Seguridad

Una letra del email le costó a esta empresa 20.000 dólares

Una letra del email le costó a esta empresa 20.000 dólares

Una letra del correo electrónico modificada sirvió para que la compañía Seaphase firmase un acuerdo para la compra de una maquinaria compleja, de la que tenían que pagar por adelantado un total de 20.000 euros, cayendo en la trampa de los ciberatacantes.

La ciberseguridad en nuestro país sigue mostrando cifras alarmantes que plasman la elevada exposición de las compañías, especialmente de las pymes, ante toda clase de ciberamenazas como el phishing, el ransomware, el fraude del CEO o los distintos tipos de malware. Así es que un tercio de las pequeñas y medianas empresas sufrió algún problema el pasado 2017, mientras que únicamente 1 de cada 5 responsables de IT reconoce poder afrontar esta lacra.

¡Cuidado! 10 de asuntos de email de phishing que pueden llegar a tu empresa

Hoy traemos el caso de la startup Seaphase, recabado por Panda Security, y el grave problema ocasionado por una pequeña letra en el correo electrónico, buena muestra de cómo los pequeños detalles pueden desbaratarlo todo en materia de seguridad digital, especialmente en el caso de los mensajes de phishing. La compañía carecía de plan de ciberseguridad y este es el alto precio que tuvo que pagar por ello.

La startup quería hacerse con una maquinaria compleja, la cual querían comprar por 20.000 euros, cifra que debían abonar por adelantado. En el último email recibieron dos archivos adjuntos: la oferta y el documento con el número de cuenta. Sin embargo, todo era un fraude perpetrado por un grupo de ciberdelincuentes que interfirió en la conversación por correo electrónico entre los emprendedores y la empresa proveedora. Estos esperaron a un punto avanzado en la negociación para suplantar la identidad del proveedor por una dirección de email que tenía tan solo una minúscula modificación: una letra.

Las víctimas del timo pensaban que se comunicaban con su proveedor, pero el modus operandi que seguían los hackers consistía en copiar los mensajes y mandarlos de nuevo desde una cuenta cuya única diferencia era tener una “i” en lugar de una “l”. Para rematar la jugada los cibercriminales sustituyeron el PDF original por otro con sus propias credenciales y número de cuenta para recibir la transferencia por el importe de 20.000 euros. También extrajeron dicha cantidad empleando una identidad falsa.

5 claves para proteger tu correo electrónico del phishing

Cuando pasó una semana se descubrió el pastel: mientras que la startup ni siquiera había recibido un acuse de recibo del pago, al proveedor no le habían llegado los fondos, aunque sí los emails de los tiempos de pago. Evidentemente, la situación generó una grave preocupación. Victor Lobo, director comercial de Seaphase, reveló a Panda Security que pasaron “varios días en shock hasta que nos pusimos a trabajar de común acuerdo con nuestro proveedor. Para no perder la cara con el cliente, nos iban a dejar el equipo a la mitad de precio, asumiendo ellos la responsabilidad de recuperar ese dinero”.

Desde la firma especializada en ciberseguridad recalcan que el delito de scam es cada vez más frecuente y se beneficia de la falta de previsión de las compañías en esta materia. Hervé Lambert, Global Retail Product Manger de Panda Security insta a las pymes a tener un plan claro para prevenir y frenar ataques, así como contar con las medidas pertinentes. También es fundamental hacer las transferencias a nombre del destinatario de una empresa y pactar con el banco un protocolo de pagos seguros.

Fuente | Panda Security

Sobre el autor de este artículo

Andrea Núñez-Torrón Stock

Licenciada en Periodismo y creadora de la revista Literaturbia. Entusiasta del cine, la tecnología, el arte y la literatura.