Artículo del blog
17 de mayo de 2023 | 5 minutos de lectura

El coste de la suplantación de identidad: una amenaza que puede hacer perder millones a su organización

Con el rápido avance de la tecnología digital, los ataques de suplantación de identidad son cada vez más frecuentes, lo que ocasiona pérdidas económicas a organizaciones de todo el mundo.

Sendmarc | Blog | El costo de la suplantación de identidad: una amenaza que podría hacer perder millones a su organización

En cuanto a la motivación de los ataques de suplantación de identidad, el Informe de Verizon de 2022 sobre incidentes de filtración de datos advierte de que

 

El 85% de ellos tienen una motivación económica.

Tipos de ataques de suplantación de identidad

Los ataques de suplantación de identidad pueden adoptar distintas formas, sobre todo a través de correos electrónicos de phishing, spoofing y estafas de ingeniería social.

Los ataques de phishing consisten en el envío de correos electrónicos fraudulentos para robar contraseñas, números de cuenta y otra información confidencial. Las estafas de phishing -que representan el 70% de todos los ataques avanzados, lo que las convierte en el tipo de ataque más común- son un juego de números en el que los atacantes envían miles de correos electrónicos fraudulentos con la esperanza de que sólo un pequeño porcentaje de destinatarios caiga en la trampa. Existen técnicas comunes empleadas por los atacantes en la elaboración de los correos electrónicos de phishing para aumentar sus posibilidades de éxito.

Los ataques de suplantación de identidad son una clase de ataque de phishing que va un paso más allá con correos electrónicos fraudulentos disfrazados magistralmente para que parezcan proceder de una fuente legítima y digna de confianza. En términos generales, una estafa de spoofing se produce cuando un estafador en línea disfraza su identidad para hacerse pasar por un representante de una organización legítima. Por cierto, Apple, DropBox y PayPal se encuentran entre los pocos objetivos reales de la ciberdelincuencia, incluidos los ataques de suplantación de identidad: Apple representa el 27,2% de todas las estafas de phishing.

Los ataques de ingeniería social se refieren a una variedad de técnicas empleadas por los ciberdelincuentes para engañar a los objetivos para que divulguen información confidencial o realicen ciertas acciones que comprometen la seguridad. Según el informe Gitnux 2023's Overview Statistic, un documento presentado al U.S. Internet Crime Complaint Center, transmite la asombrosa cifra de 324 mil personas afectadas por la ciberdelincuencia solo en 2021. El informe confirma además que el 90% de las violaciones de datos en una empresa tienen componentes de ingeniería social, lo que subraya aún más la necesidad de que las organizaciones refuercen sus medidas de ciberseguridad.

Coste real de los ataques de suplantación de identidad

Cuando se trata del coste de los ataques de suplantación de identidad, en términos de pérdidas financieras y daños a la reputación, puede ser asombroso.

El informe Cost of a Data Breach Report 2022 de IBM indica que el coste medio de una violación de datos provocada por un ataque de ingeniería social se sitúa en torno a los 4,35 millones de dólares, lo que supone un notable aumento del 12,7% con respecto a los resultados del informe de 2020. En la parte superior de la lista, el coste medio de una violación de datos con una estafa de phishing como vector de ataque inicial fue de 4,91 millones de dólares. El siguiente gráfico procede del informe y muestra los principales vectores de ataque iniciales por porcentaje de violaciones y coste medio:

Un caso real que demuestra el coste de un ataque de suplantación de identidad es el de Nikkei Inc, que perdió la importante suma de 29 millones de dólares. Se envió un correo electrónico fraudulento a una filial de Nikkei en Estados Unidos, haciéndose pasar por un vendedor legítimo, en el que se ordenaba al destinatario transferir fondos a una cuenta fraudulenta. Este ataque provocó la pérdida de millones de dólares, demostrando que a veces los ataques de suplantación de identidad más eficaces pueden ser también los más sencillos.

