Me han estafado 42.000 euros con un ciberataque "casi perfecto", pero he aprendido varias cosas que deberías tener en cuenta

Un grupo de cibercriminales ha conseguido estafar 42.000 euros mediante una técnica "casi perfecta", según ha comentado la Policía Nacional. Héctor Rodríguez Monerris, CEO y fundador de Marca Condal, ha vivido este ataque en primera persona y cuenta todos los detalles a Computer Hoy, además de algunos consejos para prevenir este tipo de incidentes.
El phishing es casi tan antiguo como la llegada de los servicios de correo electrónico. Y, desafortunadamente, ni los usuarios ni las pequeñas o grandes empresas están exentas de ser víctimas.
Apenas con la entrada del nuevo milenio, esta técnica se puso de manifiesto con la llegada a numerosas bandejas de entrada de una misiva titulada ILoveYou, un gusano que llegó a infectar hasta 50 millones de ordenadores a nivel mundial.
A día de hoy, la técnica continúa siendo muy parecida, aunque con enlaces que llevan a sitios HTTP –por lo general– que anotarán cualquier datos que introduzcas, habitualmente en formato de formulario. Más allá de la técnica clásica, los ciberdelincuentes han mejorado considerablemente sus métodos.
Es lo que le ha ocurrido a Héctor Rodríguez Monerris, CEO y fundador de Marca Condal, quien ha vivido en primera persona un ciberataque en el que los delincuentes suplantaron la identidad de un proveedor para estafar 42.000 euros.
"Nos dimos cuenta del problema cuando llegó una supuesta factura del proveedor con datos de transferencia modificados", explica en una conversación con Computer Hoy. "A primera vista, todo parecía normal: el tono, los archivos adjuntos, las fechas. Pero algo no encajaba del todo, y gracias a una revisión exhaustiva y a ciertas alertas internas, evitamos que el daño fuera aún mayor".
Sin embargo, a pesar de la rapidez en solventar lo más urgente, los atacantes se hicieron con parte de los datos: "Para entonces ya habían comprometido cierta información", lamenta. En cualquier caso, el modus operandi ha sido "casi perfecto", en declaraciones de la Policía Nacional al empresario.
En primer lugar, los atacantes se hicieron con el control del dominio de correo electrónico de dicho proveedor, con lo cual estos podían revisar cualquier movimiento en la bandeja de entrada, según explica Rodríguez Monerris.
"Todo empezó cuando el correo de uno de nuestros proveedores fue hackeado. Los atacantes estuvieron leyendo todos sus emails durante semanas, recopilando información para entender nuestras dinámicas de trabajo", asegura. "Fue un ataque meticuloso, nada al azar".
En segundo lugar, los atacantes no manipularon ningún dato importante o principal, aunque sí el que culminaría el engaño: los números de la cuenta bancaria a la que se realizaría el pago, los cuales habían cambiado a conveniencia. ¿El resultado?
Una estafa prácticamente imposible de rastrear: desafortunadamente, existen ciertas entidades bancarias que permiten registrar un DNI de forma telemática, algo que no debería ocurrir en este tipo de organizaciones si se quiere garantizar la seguridad de los activos más importantes, los datos de los clientes.
Dicho esto, los atacantes son prácticamente imposibles de rastrear, debido al posible uso de un documento de identificación falsificado o sustraído. Por fortuna, el CEO asegura que el impacto a nivel reputacional ha sido "limitado", informando siempre con confianza a proveedores y equipos.
Los aprendizajes y consejos tras el ciberataque
Aunque no es plato de buen gusto para nadie ser víctima de un ciberataque, Rodríguez Monerris asegura que ha aprendido muchísimo con esta amarga experiencia, desde la colaboración directa e inmediata con proveedores hasta la monitorización constante de las redes.
Estos elementos son prácticamente indiscutibles en un manual de estrategias de ciberseguridad, aunque no siempre se tienen en cuenta; en cambio, el CEO actuó de forma positiva: comunicó el incidente a proveedores y autoridades, además de minimizar el impacto del ataque de manera ágil.
Además de herramientas básicas de ciberseguridad, como la doble autenticación o los filtros avanzados del correo, esto es lo que recomienda para prevenir un ciberataque:
- Confirma que la dirección de un correo es auténtica. A pesar de que muchos de los atacantes usan el mismo dominio que una organización de confianza, siempre has de revisar que dicha dirección sea verídica. En tal caso, podrías realizar el contacto mediante una llamada telefónica.
- Forma en ciberseguridad a tus equipos. Una de las técnicas más usadas por los ciberdelincuentes es la ingeniería social, que hace referencia al eslabón más débil de la cadena, el ser humano. "Muchas veces el ataque no es tecnológico, sino psicológico. Los estafadores saben cómo manipular el lenguaje y la confianza", agrega.
- Fomenta el principio del mínimo privilegio. Es uno de los pilares fundamentales de una estrategia integral en ciberseguridad, ya que permitirá controlar los accesos no autorizados. El resumen más exacto sería: a cada cual se le concederá acceso según sus necesidades en la organización.
- Registra absolutamente todo. Para una posterior denuncia e investigación, lo mejor es que recopiles toda la información disponible del ataque, tanto correos electrónicos como paquetes recibidos –algo que se puede realizar con un analizador de redes–. "Si pasa algo, tener un registro detallado puede ser clave para limitar el daño y colaborar con las autoridades", recomienda este empresario.
Como ves, no son pocas las recomendaciones para evitar este tipo de ciberataques, sobre todo, como recuerda Rodríguez Monerris, hay que actuar con transparencia para evitar daños mayores, algo que en su caso no ha ocurrido afortunadamente.
