Ciberseguridad para pymes: una letra del correo costó 20.000 dólares

6 noviembre, 2018
18 Compartido 2,521 Visualizaciones

En 2017 un 30% de las pymes en España fue víctima algún tipo de ciberataque. El caso de Seaphase, los emails falsos pueden costar a una startup todos los beneficios de un año.

La mayoría de las pymes españolas no se preocupan mucho por su ciberseguridad y carecen de un plan de acción profesional ante un posible ataque. Sin embargo las cifras son para tomárselo en serio: en 2017 un 30% de las pymes en España fue víctima algún tipo de ciberataque. El dato es preocupante, porque mientras que un tercio de las empresas españolas sufre ciberataques, tan solo uno de cada cinco responsables de IT asegura estar bien preparado para ese reto.

El caso de Seaphase

El caso de Seaphase, una startup que importa maquinaria extranjera para distribuirla en España. Las operaciones tienen un elevado coste y el flujo de dinero entre bancos internacionales es abundante. Sin embargo, no estaban provistos de un plan de ciberseguridad y ocurrió hace pocos meses algo tan increíble como frecuente en la realidad.

Los directivos de la empresa llegaron a un acuerdo para la compra de una maquinaria compleja, de la que tenían que pagar por adelantado un total de 20.000 euros. En la conversación por email quedó todo muy claro hasta que en el mail de la oferta final, les llegó un correo con dos archivos adjuntos: la oferta y el documento con el número de cuenta. Todo parecía normal, pero el crimen se había perpetrado semanas antes sin que los emprendedores lo supieran.

Una banda organizada de ciberdelincuentes, de cuyo paradero nunca llegaron a tener noticia, interfirió en la conversación por correo electrónico entre los emprendedores y la empresa proveedora.

Los cibercriminales detectaron los emails y en un momento avanzado de la negociación suplantaron la identidad del proveedor por medio de una dirección de email tan similar a la que utiliza la compañía que era verdaderamente difícil de detectar.

En concreto, hicieron que los emails que enviaba el proveedor no llegasen nunca a sus destinatarios, los copiaban y los volvían a mandar desde otra cuenta de correo electrónico casi idéntica. Solo habían cambiado una “i” por una “l”.

De esta manera, las víctimas del timo se escribían con los hackers pensando que se comunicaban con su proveedor, ya que era el flujo de comunicación habitual.

¿Cómo se solucionó?

El desenlace fue simple: el hacker sustituyó el PDF original -con el número de cuenta correcto al que los emprendedores debían enviar los 20.000€- por otro con sus propias credenciales.

Una vez hicieron la transferencia, los hackers se apresuraron a sacar el dinero con una identidad falsa creada previamente.

Al cabo de una semana, las víctimas no habían recibido ninguna respuesta por parte del proveedor, ni tan siquiera un acuse de recibo del pago.

Por su parte, el proveedor no había recibido los fondos, pese a que sí había recibido los emails en los que se detallaban los tiempos de pago.

Al cabo de una semana, nos empezamos a preocupar. Nuestro proveedor aún no había recibido los fondos, lo que significaba que no podían empezar con la producción y que nosotros habíamos perdido ese dineral para beneficio de un delincuente”, señala Víctor Lobo, director comercial de Seaphase.

Pasamos varios días en shock hasta que nos pusimos a trabajar de común acuerdo con nuestro proveedor. Para no perder la cara con el cliente, nos iban a dejar el equipo a la mitad de precio, asumiendo ellos la responsabilidad de recuperar ese dinero (que al fin y al cabo era suyo)”, añade Víctor Lobo.

¿Qué hacer en caso de scam?

El verdadero problema de este timo es definir a quién robaron este dinero, ¿a los compradores o a los vendedores?”, señala Hervé Lambert, Global Retail Product Manger de Panda Security. Por desgracia, “se trata de un delito muy frecuente que se beneficia de la falta de previsión de tantas empresas cuando se trata de ciberseguridad”, apostilla.

Por tanto, es importante ser conscientes de que los grupos organizados de ciberdelincuentes están verdaderamente informados y son capaces de interceptar comunicaciones privadas. Para ello es clave contar con medidas de seguridad que velen por la seguridad de las comunicaciones de las pymes y tener previsto un plan para evitar ataques y para solucionarlos una vez se han producido.

Por último, hay que convertir en un hábito el hecho de realizar las transferencias a nombre del destinatario de una empresa y pactar con el banco un protocolo de pagos seguros.

Te podría interesar

El Centro de Control de Galileo podría desarrollarse desde la futura sede de GMV
Actualidad
10 compartido1,964 visualizaciones2
Actualidad
10 compartido1,964 visualizaciones2

El Centro de Control de Galileo podría desarrollarse desde la futura sede de GMV

Vicente Ramírez - 24 julio, 2018

La compañía adquiere en el parque tecnológico de Madrid, un espacio con capacidad para más de 350 empleados que además…

¿Están los teléfonos móviles protegidos de los ciberataques?
Mobile
641 visualizaciones
Mobile
641 visualizaciones

¿Están los teléfonos móviles protegidos de los ciberataques?

José Luis - 6 octubre, 2017

Entre 100.000 y 200.000 equipos son atacados a diario, según el Instituto Nacional de Ciberseguridad de España. El 15% de…

La gobernanza del dato en la era del RGPD, ¿una asignatura pendiente para las empresas?
Actualidad
25 compartido2,013 visualizaciones
Actualidad
25 compartido2,013 visualizaciones

La gobernanza del dato en la era del RGPD, ¿una asignatura pendiente para las empresas?

Vicente Ramírez - 15 marzo, 2019

ISMS Forum Spain celebrará el XI Foro de la Privacidad el próximo 20 de marzo de 2019, de 09.00 a 15.00hs, en…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.