Los tipos de ciberdelincuencia varían mucho y son un problema creciente para empresas de todos los tamaños e industrias. Dado que Internet y la tecnología se utilizan en casi todos los aspectos de la vida, no es de extrañar que los delincuentes se hayan adaptado para aprovecharse de ello.
Las empresas deben ser conscientes de los distintos tipos de ciberdelitos y del daño potencial que pueden causar a su organización, empleados y clientes, de modo que puedan tomar las medidas adecuadas para protegerse.
¿Qué es la ciberdelincuencia?
La ciberdelincuencia es cualquier ataque que utilice las redes informáticas, incluido Internet, como medio principal para cometer un delito. Los ciberdelincuentes utilizan programas informáticos de pirateo y otros medios tecnológicos para robar datos y dinero, estafar a particulares y empresas e interrumpir servicios. Los ciberdelitos pueden producirse cuando los ordenadores o las redes informáticas se utilizan como herramientas para infringir la ley. Los ciberdelitos suelen cometerse a distancia, lo que dificulta su detección y seguimiento.
Los daños y costes de la ciberdelincuencia
La revista Cybercrime Magazine predijo que los costes estimados de la ciberdelincuencia alcanzarán los 10,5 billones de dólares anuales en 2025, frente a los 3 billones de 2015, lo que la convierte en uno de los delitos más costosos del mundo.
Según el informe sobre estafas en Internet 2021 del FBI, la extorsión, el robo de identidad, la violación de datos, el impago y la falta de entrega, y el phishing (incluidos el vishing, el smashing y el pharming) representan más de la mitad de estos daños.
Las estafas de compromiso del correo electrónico comercial (BEC) (también conocidas como compromiso de la cuenta de correo electrónico (EAC)) representaron 2.300 millones de dólares de los 6.900 millones. Se trata de estafas en las que un atacante se hace pasar por un ejecutivo o empleado de una empresa para engañar a alguien con el fin de que transfiera fondos o información confidencial de su negocio, como secretos comerciales, estados financieros y otra información de propiedad.
Aparte de las pérdidas financieras, las empresas se enfrentan a un riesgo para su reputación cuando sufren un ciberataque, ya que es menos probable que la gente confíe en ellas y en sus productos o servicios. La información personal sensible de empleados y clientes también puede verse comprometida, exponiendo la responsabilidad de la empresa si se descubre negligencia por su parte.
Tipos comunes de ciberdelincuencia
Con el panorama digital en constante evolución, una amplia variedad de ciberamenazas pueden tener graves consecuencias para las empresas si no se abordan adecuadamente. Desde los ataques de malware y ransomware hasta el phishing y el robo de identidad, comprender los diferentes tipos de ciberdelitos es el primer paso para proteger a las empresas y sus datos de los ciberdelincuentes.
Phishing
El phishing es una de las formas más comunes que tienen los hackers y los ciberdelincuentes de robar información. Las estafas de phishing suelen consistir en hacerse pasar por una empresa u organización legítima para obtener los datos confidenciales de las víctimas, como contraseñas y números de tarjetas de crédito.
Los correos electrónicos de phishing suelen estar diseñados para parecer que proceden de una fuente legítima, como una institución financiera, el Servicio de Impuestos Internos (IRS) o una agencia gubernamental, con el fin de engañar a las personas para que proporcionen información personal.
Estas estafas suelen consistir en un correo electrónico o una llamada telefónica en la que se informa a los destinatarios de que deben actualizar la información de su cuenta inmediatamente o corren el riesgo de quedar bloqueados. Este tipo de estafa ha aumentado drásticamente en los últimos años porque es fácil de hacer y difícil de rastrear hasta el autor. Wandera -una empresa de seguridad informática- informó de que cada 20 segundos se crea un nuevo sitio de phishing.
Es decir, se crean tres nuevos sitios web de phishing por minuto, lo que expone a las empresas a amenazas potenciales. La mejor manera de evitar ser víctima es educar a los empleados sobre las señales de advertencia de los correos electrónicos de phishing y crear políticas sobre lo que los empleados deben hacer si sospechan que un correo electrónico podría ser falso.
Hackeo
El pirateo informático es el acto de obtener acceso no autorizado a un sistema informático para infectar los ordenadores de sus víctimas o eludir las medidas de seguridad. Los piratas informáticos -alguien que utiliza sus conocimientos para explotar las vulnerabilidades de un sistema informático- pueden causar diversos problemas a las empresas, desde entrar en sus sistemas informáticos hasta acceder a datos confidenciales.
