El fraude cibernético se ha posicionado como una de las principales preocupaciones para empresas y usuarios en España, un país que ocupa el tercer lugar a nivel mundial en detecciones de ciberamenazas, según el último informe ESET Threat Report. Con motivo del Día Internacional Antifraude, que se celebra el día 19 de octubre, ESET, compañía líder en ciberseguridad, expone las principales tácticas de los ciberdelincuentes y proporciona recomendaciones clave para protegerse de manera efectiva.
“Las campañas de ransomware y el uso malintencionado de herramientas de Inteligencia Artificial, junto con las amenazas más convencionales como el phishing y los ladrones de credenciales, han aumentado notablemente en 2024, posicionando a España entre los países más afectados, junto a Japón y Polonia, con un 6% de las amenazas globales”, afirma Josep Albors, director de investigación y concienciación de ESET España. “Los ciberdelincuentes están utilizando tácticas más avanzadas, como los cada vez más comunes deepfakes, lo que obliga a usuarios y empresas a estar más atentos y preparados. Las amenazas no solo han crecido en número, sino que también son más difíciles de detectar, lo que incrementa la urgencia de adoptar medidas de protección”.
¿Qué es el fraude cibernético?
El fraude cibernético utiliza medios digitales para estafar a individuos o empresas, mediante técnicas que van desde el phishing hasta el robo de identidad y el ransomware. Los delincuentes se aprovechan de vulnerabilidades tecnológicas y del desconocimiento de las víctimas, provocando tanto pérdidas económicas como daños reputacionales. Entre los tipos más comunes se encuentran:
- Phishing: Los ciberdelincuentes envían correos electrónicos o mensajes fraudulentos que parecen proceder de fuentes legítimas, como bancos o proveedores de servicios, con el objetivo de obtener información confidencial, como contraseñas o datos de tarjetas de crédito.
- Robo de identidad: A través de malware o técnicas de ingeniería social, los delincuentes obtienen datos personales y los utilizan para acceder a cuentas bancarias, realizar compras fraudulentas o cometer otros delitos en nombre de la víctima.
- Ransomware: Un tipo de malware que suele robary cifrar los datos de una empresa o usuario, exigiendo un rescate para recuperarlos y no hacerlos públicos. Este tipo de ataque ha sido especialmente devastador para pequeñas y medianas empresas, encontrándose España entre los 10 países más afectados en todo el mundo.
- Infostealers: Malware diseñado para robar credenciales y datos sensibles almacenados en navegadores, clientes de correo o aplicaciones, aprovechando el creciente uso de herramientas de Inteligencia Artificial y otros señuelos atractivos para las víctimas. Rilide Stealer, por ejemplo, usaba los nombres de Sora de OpenAI y Gemini de Google para atraer a posibles víctimas.
- Fraude en el comercio electrónico: Los delincuentes crean sitios web falsos o aprovechan vulnerabilidades en tiendas en línea para engañar a los usuarios, robar sus datos de pago o vender productos inexistentes.
Además, otro fenómeno que ha cobrado relevancia en 2024 es el uso de deepfakes, una técnica que utiliza la Inteligencia Artificial para crear videos o audios falsificados, que imitan la apariencia o la voz de personas reales de manera convincente. Los ciberdelincuentes han comenzado a utilizar esta tecnología para manipular identidades, lanzar campañas de desinformación y cometer fraudes financieros, lo que plantea serios desafíos de ciberseguridad.
Más allá de las imágenes que imitan personalidades reconocidas para generar confianza e interés entre las posibles víctimas, los ciberdelincuentes continúan explorando y desarrollando nuevas técnicas fraudulentas en torno a esta tecnología. Un ejemplo reciente es el malware móvil GoldPickaxe, que roba datos de reconocimiento facial y los utiliza para crear videos deepfake, facilitando así transacciones financieras fraudulentas sin que las víctimas lo detecten.
Cómo protegerse del fraude cibernético
Ante el creciente nivel de sofisticación de las ciberamenazas, ESET destaca siete medidas preventivas clave para protegerse y evitar ser víctima de fraudes cibernéticos:
- Formación y concienciación: Educar a empleados y usuarios sobre cómo identificar correos electrónicos fraudulentos (phishing), enlaces sospechosos y otros intentos de engaño es fundamental. Una población consciente y formada es la primera línea de defensa contra las ciberamenazas.
- Autenticación multifactor (MFA): Implementar la autenticación de múltiples factores añade una capa extra de seguridad al requerir más de una prueba de identidad para acceder a cuentas sensibles. Esto reduce el riesgo, incluso si un ciberdelincuente consigue obtener una contraseña.
- Uso de software de seguridad actualizado: Mantener siempre actualizadas las soluciones de seguridad, así como otras herramientas, permite protegerse de las amenazas más recientes. Las actualizaciones de software corrigen vulnerabilidades que los atacantes podrían aprovechar.
- Contraseñas robustas y seguras: Utilizar contraseñas únicas y complejas para cada servicio es crucial. Las contraseñas deben incluir una combinación de letras mayúsculas, minúsculas, números y caracteres especiales. Además, es recomendable cambiarlas periódicamente y evitar su reutilización.
- Monitorización y detección de amenazas: Implementar soluciones de seguimiento que analicen en tiempo real el comportamiento de las redes y los sistemas. Esto ayuda a identificar actividades anómalas y a detener posibles ataques antes de que se materialicen.
- Copias de seguridad regulares: Realizar copias de seguridad periódicas de los datos críticos garantiza que la información esté protegida y pueda restaurarse en caso de un ataque, como el ransomware, que bloquee el acceso a los archivos.
- Navegación segura: Evitar conectarse a redes Wi-Fi públicas sin protección adecuada y, en su lugar, utilizar una VPN para cifrar el tráfico y proteger los datos mientras se navega en internet.
