Para las empresas en su día a día son muchas las amenazas o noticias que les llegan de compañías que han sufrido una brecha de seguridad, datos de clientes que han quedado expuestos o archivos que se han cifrado para pedir un rescate entre otros. Aprovechando esta ola hay otro tipo de ataque que tratan de engañar a muchas empresas amenazando con publicar datos confidenciales que no tienen.
El vector de ataque suele ser el correo electrónico, donde en muchos casos suplantando una dirección de la propia organización para tratar de dar veracidad al mensaje. En el mismo se explica que han encontrado una vulnerabilidad en los sistemas de la empresa y se han hecho con el control de sus datos, extrayendo información de sus bases de datos, de clientes, financieros o mensajes de correos.
Se exige el pago de un rescate en critomonedas
Lo que buscan es que la persona que reciba el mensaje se ponga nervioso y realice el pago para evitar que la reputación de su compañía se vea comprometida. Por eso suelen dar un ultimatum para realizar el pago en pocas horas.
Tratan de evitar que las empresas realicen las comprobaciones oportunas para saber si realmente han sufrido una brecha de seguridad o no. Tampoco aportan pruebas reales de que tengan en su poder datos de clientes, confidenciales, o que puedan resultar comprometedores para la empresa.
La confianza de los clientes en la empresa se debilita si saben que sus datos personales están en poder de ciberdelincuentes por un ataque a dicha empresa
El coste del rescate que suelen exigir no es demasiado alto, asumible para la mayoría de las empresas y con instrucciones muy claras de cómo deben realizar el pago a través de criptomonedas.
Para empresas pequeñas que no tienen un servicio técnico propio, ya sea interno o externo, no hay gran diferencia entre realizar el pago y contratar a alguien que verifique si se ha producido una brecha de seguridad o han accedido a sus sistemas.
Un spam moderno que busca intimidar a las empresas
Es fácil detectar este tipo de engaños pero la realidad es que también tiene un coste de ejecución y propagación muy bajo, por lo que para los ciberatacantes acaba por resultar rentable. Es la misma técnica del spam que inundaba los buzones de correo en el pasado, pero utilizando el miedo de las empresas.
Además, muchas de ellas no están tomando las medidas de precaución adecuadas para asegurar sus datos y no recuerdan la última vez que un consultor de protección de datos les realizó un estudio sobre esta cuestión.
Si a esto le sumamos que la multas que pueden sufrir por no cumplir con la LOPDGDD son muy elevadas, tenemos todos los ingrediente como para que en algún caso alguien llegue a picar y pagar por recuperar unos datos que nunca han estado en poder de los ciberatacantes.