Pueden incluso destruir la reputación de la empresa publicando información privada sobre ella y amenazándola con más. A menudo se les denomina hacktivistas. Existen tres tipos de hacking: hacking de sombrero blanco(hacking ético), hacking de sombrero negro y hacking de sombrero gris.
- Los hackers de sombrero blanco utilizan sus habilidades para encontrar fallos en el software antes de que lo hagan los usuarios malintencionados; informan de los fallos para que puedan ser corregidos.
- Los hackers de sombrero negro crean programas diseñados para entrar en los ordenadores de otras personas, robar información y venderla en la web oscura.
- Los hackers de sombrero gris utilizan técnicas que se sitúan entre estos dos extremos; intentan identificar las vulnerabilidades de un sistema, pero sus métodos pueden violar las leyes o las normas éticas.
Cryptojacking
El criptojacking es un ciberdelito en el que los hackers explotan ilegalmente los ordenadores y las redes de las personas para minar criptomonedas. Según los datos de SonicWall, el volumen mundial de criptojacking aumentó hasta los 66,7 millones en el primer semestre de 2022, lo que supone un incremento del 30% con respecto al primer semestre de 2021. El sector financiero fue el más afectado, con un aumento del 269%.
Uno de los principales problemas del criptojacking es la carga excesiva que supone para el uso de la CPU, lo que provoca que los sistemas se ralenticen considerablemente o incluso se bloqueen por completo. A veces esto ocurre antes de que las empresas se den cuenta de que están siendo atacadas. Las organizaciones pueden protegerse de este tipo de delitos haciendo que un profesional de la seguridad informática supervise periódicamente el sistema en busca de picos inusuales en el uso de la CPU.
Suplantación de identidad
Este ciberdelito se produce cuando alguien disfraza su identidad en Internet para engañar o estafar a otra persona. Estos delitos pueden incluir la suplantación de identidad por correo electrónico, teléfono, perfiles falsos en redes sociales y anuncios falsos. Un ejemplo es cuando un individuo envía un correo electrónico que parece proceder de un compañero de trabajo solicitando información sensible en nombre del director general de la empresa.
Los falsificadores también pueden crear páginas web que parezcan relacionadas con su empresa pero que estén diseñadas para recopilar información personal. La mejor forma de evitar estas estafas es comprobar los enlaces antes de hacer clic en ellos o enviar cualquier dato. También debe tener cuidado con los correos electrónicos no solicitados que le piden su contraseña, números de cuentas financieras u otra información confidencial.
Ransomware
El ransomware es una forma de malware que ataca los sistemas informáticos, bloquea los datos y exige un pago para desbloquearlos. Una vez que un ordenador ha sido infectado con ransomware, se suele pedir al usuario que pague un rescate para recibir una clave de descifrado necesaria para abrir el ordenador y recuperar el control de los datos.
El coste medio de un ataque de ransomware supera los 4 millones de dólares, mientras que el de un ataque destructivo supera los 5 millones. Las infecciones por ransomware pueden prevenirse a menudo siguiendo prácticas básicas de seguridad como mantener actualizado el sistema operativo o evitar hacer clic en enlaces o archivos adjuntos sospechosos de remitentes desconocidos.
Cross-Site Scripting
Cross-Site Scripting (XSS) es una vulnerabilidad de seguridad web que se produce cuando un atacante inyecta scripts maliciosos en un sitio web o aplicación web de confianza. El XSS puede permitir a los atacantes hacerse con el control de la sesión de un usuario, robar sus credenciales de acceso y recopilar datos valiosos.
Por ejemplo, los atacantes pueden colocar un código malicioso en un sitio comprometido que espera a que un usuario desprevenido inicie la sesión para ejecutar comandos que pueden revelar información de la máquina de la víctima. En ocasiones, estas vulnerabilidades permiten a los atacantes secuestrar una sesión y suplantar por completo la identidad de la víctima.
Existen tres tipos de XSS: XSS almacenado, XSS reflejado y XSS basado en DOM (Modelo de objetos del documento).
- Un ataque XSS almacenado (persistente) se aprovecha de la falta de validación de entradas y de unos mecanismos de autenticación deficientes. Los atacantes utilizan este tipo de exploit para cargar malware o robar cookies con información personal sensible como contraseñas y números de tarjetas de crédito.