Otro ejemplo real es el ataque de suplantación de identidad dirigido a la ciudad canadiense de Saskatoon. Se envió un correo electrónico fraudulento a la ciudad, haciéndose pasar por una empresa de construcción con la que la ciudad estaba haciendo negocios. En el mensaje se les pedía que actualizaran los datos de un próximo pago, lo que dio lugar a la transferencia de un millón de dólares a una cuenta fraudulenta.

La Toyota Boshoku Corporation también fue víctima de un ataque de suplantación de identidad que le hizo perder 37 millones de dólares, como resultado de un correo electrónico fraudulento enviado a una filial en Tailandia, haciéndose pasar por un alto ejecutivo de la empresa. En el mensaje se pedía a la filial que transfiriera fondos a una cuenta fraudulenta.

El informe Cost of Data Breach Report descubrió que, en comparación con años anteriores,

 

2022 alcanzó un récord en el coste medio de una violación de datos.

Daños a la reputación

Aunque las pérdidas económicas de los ataques de suplantación de identidad son motivo suficiente de preocupación, un riesgo añadido es el daño que se hace a la reputación de una organización.

En 2021, Ubiquiti Networks Inc sufrió un ataque de suplantación de identidad por correo electrónico que dio lugar a una violación de datos. Los atacantes obtuvieron acceso a las direcciones de correo electrónico, direcciones de envío y números de teléfono de los clientes, lo que causó daños a la reputación de la empresa debido a la disminución de la confianza en su capacidad para proteger la información de los clientes. Un año más tarde, Ubiquiti también perdió 46,7 millones de dólares como resultado de un ataque de suplantación de identidad, lo que demuestra lo convincentes que pueden ser los ciberataques, ¡incluso cuando una organización ya ha sido objeto de uno con anterioridad!

El Comité Nacional Demócrata (DNC ) fue objeto de un ataque de phishing por correo electrónico por parte de piratas informáticos rusos, que accedieron a las cuentas de correo electrónico de la organización y filtraron miles de correos electrónicos confidenciales durante las elecciones presidenciales de Estados Unidos. El contenido de los correos electrónicos era controvertido y suscitó acusaciones de parcialidad, lo que causó importantes daños a la reputación del DNC.

Estos estudios de casos no sólo ponen de relieve la facilidad con la que pueden tener éxito los ataques de suplantación de identidad, sino que también demuestran lo rápido que se puede dañar la reputación de una organización cuando se percibe que es incapaz de proteger la información sensible, la suya propia y la de sus clientes.

Según el informe Cost of Data Breach Report, Estados Unidos registró el

 

mayor coste medio de una violación de datos por duodécimo año consecutivo.

El siguiente gráfico muestra una comparación de los costes medios de la violación de datos por país o región en 2021 y 2022.

Prevención y mitigación

Prevenir y mitigar los daños de los ataques de suplantación de identidad requiere un enfoque polifacético, que implica intervenciones tanto técnicas como no técnicas.

Una intervención técnica clave es la implantación de DMARC, un protocolo de autenticación del correo electrónico que permite a las organizaciones proteger sus dominios de los ataques de suplantación de identidad y phishing. DMARC garantiza una seguridad excepcional que reduce el riesgo de ataques de suplantación de identidad, al permitir a las organizaciones protegerse de los ataques de suplantación y phishing.

Como demuestran la prevalencia y regularidad de los ataques de suplantación de identidad, está claro que

 

todas las organizaciones corren el riesgo de sufrir fraudes por correo electrónico.

Cuando se trata de proteger a su organización de la amenaza de un ataque de suplantación de identidad, es importante conocer su puntuación para comprender mejor hasta qué punto su dominio y su marca están a salvo de los estafadores por correo electrónico. Póngase en contacto hoy mismo para averiguar cómo podemos reducir la vulnerabilidad de su organización y mantenerla a salvo de los estafadores.

Conozca su riesgo
Compartir
mail share
Conozca su puntuación

Todo el mundo corre el riesgo de ser víctima de estafadores por correo electrónico. Qué seguridad tiene su marca frente a los estafadores por correo electrónico?

Al usar esta herramienta, aceptas la política de privacidad.