Las brechas de datos conllevan muchos costes, tantos directos como indirectos. El impacto financiero inmediato pueden ser las multas impuestas por las autoridades de protección de datos, como las relacionadas con el GDPR. Pero también hay costes que impactan más a medio plazo y de manera indirecta. De hecho, el mayor coste de una brecha de datos es la pérdida de negocio por el daño reputacional después de sufrir un ciberincidente de este tipo. Sin embargo, hay brechas de datos que tienen otras consecuencias financieras también.
Última brecha de datos con pérdidas millonarias
El 13 de mayo, el fondo soberano de inversión de Noruega, Norfund, anunció que había perdido 10 millones de dólares en una “brecha de datos avanzada”. En una declaración, el fondo dijo que estaba “colaborando estrechamente con la policía y otras autoridades relevantes” después de que “una serie de eventos” permitiera que cibercriminales robaran 10 millones de dólares de la organización.
Cómo consiguieron llevar a cabo esta estafa
En la declaración, el fondo explicó que una brecha de datos había dado a unos cibercriminales acceso a información acerca de un préstamo de $10M. Utilizando una combinación de datos manipulados e información falsificada, los estafadores pudieron hacerse pasar por la institución que pedía el préstamo para desviar los fondos a su cuenta bancaria.
Explicó un portavoz de Norfund que “los estafadores manipularon datos y falsificaron el intercambio de información entre Norfund y la entidad que pidió el préstamo de una manera realista en cuanto a la estructura, contenido y uso de lenguaje. Se falsificaron documentos y detalles de pago”.
Los fondos robados fueron desviados a una cuenta en México que tenía el mismo nombre que la institución de microfinanzas de Camboya que había pedido el préstamo. El robo ocurrió el 16 de marzo, pero no se descubrió hasta el 30 de abril, cuando los estafadores intentaron obtener más dinero de Norfund.
Las estafas BEC: una amenaza muy presente
Aunque Norfund no ha revelado muchos detalles sobre cómo los estafadores pudieron manipular las comunicaciones entre la organización y los recipientes legítimos del préstamo, es muy probable que se trata de una estafa BEC. Las estafas BEC (business email compromise) utilizan la suplantación de identidad de un cliente o un responsable de la empresa para conseguir que la víctima realice una transferencia bancaria a una cuenta fraudulenta.
Las estafas BEC generan cada vez más dinero. En 2017, esta modalidad de cibercrimen causó pérdidas de 676 millones de dólares en Estados Unidos; en 2019, la cifra ascendió a 1.770 millones de dólares, la mitad de todo el dinero perdido al cibercrimen.
Cómo evitar incidentes de este tipo
Este ciberincidente en Norfund ha utilizado una combinación de tácticas para robar los 10 millones de dólares. Sin embargo, como ha explicado la organización, pudo llevarse a cabo por una brecha de datos. Los datos que maneja tu empresa, ya sean datos personales o confidenciales, deben ser protegidos con medidas muy estrictas para evitar la exfiltración. Panda Data Control descubre, audita y monitoriza los datos de carácter personal desestructurados en los equipos: desde el dato en reposo (data at rest), hasta las operaciones sobre ellos (data in use) y su tránsito (data in motion). De este modo, si alguien intenta llevar a cabo cualquier acción sobre los datos personales o intenta sustraerlos, recibirás una notificación.
Las estafas BEC siempre empiezan con un correo electrónico. De hecho, el correo electrónico es la puerta de entrada de la mayoría de las ciberamenazas actuales. Ante esta situación, es vital concienciar a los empleados acerca de la importancia de ser prudente a la hora de recibir correos electrónicos; nunca hay que abrir emails o archivos adjuntos de remitentes desconocidos.
Estas estafas son una amenaza que no deja de crecer y que puede causar serias pérdidas económicas en una empresa. Siguiendo estos consejos puedes evitar que tu empresa sea la próxima víctima.