- Un ataque XSS reflejado (no persistente) se desencadena cuando una víctima hace clic en un enlace dentro del sitio atacante que ejecuta un script en el navegador de la víctima, el cual contiene código malicioso. El navegador de la víctima enviará el script de vuelta al servidor atacante.
- Un ataque XSS basado en DOM explota vulnerabilidades dentro del DOM o cómo los navegadores analizan los documentos HTML. Este ataque pretende forzar al navegador a realizar cambios que creen vulnerabilidades mediante la manipulación de objetos JavaScript, como instancias XMLHttpRequest o WebSocket.
Para protegerse contra los tres tipos de cross-site scripting, las empresas deben adoptar prácticas de codificación seguras como linting y garantizar una validación adecuada de los valores de entrada.
Robo de identidad
El robo de identidad se produce cuando una persona utiliza la información personal de otra, como el nombre y el número de la seguridad social, el número de la cuenta bancaria y los datos de la tarjeta de crédito, para cometer un fraude u otros delitos. Los malos actores pueden empañar la buena reputación de la víctima, dañar su historial crediticio y la víctima puede enfrentarse a años de recuperación por el robo de identidad.
Los ladrones de identidad recopilan información personal a través de diversos métodos, como el pirateo de ordenadores, el robo de correo, el uso de cámaras para capturar datos de las pantallas de los ordenadores y la realización de copias falsas de los documentos de identidad de víctimas desprevenidas. A continuación, utilizan esta información para hacerse pasar por las víctimas y tomar el control de sus finanzas accediendo a cuentas bancarias en línea, abriendo nuevas líneas de crédito, solicitando préstamos en nombre de la víctima, etc.
Para evitar el robo de identidad, lo mejor es ocuparse adecuadamente de todos los documentos que contengan información sensible: destruya los documentos con información confidencial antes de tirarlos a la basura, y no tire nunca las facturas viejas hasta haber comprobado a fondo que no contienen ningún dato sensible.
Fraude de cuentas por pagar
En el fraude de cuentas por pagar, un estafador se hace pasar por el proveedor de la empresa y solicita el pago de bienes o servicios que nunca se prestaron. Estas estafas suelen tener éxito porque la factura fraudulenta se envía a un departamento de contabilidad que no conoce personalmente al proveedor.
Las empresas suelen ser más vulnerables al fraude en las cuentas por pagar cuando escalan operaciones y pasan de ser una empresa pequeña a una mediana o grande. El defraudador puede hacerse pasar por un empleado que solicita fondos en nombre de la empresa, o incluso puede llegar a crear facturas fraudulentas que parezcan legítimas.
Cuando se trata de delitos cibernéticos, las empresas necesitan tener controles y equilibrios en su lugar confiando en múltiples personas dentro de una organización, tales como requerir múltiples firmas para todos los pagos por encima de una cantidad específica de dólares.
Malware
El malware son programas o software diseñados para interrumpir las operaciones informáticas, recopilar información confidencial de los sistemas informáticos u obtener el control remoto del ordenador. El malware a menudo pasa desapercibido, es difícil de eliminar y puede causar daños importantes a los sistemas informáticos infectando archivos, alterando datos y destruyendo utilidades del sistema.
También es importante tener en cuenta que el malware puede disfrazarse de software legítimo para facilitar a los usuarios su instalación en sus ordenadores. Algunos ejemplos son los virus, gusanos, troyanos, spyware y adware.
Es el arte de manipular a las personas para que entreguen información confidencial o credenciales de acceso. La ingeniería social se perpetra haciéndose pasar por un compañero de trabajo, realizando llamadas telefónicas, enviando correos electrónicos y utilizando servicios de mensajería instantánea para ganarse la confianza de la víctima.
A continuación, el agresor solicita información como contraseñas y números de identificación personal (PIN). Los datos muestran que el 98% de todos los ciberdelitos implican alguna forma de ingeniería social.
No sólo se engaña a las víctimas para que faciliten su información, sino que también pueden revelar involuntariamente los secretos comerciales y la propiedad intelectual de su empresa mediante técnicas de ingeniería social. Disponer de un plan de respuesta a incidentes con todos a bordo contribuirá en gran medida a prevenir este tipo de delitos.
