El 8 de mayo, Amazon anunció que había sido víctima de un fraude “extensivo” en el que unos hackers no identificados desviaron fondos de durante un periodo de seis meses. La empresa cree que fue víctima de un ciberataque serio, en el que los atacantes consiguieron comprometer alrededor de 100 cuentas.
¿La motivación? Como en la mayoría de los casos, el lucro económico. Según explica Amazon, es muy probable que las cuentas fueran comprometidas a través de la técnica de phishing, acción en la que los vendedores fueron engañados para que revelaran sus claves de acceso. Con esta información, los hackers consiguieron cambiar los detalles de las cuentas bancarias para que el dinero que ganaban estos vendedores fuera directamente a sus arcas, en vez de a las cuentas legítimas, según reflejan los documentos legales que fueron presentados en Reino Unido.
¿Uno de los principales problemas? El largo periodo de tiempo en el que estas cuentas fueron comprometidas, sin tener conocimiento de ello. Los robos tuvieron lugar entre mayo y noviembre del año pasado. El periodo de tiempo tan extendido en el que han podido actuar los cibercriminales es un indicador de la necesidad de cerrar el gap de detección, es decir el tiempo entre que una acción cibercriminal empieza y cuando se detecta.
Por su parte, Amazon ha pedido a Barclays acceso a información sobre las cuentas a las que cree que los cibercriminales han desviado el dinero robado. Estos documentos son necesarios “para investigar el fraude, identificar y perseguir a los autores del delito, localizar los fondos malversados, cerrar el fraude e impedir futuras infracciones.”
El phishing: una táctica criminal muy eficiente
Un fraude de tales dimensiones a la mayor plataforma minorista online de todo el mundo subraya el alcance que puede tener el phishing y los efectos que puede tener sobre incluso las empresas más conocidas del mundo.
El phishing es una técnica de cibercrimen que existe desde que se inventó el correo electrónico, y el número de víctimas aumenta cada año: en 2017 el 76% de las empresas del mundo experimentó un ataque de phishing; en 2018, fue el 83%. Según Verizion, el 93% de las brechas de datos empiezan con un ataque de phishing y el 95% de todos los ciberataques a redes corporativas resultan de un email de phishing. BEC (Business Email Compromise), un tipo sofisticado de phishing muy dirigido, costó a empresas en Estados Unidos unos 12 mil millones de dólares entre 2013 y 2018.
La importancia del dinero en los ataques es evidente si consideramos que de los 10 campañas de phishing más efectivas del año pasado, 6 utilizaron como asunto “factura”, mientas las otras 4 campañas del top 10 utilizaban términos como “trasferencia” o “pago”.
Es vital saber cómo hacer frente a ataques e incidentes de este tipo. Y el primer paso es concienciar a los empleados para que sepan identificar los emails de phishing. Algunos de las claves que indican que se trata de phishing son:
- Dominios de remitentes que son parecidos pero que no coinciden 100% con la dirección de correo habitual.
- Faltas de ortografía y de gramática.
- Un cambio del idioma que se suele utilizar en las comunicaciones.
Para que toda la empresa sepa reconocer estos emails y sepa qué tiene que hacer al encontrarse con uno, conviene llevar a cabo simulacros de phishing.
Otra clave es la prudencia. Es importante que los empleados no abran ningún archivo adjunto hasta que sepan a ciencia cierta que el correo procede de un remitente conocido y se trata de un archivo seguro.
Aunque un correo electrónico no tenga ninguna indicación “típica” de phishing, pero sí levanta sospechas igualmente, siempre conviene comprobar su contenido, sobre todo si se trata de trasferencias financieras.
Al final, como es extensible a la mayoría de problemas de ciberseguridad, los riesgos de los ataques por email se evitan con una combinación de factores humanos y tecnológicos: el sentido común y la formación de empleados para adquirir experiencia para prevenir y detectar los ataques y el uso de plataformas de ciberseguridad avanzadas que tengan las suficientes capacidades para alertar de peligros que hayamos podido pasar por alto.