[29/03/2022] Un nuevo informe publicado por el Centro de Denuncias de Delitos en Internet (IC3) del FBI muestra que las pérdidas financieras debidas a presuntos delitos cibernéticos siguieron aumentando considerablemente a lo largo del 2021, hasta un total de 6.900 millones de dólares solo en ese año, con 847 mil denuncias presentadas por las víctimas.
Hace cinco años, el mismo informe mostraba que la delincuencia basada en Internet representaba 1.400 millones de dólares, con 301.580 denuncias. El crecimiento más pronunciado y constante se observó en el ámbito del phishing y otros tipos de ataques basados en credenciales, que pasaron de unos 25 mil incidentes en el 2017 a casi 324 mil en el 2021.
Por valor, según el FBI, el delito basado en Internet más dañino en el 2021 fue el compromiso del correo electrónico empresarial: el IC3 dijo que se recibieron casi 20 mil quejas sobre compromisos de correo electrónico en el 2021, y situó las pérdidas totales ajustadas en casi 2.400 millones de dólares. Este tipo de estafa ha evolucionado considerablemente desde sus raíces en los correos electrónicos falsos y las transacciones fraudulentas de pagos por cable, según el informe.
"Ahora, los estafadores están utilizando plataformas de reuniones virtuales para hackear correos electrónicos y falsificar las credenciales de los líderes empresariales para iniciar las transferencias electrónicas fraudulentas", según el informe del FBI. "Estas transferencias electrónicas fraudulentas a menudo se transfieren inmediatamente a billeteras de criptomonedas y se dispersan rápidamente, lo que dificulta los esfuerzos de recuperación".
Estos ataques pueden ser muy sofisticados, según el informe. Cuando el correo electrónico de un CEO o CFO se ve comprometido, los hackers pueden utilizarlo para invitar a los empleados a una videoconferencia. Durante la reunión, el atacante utiliza una imitación de la voz del ejecutivo, quizá acompañada de una afirmación de que el video no funciona, para dar instrucciones a los empleados de transferir fondos, o incluso simplemente utilizar la dirección de correo electrónico para enviar directamente esas instrucciones fraudulentas.
Está claro que COVID-19 dio mucho más impulso a este tipo de ataques al provocar una explosión en el uso de teleconferencias de diversa índole, y el hecho de que esas prácticas empresariales no hayan desaparecido ni siquiera ante la disminución de la gravedad de la pandemia significa que es probable que los ataques dirigidos a reuniones virtuales sigan existiendo también.
El FBI también ha publicado una serie de orientaciones para las víctimas de los ataques por correo electrónico, a saber, ponerse en contacto inmediatamente con las instituciones financieras de origen para solicitar una anulación y una carta de exención de responsabilidad, presentar una queja ante el IC3 y evitar realizar cualquier tipo de cambio de pago sin verificar el destinatario.
A nivel estatal, la jurisdicción estadounidense más afectada en el 2021 fue California, con 1.200 millones de dólares en pérdidas. El segundo lugar lo ocupó Texas, con 606 millones de dólares, y Nueva York quedó en tercer lugar, con 559 millones de dólares.
Basado en el artículo de Jon Gold (CSO) y editado por CIO Perú