Estafas de soporte técnico
En estas estafas, el estafador se hace pasar por representante de una empresa conocida y llama a las víctimas potenciales afirmando haber encontrado varios problemas en el ordenador. Estos problemas pueden ir desde malware hasta virus que deben solucionar a cambio de una tarifa. A la víctima se le muestra un asistente que se asemeja a errores y programas legítimos.
A continuación, se les engaña para que den acceso remoto a su sistema, lo que permite al estafador cobrarles más dinero o incluso robarles información personal. El FBI informó de que una pareja de Maine perdió 1,1 millones de dólares tras recibir una alerta emergente que les avisaba de que su ordenador había sido violado y se había intentado comprometer su información bancaria.
Los estafadores tienen como objetivo a personas en situaciones de gran tensión que son vulnerables y están dispuestas a pagar lo que sea para protegerse. Las víctimas pueden no darse cuenta de que han sido estafadas hasta que es demasiado tarde porque el estafador les proporcionó actualizaciones de software que les hicieron creer que estaban protegidas. Los estafadores convencieron a la pareja para que trasladara el dinero de su cuenta de jubilación a Coinbase para su custodia antes de cortar toda comunicación con ellos.
Hackeo de IoT
El pirateo de IoT es una de las formas más frecuentes de ciberdelincuencia y puede provocar daños físicos. Este pirateo se produce cuando un pirata informático utiliza un dispositivo conectado a Internet, como un termostato inteligente o un frigorífico. Hackean el dispositivo y lo infectan con malware, propagándose por toda la red.
A continuación, los hackers utilizan este sistema infectado para lanzar un ataque contra otros sistemas de la red. Estos ataques pueden provocar a menudo el robo de datos de estos dispositivos y dar a los piratas informáticos acceso a su información confidencial. El riesgo de pirateo del IoT surge porque estos dispositivos se construyen con una seguridad limitada y suelen tener una potencia de procesamiento, una memoria y una capacidad de almacenamiento limitadas. Esto significa que es más probable que tengan vulnerabilidades que otros sistemas.
Piratería de software
La piratería de software es el acto de copiar y distribuir ilegalmente o utilizar software sin la propiedad o un permiso legal. Puede producirse mediante la descarga de programas de un sitio web de software ilegal, la copia de un programa de un ordenador a otro o la venta de copias de software.
El software pirateado afecta a los beneficios de una empresa al impedirle ganar dinero con sus productos. Un estudio de Software Alliance demostró que el 37% del software instalado en ordenadores personales carece de licencia o es pirata. Al tratarse de un problema tan extendido en todo el mundo, es esencial que las empresas comprendan de forma exhaustiva cómo pueden verse afectadas y qué soluciones existen para protegerse.
Caballos de Troya
Los caballos de Troya son virus que se hacen pasar por programas legítimos y se instalan en su ordenador sin su permiso. Cuando se ejecuta, puede hacer cosas como borrar archivos, instalar otro malware y robar información como números de tarjetas de crédito.
La clave para evitar los caballos de Troya es descargar programas únicamente de sitios de confianza, como el sitio de la empresa o de socios autorizados.
Eavesdropping
Espiar es escuchar o grabar conversaciones en secreto sin el conocimiento y/o consentimiento de todas las partes. Esto puede ocurrir por teléfono, con una cámara oculta o incluso mediante acceso remoto.
Las escuchas son ilegales y pueden ponerle en riesgo de fraude y robo de identidad. Puede proteger su empresa limitando lo que los empleados comparten por correo electrónico y en persona. Cifrar las conversaciones también le ayudará, así como utilizar software que impida a los usuarios no autorizados acceder a los recursos de la red de forma remota.
DDoS
Ladenegación de servicio distribuida (DDoS) ataca un servicio o sistema, que inunda el objetivo con más peticiones de las que puede manejar. Este ataque se dirige al sitio web de una organización e intenta saturarlo enviando numerosas peticiones simultáneamente. La avalancha de peticiones fuerza el cierre de los servidores, interrumpiendo la disponibilidad de la información para los usuarios que intentan acceder a ella.
Los piratas informáticos utilizan los DDoS como forma de protesta contra los sitios web y su gestión, aunque estos ataques también se utilizan para extorsionar en algunos casos. Los ataques DDoS también pueden ser el resultado de campañas de ciberespionaje diseñadas para robar datos de una organización en lugar de destruirlos.
