Ocho de cada diez ciberataques buscan al empleado para penetrar en la empresa, según Grant Thornton

Tras los ataques a empresas como Iberdrola, Santander o Telefónica, las compañías se apresuraron en asegurar que no se había comprometido información sensible de los cientos de miles de afectados. Sin embargo, parece claro que nadie está a expensas de recibir un ciberataque.

Hay que recordar que la criminalidad aumentó en España un 5,9% en el año 2023 arrastrada por el alza de la ciberdelincuencia, que fue del 25,5%, aunque también por el de los delitos contra la libertad sexual, con un aumento del 15%.

Según el balance de criminalidad del año 2023, publicado por el Ministerio del Interior, el año cerró con 2.459.659 infracciones penales, de las que 1.989.271 correspondieron a la delincuencia convencional (un 2,1% más que en 2022) y 470.388 fueron ciberdelitos.

De ellos, el 90% fueron estafas informáticas, que crecieron un 27% con respecto al año anterior. En este sentido, Interior destaca que en ocho años este tipo de estafas han aumentado un 508%, fruto sobre todo de la falta de políticas de prevención de empresas y organismos públicos y de la carencia de planes claros de respuesta a incidentes, en un panorama donde el tejido empresarial está formado en su totalidad por pymes con pocos recursos.

Otro elemento en el que coinciden los expertos consultados por Economist & Jurist es en el papel de las herramientas de inteligencia artificial (IA) en la doble faceta de ayudar a prevenir estos hechos delictivos, ahora más sofisticados porque algunos de ellos se apoyan en herramientas de IA para generar que el fraude sea imperceptible realmente.

Los ciberataques han tocado techo durante los últimos meses por el rápido desarrollo tecnológico, el boom de la inteligencia artificial y, sobre todo, la visión de negocio de los estafadores. La semana pasada, Telefónica confirmó que investigaba una posible filtración de datos con más de 120.000 clientes y trabajadores afectados.

Los nombres y apellidos, las cuentas de correo electrónico y los números de teléfono eran el principal objetivo de los hackers. Dos días después, otro grupo criminal aseguró tener bajo control los datos de millones de usuarios de Ticketmaster, la conocida plataforma para comprar entradas de conciertos, festivales y obras de teatro.

El empleado punto débil de las compañías

En este sentido, Cristina Muñoz-Aycuens, directora de Fosensic de Grant Thornton, también alertó de que, según la compañía, ocho de cada diez ataques cibernéticos que sufren las empresas están dirigidos a empleados, a través malware o phishing. “Parece que la ciberseguridad no es un problema hasta que ocurre y en España no somos nada preventivos en este sentido”, afirma.

Desde su punto de vista, “la inversión en ciberseguridad es muy necesaria y eficaz ya que, si ocurre cualquier problema y no hemos tomado precauciones, la empresa tiene que afrontar muchos gastos, entre lo que pueden estar los de detener su producción durante cierto tiempo”, advierte.

Una de las mayores amenazas es el de la suplantación de la identidad, que no solo ocurre a nivel particular, sino también en el ámbito de las compañías. Las empresas pueden tener un gran volumen de información accesible a cualquiera, con la que “los cibercriminales se pueden hacer pasar por un director financiero de cualquier compañía y llegar a generar un problema muy grave”, asegura Muñoz-Aycuens.

Cristina Muñoz-Aycuens cree que los datos van a crecer porque muchas empresas no invierten en prevención. (Imagen: Grant Thornton)

Otro de los riesgos comunes suele venir también por parte de los proveedores. Este es, de hecho, el ataque cibernético que ha sufrido recientemente Iberdrola —la principal eléctrica de nuestro país— que ha comprometido la información de 850.000 clientes, y que se suma a los de otras multinacionales españolas como Banco Santander o Telefónica, o incluso instituciones públicas como la DGT, que tampoco se han librado de este tipo de ataques que pueden llegar a poner en riesgo información sensible de la compañía y terminar impactando en su reputación de forma sustancial.

Para Cristina, “la mejor herramienta para luchar contra estos ciberataques es la prevención, contar con una adecuada inteligencia de datos que nos permita tener toda la información disponible en Internet y hacerlo de forma segura, algo en lo que el OSINT puede contribuir a evitar esas brechas de seguridad y entornos proclives a los hackeos”.

Se invierte poco en prevención

Desde su punto de vista, “es previsible que estos datos sigan creciendo por la transformación que llevan a cabo empresas y organizaciones públicas donde el uso de medios electrónicos permite a los ciberdelincuentes realizar su trabajo en un entorno en el que la trazabilidad de su identidad es mas complicada de detectar en medios digitales. Es el momento de incrementar las medidas preventivas y de concienciación para frenar esta escalada de ciberdelitos”.

