiza mediante el uso de computadoras o internet.^[1]

Fraude externo: esto incluye el fraude que se comete contra la organización desde afuera, ya sea por un proveedor, un cliente, un competidor o un delincuente.^[2]

Fraude interno: esto ocurre cuando un empleado, gerente o ejecutivo de una organización engaña a la misma organización.^[3]

El FBI reportó un incremento del 10 % en los reportes de ciberdelincuencia en el 2023, y un incremento del 22 % en pérdidas, cuyo total superó los $12,500 millones.^[4] Por su parte, el fraude interno genera pérdidas de $145,000 por caso en promedio y normalmente tiene una duración de 12 meses.^[5]

Víctimas de suplantación de identidad en el 2023: 298,878^[6]
Pérdidas por vulneración de correo electrónico empresarial en el 2023: $2,900 millones^[6]
Número promedio de días para descubrir una filtración en el 2023: 258^[7]
Costo promedio global de una filtración de datos en el 2023: $4.88 millones^[7]
Porcentaje de filtraciones que implican a atacantes externos en el 2023: 65%^[8]
Porcentaje de filtraciones que implican a atacantes internos en el 2023: 35 %^[8]

Amenazas de seguridad comunes

Vulneración del correo electrónico empresarial Los delincuentes vulneran las cuentas de correo electrónicos empresariales legítimas para indicar a otros empleados “buenos” que realicen acciones que resulten en transferencias de fondos fraudulentas.	Malware Software dañino diseñado para obtener acceso no autorizado a dispositivos, redes y sistemas. Incluye virus, spyware, ransomware y adware.	Suplantación de identidad Comunicaciones por correo electrónico destinadas a engañar al destinatario para que revele información sensible. La suplantación de identidad está dirigida a grandes grupos. El spearphishing se dirige a personas concretas.	Secuestro cibernético de datos El software malicioso se utiliza para cifrar los archivos de la víctima, denegándole el acceso. A continuación, el atacante exige el pago de un rescate para ceder el control.
Ataque de contraseña El atacante descifra o adivina una contraseña de un usuario o la somete a ingeniería social para acceder a los dispositivos, la red o los sistemas de una compañía.	Formjacking (robo de formularios) Los delincuentes utilizan código malicioso para hackear un formulario web y recopilar datos.	Amenazas internas Las personas autorizadas dan un mal uso al acceso a los activos de una organización o cometen errores que generan vulnerabilidades.	El aumento de la IA generativa Los delincuentes tienen acceso a la IA generativa y han comenzado a usarla para crear correos electrónicos de suplantación de identidad, deepfakes, códigos maliciosos, sitios web falsos y documentación falsificada, entre otros usos innovadores.

Refuerce sus defensas

Los atacantes aprovechan los puntos débiles de las estrategias de ciberseguridad de su compañía. Aquí le explicamos cómo reforzar sus defensas:  

Invierta en seguridad: el software antivirus, antimalware, firewall y de detección de intrusos puede dificultar la violación de sus sistemas de seguridad y generar alertas si un atacante logra su cometido.

Proporcione capacitación a los empleados: debe educar a los empleados sobre las amenazas que su empresa enfrenta y capacitarlos con respecto a cómo identificar las amenazas y responder a ellas. Actualice su capacitación para que incluya los esquemas facilitados mediante IA generativa, tales como los deepfakes y los ataques de ingeniería social automatizados.

Instale parches y actualizaciones de software: instale parches y actualizaciones lo antes posible. No hacerlo deja a su organización expuesta.

Solicite la autenticación multifactorial: solicite que los usuarios verifiquen su identidad de más de una manera, por ejemplo, usando una contraseña segura y un código que se envíe a su teléfono.  

Limite el acceso a los datos de los empleados: proporcione a los empleados los datos que necesitan para realizar su trabajo y elimine los privilegios de acceso adicionales. Revise el acceso de todos los usuarios cuando menos dos veces al año.

Haga una copia de seguridad de sus datos: cree copias de seguridad en línea y fuera de línea de sus datos diariamente.

Cree un plan de respuesta a incidentes: tenga un plan a seguir durante un ataque. Ponga a prueba el plan con frecuencia, incluso contratando a una empresa externa para evaluar su eficacia.

Monitoree y alerte sobre el fraude: preste particular atención a los esquemas de fraude emergentes que implican la IA. Revise constantemente la eficacia de sus políticas, procedimientos y tecnología para combatir la amenaza y establezca un sistema de alerta para ayudar a identificar las actividades anómalas.

Control dual obligatorio: pida que dos empleados realicen las tareas propensas al fraude, como el envío de pagos a proveedores.     

Realice evaluaciones de riesgos: examine toda su empresa en busca de posibles puntos débiles de seguridad. Documente los resultados y aborde los puntos débiles.