Ciberataques 2024: los ataques por correo electrónico generan más pérdidas que el ransomware y los robos de datos corporativos

Los ataques más importantes son Business Email Compromise (BEC)

En 2023, los ciberataques siguen en aumento. Se registraron 21.489 casos reportados de BEC con pérdidas estimadas en más de 2.900 millones de dólares. En lo que va del año 2024 ya se superaron esas cifras y se proyecta que en los próximos 6 mes se dupliquen las estadísticas del año pasado.

De acuerdo al Internet Crime Report, las pérdidas económicas por BEC superan casi en un 90 por ciento a las producidas por Ransomware. Estos resultados se deben a dos factores:

• Las personas que trabajan en empresas siguen utilizando el correo electrónico como medio de comunicación a nivel laboral, más que otros sistemas de comunicación como la mensajería instantánea.
• Las personas siguen siendo la parte más vulnerable de los sistemas, y además, son las que pueden proporcionar información estratégica o ejecutar acciones que posibiliten un fraude.

El formato de un ataque BEC consiste en lograr que una persona comprometa involuntariamente acciones de negocio legítimas. Para lograr esto, los ciberdelincuentes toman control de cuentas de correo electrónico corporativas a través de ingeniería social o técnicas de intrusión informática para realizar transferencias no autorizadas de fondos.

Los datos del Internet Crime Report muestran que los estafadores utilizan cada vez más cuentas de custodia mantenidas en instituciones financieras para intercambios de criptomonedas, a partir de las cuales dispersan los fondos rápidamente para dificultar su seguimiento.

Desde el punto de vista técnico, la mejor contramedida para evitar estas acciones es la Autenticación de las personas a través de un sistema de Multiple Factor (MFA), pero las cifras del informe indican que no todas las empresas adoptan esta medida de Ciberseguridad, o las que lo adoptan no lo hacen para todos sus colaboradores.

El Ransomware volvió a quedar en segundo lugar

En lo que va de 2024, se registraron más de 3000 casos reportados Ransomware con pérdidas estimadas en más de 300 millones de dólares.

Las infecciones de ransomware afectan a usuarios individuales y empresas, independientemente de su tamaño o industria, al causar interrupciones del servicio, pérdidas financieras, y en algunos casos, pérdida permanente de datos valiosos.

Es un desafío determinar el número real de víctimas de Ransomware y las pérdidas ocasionadas, ya que ocurren muchos ataques que no son reportados a las autoridades.

El método más utilizado actualmente es en denominado “Ransomware por Amenaza Simple”. Este ataque comienza cuando los ciberdelincuentes acceden a los sistemas de una empresa sin ser detectados, sostienen la intrusión durante días y roban gran cantidad de información estratégica.

A partir de este punto, no ejecutan la acción tradicional de un Ransomware que es encriptar la información y dejar mensajes de rescate. En esta modalidad de “Amenaza Simple”, se limitan a comunicarse con los líderes de la empresa, mostrarles pruebas de la información que se robaron y solicitar una cifra de dinero en Criptomonedas bajo la amenaza de vender los datos robados en la Dark Web y hacer público el hecho. Esto no sólo le genera pérdidas económicas a la empresa, sino que lo pone en riesgo de sufrir un serio daño reputacional.

Las plataformas de almacenamiento de datos son un objetivo atractivo

La tendencia de las grandes empresas a tercerizar su almacenamiento masivo de datos genera el tercer escenario de ataque de este informe. Uno de los casos mejor documentados es el de Snowflake, una compañía de almacenamiento de datos basada en computación en la nube con sede en Bozeman, Montana. Fue fundada en 2012 y cotiza en bolsa desde 2014.

En junio pasado una serie de ataques dirigidos provocaron el robo de un gran volumen de datos que afectaron a más de 100 empresas clientes de Snowflake. Entre los afectados se encuentran en grupo Neiman Marcus, Ticketmaster, Banco Santander, Pure Storage y Advance Auto Parts. El objetivo principal de estos ataques fue el robo de credenciales digitales de cuentas que no contaban con Múltiple Factor de Autenticación (MFA).

Snowflake comunicó que comenzará a exigirle a sus nuestros clientes que implementen controles de seguridad avanzados. Al momento de la redacción de este informe no se contaba con información que permitiera estimar el impacto económico de las pérdidas ya que, entre otros factores, se siguen sumando empresas a la lista de afectadas por el ataque.

Las empresas de comunicaciones son atacadas por los datos de sus clientes

El cuarto componente de escenario de mayor cantidad de ataques son las empresas de Comunicaciones de Datos. El objetivo no es su propia información sino la de sus clientes.

El caso mejor documentado fue el de AT&T ocurrido en marzo de este año. La empresa declaró que descubrieron que estaban a la venta en la Dark Web datos personales de más de 70 millones de clientes actuales y anteriores. AT&T dijo que el conjunto de datos robados impacta aproximadamente a 7,6 millones de titulares de cuentas actuales e incluyen información personal como números de seguro social. Este es un caso donde, si bien se reportó la magnitud de las pérdidas, la empresa no precisó cómo se realizó el robo de datos y qué acciones de remediación están llevando adelante para evitar que vuelva a ocurrir.

Las grandes corporaciones bajo ciberataques

El quinto componente del escenario de mayor cantidad de ataques son las grandes corporaciones.
Las 20 empresas más grandes del mundo han reportado ciberataques importantes en lo que va del año. Uno de los ejemplos mejor documentados es el de Microsoft.

En enero de este año Microsoft comunicó que un grupo de delincuentes informáticos rusos robaron correos electrónicos de líderes de la empresa y de personas de sus equipos de ciberseguridad y legales. El ataque fue atribuido a un grupo denominado Midnight Blizzard, que anteriormente había sido vinculado a la unidad de inteligencia extranjera SVR de Rusia por el gobierno de Estados Unidos y al que se le culpó de ataques como la violación de seguridad de SolarWinds en 2020. Entre los clientes que se vieron afectados por el incidente se encuentran varias agencias federales.

De acuerdo al reporte de Microsoft, el robo de estos correos electrónicos comenzó en noviembre de 2023, cuando los ciberdelincuentes obtuvieron acceso a una cuenta de un usuario de la empresa que no tenía autenticación multifactor de (MFA).

El escenario en América Latina

En lo que va de 2024, nuestra región acompañó la tendencia mundial de aumento de ciberataques. Países como Argentina, Ecuador y Brasil han sido especialmente afectados.

• Argentina: lidera el ranking de ciberataques en la región. En 2023, se registraron más de mil millones de intentos de ciberataques en el país, y esta tendencia ha continuado en 2024. Los sectores más afectados incluyen tecnología, manufactura, gobierno, telecomunicaciones y salud. Los atacantes han utilizado diversas tácticas, incluyendo Ransomware, ataques DDoS y la explotación de vulnerabilidades de software.
• Ecuador: se reportaron ataques tanto contra empresas como contra usuarios finales, principalmente a través de campañas de phishing y Ransomware. Las empresas ecuatorianas enfrentan un desafío adicional debido a la falta de personal capacitado en ciberseguridad y limitaciones presupuestarias para proteger adecuadamente sus datos y sistemas.
• Brasil: se registraron un alto número de ciberataques, con un incremento en los ataques críticos. Las pequeñas y medianas empresas han sido particularmente vulnerables. El uso de botnets y otros malware siguen siendo las amenazas más significativas, con ataques dirigidos a sectores como retail y logística.