Para esta experta “se invierte muy poco en prevención. Las pymes, que son las más vulnerables, creen que nunca van a ser atacadas y son las que menos políticas y estrategias de seguridad tienen en marcha. En un país como el nuestro somos más reactivos en muchas facetas; salvo las empresas más grandes que invierten más en prevención. Sin embargo, en países como Estados Unidos se venden muchos servicios de consultoría en materia de prevención”.

Junto a ello, cree que también “las organizaciones deben invertir en concienciación. Es fundamental formar a todos los profesionales de cada entidad para que realmente conozcan bien las situaciones de fraudes en las que pueden ser inmersos y no sean un elemento por el que pueden entrar los ciberdelincuentes. Todavía los informes de consultoras como Gartner señalan que el factor interno es clave en la mayor parte de estos ciberdelitos por no estar preparados realmente”.

Desde su punto de vista, la llegada de directivas como NIS2 o Reglamento Dora —que se aplica en el sector financiero— obligan a las empresas a ser más proactivas en sus estrategias de ciberseguridad. Esto puede ayudar a mitigar el impacto de este tipo de incidentes. Esta nueva normativa obligará a las empresas a tener planes de respuestas ante incidentes. Los últimos informes señalan que el 70% no tienen ese plan de respuesta, con lo cual la gestión a esos incidentes no es la más adecuada”.

Para esta experta, la llegada de directivas como NIS2 o Reglamento Dora que obligan a reforzar medidas, podrían ayudar a reducir estas cifras. (Imagen: Grant Thornton)

Para esta experta, “las estafas informáticas cada vez son más sofisticadas. Un ejemplo es la estafa del CEO, donde es complicado discernir si estamos recibiendo un correo electrónico incorrecto o no. El uso de la IA a ese tipo de estafas las hace en algunos casos imperceptibles. Se usan deepfakes mediante los cuales puedes crear que realmente estás hablando con tu jefe”.

La importancia del OSINT

Las fuentes abiertas —OSINT, Open Source INTelligence, por sus siglas en inglés— ofrecen en Internet grandes volúmenes de información sobre las empresas y sus empleados, lo cual, con la inteligencia adecuada, brinda oportunidades infinitas, pero también riesgos importantes a nivel de seguridad y reputación que las compañías deben tener en cuenta a la hora de tratar la información, más si cabe ante el incremento de ataques cibernéticos corporativos que se han producido en los últimos meses.

Al respecto, desde Grant Thornton aseguran que es vital que las empresas tengan bien controlada la información que ofrecen en Internet, para evitar la exposición a riesgos de ciberseguridad y de reputación en un contexto en el que varios estudios señalan que los ciberataques han aumentado entre un 25 y un 30%. En el caso de nuestro país, el Centro Criptológico Nacional registra la cifra de 940.776 cibercrímenes en los últimos nueve meses, lo que supone un incremento del 21,5% respecto al año anterior.

Grant Thornton es una firma de servicios de auditoría, consultoría y asesoramiento fiscal, legal y financiero. Pertenece a una de las organizaciones mundiales líderes en servicios profesionales, Grant Thornton Internacional, con 68.000 profesionales presentes en más de 140 países. En España dispone de un área de forensic que ayuda a las empresas a monitorizar incidentes y gestionar el impacto que ha tenido en las organizaciones.

“El OSINT es una herramienta muy útil para las empresas que consiste en obtener e interpretar la información que está disponible en canales abiertos o que supongan cierto pago. Es decir, no solo es buscar a través de los canales habituales, como Google, sino también hacerlo con herramientas muy avanzadas en deep web, dark web o registros. Todo ello tiene una gran utilidad para las corporaciones, pero también supone grandes riesgos si no se hace de manera adecuada, con los conocimientos y protocolos necesarios”, asegura Cristina Muñoz-Aycuens, directora de Forensic de Grant Thornton.

El OSINT, entre otras ventajas, permite analizar la reputación de una compañía; así, por ejemplo, en el supuesto de una adquisición se puede estudiar la reputación para operaciones de compra o la trazabilidad de activos.

En el caso de la desinformación o fake news, permite confirmar la veracidad de las informaciones y evitar así una crisis mayor. Asimismo, las fuentes abiertas también pueden prevenir casos de cibercrimen y evitar suplantaciones, ya que los ciberdelincuentes suelen buscar información en estas fuentes: “La tecnología al servicio de la ingeniería social en la lucha contra el cibercrimen”, recuerda esta experta.