Una gran mayoría de las pymes españolas no están preocupadas por su ciberseguridad y no tienen un plan de acción profesional ante un posible ataque informático.

Pero los números son para tomárselo en serio. El año pasado un 30% de las pymes en España fue víctima algún tipo de ciberataque.

A pesar de estos datos tan solo uno de cada cinco responsables de IT asegura estar bien preparado para ese reto.

El caso de Seaphase

El caso de Seaphase, una startup de Oviedo que importa maquinaria extranjera para distribuirla en España.

Las operaciones tienen un elevado coste y el flujo de dinero entre bancos internacionales es abundante. Pero la empresa no disponía de un plan de ciberseguridad.

Hace unos meses les sucedió algo tan increíble como frecuente en la realidad.

Los directivos de la empresa llegaron a un acuerdo para la compra de una maquinaria compleja, de la que tenían que pagar por adelantado un total de 20.000 euros.

Quedó todo muy claro hasta que en el email de la oferta final, recibieron un correo con dos archivos adjuntos:

  • la oferta y
  • el documento con el número de cuenta.

Todo parecía normal, pero el crimen se había perpetrado semanas antes sin que los emprendedores lo supieran.

Una banda organizada de ciberdelincuentes interfirió en la conversación por correo electrónico entre los emprendedores y la empresa proveedora.

Los hackers descubrieron los emails y suplantaron la identidad del proveedor por medio de una dirección de email tan parecida a la que utiliza la compañía que era muy difícil de detectar.

Concretamente, consiguieron que los emails que remitía el proveedor no llegasen nunca a sus destinatarios. Los copiaban y los reenviaban desde otra cuenta de correo electrónico casi idéntica. Solo habían cambiado una “i” por una “l”.

Así, las víctimas de la estafa se mensajeaban con los hackers creyendo que se comunicaban con su proveedor, ya que era el flujo de comunicación habitual.

¿Cómo se solucionó?

El desenlace fue simple.

Los ciberdelincuentes sustituyeron el PDF original por otro con sus propias credenciales, con el número de cuenta correcto al que los emprendedores debían enviar los 20.000€.

Una vez hicieron la transferencia, los hackers se apresuraron a sacar el dinero con una identidad falsa creada previamente.

Una semana después, ni las víctimas no habían recibido ninguna respuesta por parte del proveedor, ni siquiera un acuse de recibo del pago.

Ni el proveedor había recibido los fondos, aunque había recibido los emails en los que se detallaban los tiempos de pago.

Pasaron varios días en shock hasta que se pusieron a trabajar de común acuerdo con el proveedor. Les dejaron el equipo a la mitad de precio, asumiendo ellos la responsabilidad de recuperar ese dinero.

¿Qué hacer en caso de scam?

Debemos ser conscientes de que los ciberdelincuentes están verdaderamente informados y son capaces de interceptar comunicaciones privadas. Para ello es clave contar con medidas de seguridad que velen por la seguridad de las comunicaciones de las pymes y tener previsto un plan para evitar ataques y para solucionarlos una vez se han producido.

Por último, hay que convertir en un hábito el hecho de realizar las transferencias a nombre del destinatario de una empresa y pactar con el banco un protocolo de pagos seguros.

Una letra del correo le costó 20.000 € a una empresa asturiana
4.4 (88%) 5 votos