APTs
Las amenazas persistentes avanzadas (APT) son un tipo de ciberataque muy selectivo, persistente, sofisticado y con muchos recursos. Las APT suelen utilizarse para robar información de una organización con fines lucrativos.
Los ciberataques APT pueden durar meses o años. Se infiltran en las redes, extraen datos y luego los exfiltran sin ser detectados. Los objetivos típicos incluyen agencias gubernamentales, universidades, empresas manufactureras, industrias de alta tecnología y contratistas de defensa.
SEO de sombrero negro
El SEO de sombrero negro es un tipo de spam en el que los vendedores utilizan técnicas poco éticas para posicionarse mejor en los resultados de los motores de búsqueda. Las tácticas de sombrero negro pueden incluir el relleno de palabras clave, el texto invisible y el encubrimiento, que engaña al algoritmo del motor de búsqueda haciéndole creer que la página es relevante cuando no lo es.
Estas tácticas de marketing son ilegales porque infringen las Directrices de búsqueda de Google (antes denominadas Directrices para webmasters) al utilizar indebidamente su sistema de clasificación. Como resultado, los SEO de sombrero negro pueden recibir penalizaciones o hacer que su sitio web sea eliminado por completo de la página de resultados del motor de búsqueda (SERP).
Ejemplos de ciberdelincuencia
Veamos ahora algunos ejemplos reales de ciberdelincuencia.
- El ataque de phishing más sofisticado fue el de «Google Docs » (2017). Los piratas informáticos enviaron correos electrónicos engañosos y enlaces falsos de Google Docs que redirigían a aplicaciones falsas de terceros, lo que provocó un robo masivo de datos.
- Mirai, una red de bots basada en el malware IOT (Internet de las cosas), inició un ataque distribuido de denegación de servicio(DDoS ) en 2016 a través de dispositivos IOT. Este ataque denegó el acceso a sitios web de alto perfil como Airbnb, Twitter, Rediff y Netflix.
- Los atacantes del ransomware WannaCry tuvieron como objetivo el sistema operativo de Microsoft, Windows, cifrando sus datos. Los atacantes también pidieron una cantidad de rescate a través de Bitcoins. Este ataque fue considerado un ciberataque mundial en mayo de 2017.
Cómo prevenir la ciberdelincuencia
Es esencial contar con una política integral de ciberseguridad. Ésta debe incluir directrices para los empleados sobre cómo deben comportarse al acceder a los sistemas de la empresa y las consecuencias de no seguirlas. Esta política debe explicarse claramente a todos los empleados y actualizarse periódicamente para garantizar que está al día de las últimas amenazas a la seguridad.
Algunas otras medidas que vale la pena considerar para protegerse contra los delitos cibernéticos incluyen:
- Trabaje con un proveedor de servicios profesionales que esté al día de las últimas tecnologías y procesos.
- Haga copias de seguridad de todos los datos en una ubicación externa.
- Actualice los sistemas regularmente con los últimos parches y actualizaciones.
- Realice una auditoría anual de sus licencias de software
- Utilice un programa antivirus de confianza que busque programas maliciosos como virus, spyware, gusanos, troyanos y rootkits.
- Instale un software de filtrado web que bloquee cualquier contenido ilegal o inapropiado que entre en la red
- Cifre todos los dispositivos que almacenen datos confidenciales para evitar accesos no autorizados
- Desarrolle un proceso para supervisar automáticamente los registros del sistema, de modo que sepa si hay un intento de violación.
- Solicite auditorías del sistema a profesionales periódicamente para asegurarse de que sus sistemas no son vulnerables
- Implemente una tecnología de prevención de pérdida de datos que proteja la información antes de que salga de la red controlando lo que los usuarios pueden copiar, pegar y guardar en dispositivos externos.
Palabras finales
Las organizaciones pueden protegerse de la ciberdelincuencia aplicando políticas sólidas de ciberseguridad y protección de datos, realizando evaluaciones periódicas de las ciberamenazas, actualizando el software, utilizando software antivirus, aumentando la educación y la concienciación de los empleados y utilizando herramientas que puedan automatizar los procesos de ciberseguridad.
Las empresas también pueden trabajar con proveedores de servicios que proporcionen entornos seguros de computación en nube y servicios de seguridad gestionados que puedan ayudar a protegerse contra los ciberataques.