La ciberseguridad en nuestro país sigue mostrando cifras alarmantes que plasmanla elevada exposición de las compañías, especialmente de las pymes, ante toda clase de ciberamenazas como el phishing, el ransomware, el fraude del CEO o los distintos tipos de malware. Así es que un tercio de las pequeñas y medianas empresas sufrió algún problema el pasado 2017, mientras que únicamente 1 de cada 5 responsables de IT reconoce poder afrontar esta lacra.

Hoy traemos el caso de la startup Seaphase, recabado por Panda Security, y el grave problema ocasionado por una pequeña letra en el correo electrónico, buena muestra de cómo los pequeños detalles pueden desbaratarlo todo en materia de seguridad digital, especialmente en el caso de los mensajes de phishing. La compañía carecía de plan de ciberseguridad y este es el alto precio que tuvo que pagar por ello.

La startup quería hacerse con una maquinaria compleja, la cual querían comprar por 20.000 euros, cifra que debían abonar por adelantado. En el último email recibieron dos archivos adjuntos: la oferta y el documento con el número de cuenta. Sin embargo, todo era un fraude perpetrado por un grupo de ciberdelincuentes que interfirió en la conversación por correo electrónico entre los emprendedores y la empresa proveedora. Estos esperaron a un punto avanzado en la negociación para suplantar la identidad del proveedor por una dirección de email que tenía tan solo una minúscula modificación: una letra.

Esto es lo que valen tus tarjetas y cuentas robadas en la Dark Web

Las víctimas del timo pensaban que se comunicaban con su proveedor, pero elmodus operandi que seguían los hackers consistía en copiar los mensajes y mandarlos de nuevo desde una cuenta cuya única diferencia era tener una “i” en lugar de una “l”. Para rematar la jugada los cibercriminales sustituyeron el PDF original por otro con sus propias credenciales y número de cuenta para recibir la transferencia por el importe de 20.000 euros. También extrajeron dicha cantidad empleando una identidad falsa.

Cuando pasó una semana se descubrió el pastel: mientras que la startup ni siquiera había recibido un acuse de recibo del pago, al proveedor no le habían llegado los fondos, aunque sí los emails de los tiempos de pago. Evidentemente, la situación generó una grave preocupación. Victor Lobo, director comercial de Seaphase, reveló a Panda Security que pasaron “varios días en shock hasta que nos pusimos a trabajar de común acuerdo con nuestro proveedor. Para no perder la cara con el cliente, nos iban a dejar el equipo a la mitad de precio, asumiendo ellos la responsabilidad de recuperar ese dinero”.

Desde la firma especializada en ciberseguridad recalcan que el delito de scam es cada vez más frecuente y se beneficia de la falta de previsión de las compañías en esta materia. Hervé Lambert, Global Retail Product Manger de Panda Security insta a las pymes a tener un plan claro para prevenir y frenar ataques, así como contar con las medidas pertinentes. También es fundamental hacer las transferencias a nombre del destinatario de una empresa y pactar con el banco un protocolo de pagos seguros.