APYMEM, REM y APYMESPA unen a empresas y Policía Nacional frente a la ciberdelincuencia

Hoy hemos asistido al Desayuno Networking ‘Empresas seguras en el entorno digital’  junto a miembros de la Policía Nacional. Expertos de la UDEF han alertado sobre el factor humano como principal brecha y ofrecido claves prácticas para prevenir ciberestafas.

El tejido empresarial de la Costa del Sol y, en particular, nuestros asociados de San Pedro Alcántara y Nueva Andalucía, se enfrentan a un desafío que ya no es cosa del futuro, sino un problema del presente que golpea a diario: la delincuencia informática. Por ello, en la mañana de hoy hemos participado en el Centro Cultural Cortijo Miraflores de un interesante evento de inmenso valor estratégico, organizado conjuntamente por APYMESPA, APYMEM y REM.

La sesión ha sido inaugurada por representantes de las asociaciones organizadoras, entre ellas, Montserrat Piojan de APYMEM, Isabel Carrasco de REM, y Cristina Pérez por parte de APYMESPA, quienes han incidido en que la ciberseguridad es una herramienta básica en nuestro día a día, dado que los riesgos están a la orden del día. A continuación, especialistas de la Unidad de Delincuencia Económica y Fiscal (UDEF) de la Policía Nacional han desgranado de forma práctica cómo operan los cibercriminales y cómo podemos defender nuestro patrimonio.

El factor humano: Nuestra principal vulnerabilidad

El principal mensaje que nos han querido trasladar desde la Policía Nacional es claro: por mucho que invirtamos en sofisticados antivirus o cortafuegos (nuestra “puerta blindada digital”), la inmensa mayoría de los fraudes informáticos se consuman atacando a la persona que guarda esa puerta. La estafa digital moderna juega con la confianza, la urgencia y el desconocimiento del empleado o empresario, al que aplican avanzadas técnicas de ingeniería social.

Como ha indicado el Subinspector Jefe del grupo de ciberdelincuencia, los delincuentes buscan un retorno de su inversión. A menudo, su primer paso es lograr entrar en el sistema de la empresa mediante un ataque de phishing (correos engañosos) o mediante la descarga de programas maliciosos cuando un empleado intenta rastrear un supuesto paquete o una falsa multa de la DGT. Una vez dentro, no atacan de inmediato; se quedan en un modo “latente”, leyendo los correos electrónicos para aprender el funcionamiento interno de la empresa, quién aprueba los pagos y cómo se abonan las facturas o nóminas.

Modus Operandi: Del fraude del CEO a la Inteligencia Artificial

Entre las graves amenazas que se han detallado a lo largo de la jornada, destacan modalidades que están causando estragos a nivel local, donde se registra una media de más de 10 denuncias diarias:

• El Fraude del CEO y el ataque a las comunicaciones (BEC): Tras infiltrarse en los correos de la empresa, los delincuentes interceptan facturas legítimas de proveedores, modifican el PDF para cambiar el número de cuenta bancaria y lo envían a los departamentos de administración. También es común que suplanten la identidad del propio jefe o director de recursos humanos para ordenar transferencias urgentes y confidenciales, o para solicitar que se cambie el número de cuenta donde un empleado percibe su nómina.
• Inteligencia Artificial y Deepfakes: La tecnología ya permite clonar la voz de un directivo a partir de un simple mensaje de audio de WhatsApp de apenas un minuto y medio o un vídeo público. Con esta clonación, los criminales envían mensajes de audio ordenando transferencias millonarias urgentes que suenan idénticas a la voz del empresario.
• Falso soporte técnico y Ransomware: Consiste en engañar a un trabajador (a menudo mediante una llamada de supuesto soporte de una empresa tecnológica) para que instale aplicaciones de control remoto como AnyDesk. Una vez tienen el control, pueden encriptar toda la base de datos de la empresa, paralizando el negocio y exigiendo un rescate que, además, no garantiza la recuperación de los archivos.
• Pharming y Redes Públicas: Se ha alertado sobre el peligro de conectarse a redes Wi-Fi públicas (en aeropuertos o cafeterías) para realizar gestiones de la empresa. Los atacantes logran suplantar páginas web (incluso con candado de seguridad “https”) para robar las credenciales bancarias de quienes introducen sus datos confiando en estar en su entorno bancario habitual.

El ABC de la prevención empresarial

Para combatir esta avalancha de delitos que, en volumen de negocio a nivel mundial ya supera al narcotráfico, los agentes han marcado un protocolo de medidas básicas que toda empresa debe implementar de forma innegociable:

1. Desconfianza e “invertir la iniciativa”: Si un proveedor nos notifica un cambio de cuenta bancaria por correo, o un alto cargo pide una transferencia inusual, el trabajador debe paralizar el proceso y realizar una llamada de confirmación al teléfono de confianza (no al que viene en el correo) para verificar la orden.
2. Doble factor de autenticación: Hay que instaurar la doble validación en todo: en el banco, en el acceso al correo corporativo y en las aplicaciones. Esto dificulta enormemente que, en caso de filtración de nuestra contraseña, los delincuentes logren acceder.
3. Copias de seguridad “en frío”: Las copias en la nube (en caliente) no bastan, pues pueden ser infectadas si entra un ransomware. Es imprescindible contar con discos duros físicos desconectados del sistema y guardados a buen recaudo. Si nos atacan y bloquean el sistema, una copia fría nos permite formatear y seguir trabajando en un tiempo récord y sin ceder a extorsiones.
4. Cuidado con las llamadas telefónicas bancarias: Un banco jamás va a pedir por teléfono que le facilitemos un código recibido por SMS. Si recibimos una llamada alarmante de nuestra sucursal sobre bloqueos de cuenta, debemos colgar y contactar nosotros mismos a través de canales oficiales o mediante nuestra app.
5. Formación continua y protocolos: Todo empleado de nuevo ingreso debe conocer los protocolos de verificación. Los criminales a menudo buscan a trabajadores novatos (en campañas de Navidad o verano) porque saben que tienen menos experiencia, dudan más y tienen miedo a preguntar, lo que les lleva a cometer errores como ir a comprar tarjetas de Apple para satisfacer peticiones urgentes y falsas de la directiva.

Reacción inmediata: El tiempo juega en nuestra contra

Si por desgracia hemos sido víctimas de estas prácticas, el peor enemigo es la vergüenza, la lentitud o, directamente, no denunciar. Las transferencias inmediatas y el uso de criptomonedas facilitan que el dinero robado cruce fronteras en segundos a través de las llamadas “mulas”. Por ello, ante la menor sospecha, se debe desconectar el equipo de la red informática para evitar que el daño se expanda, aislar las pruebas y denunciar de forma inmediata a la Policía.

La buena noticia es que la acción policial rápida funciona. Los agentes han compartido hoy un reciente caso de éxito de la comisaría local, donde, gracias a la alerta y a la cooperación policial y judicial internacional, se logró bloquear y recuperar un millón novecientos mil euros provenientes de un fraude en una operación inmobiliaria corporativa que había sido dividida en transferencias internacionales.

Finalmente, la jornada ha concluido recordando el valioso papel de apoyo a empresas que ofrece el INCIBE a través de su teléfono gratuito y confidencial 017. Desde APYMESPA, nos sentimos orgullosos de esta exitosa alianza con APYMEM, REM y nuestras autoridades para dotar a nuestros comercios, PYMEs y autónomos de escudos efectivos frente a la ciberdelincuencia en esta imparable era digital.

¡Protejamos nuestras empresas para seguir creciendo seguros!