La pandemia mundial ha supuesto un incremento muy importante en el comercio electrónico alrededor de todo el mundo y ha acelerado la transformación digital de las empresas. Como consecuencia de estos hechos, se ha incrementado los delitos cibernéticos, que cada vez son mayores y más peligrosos, tanto para particulares como para las empresas.
En el informe realizado por Snyk (2022) sobre ciberseguridad en las empresas, indica que el 80% de las empresas fueron víctimas de algún incidente de seguridad importante en el último año. Además, en el informe Digital Trust Survey 2023 (Pwc) se concluye que, únicamente el 40% de las empresas tienen perfectamente protegidas las áreas más importantes y susceptibles de sus organizaciones.
Uno de los fraudes más habituales en las empresas se da en el área de gestión de cobros y pagos, por ello, es muy importante conocer los tipos de ciberdelitos que existen y cómo evitarlos, para garantizar la seguridad de estos procesos.
A continuación, enumeramos algunos de ellos:
- Phishing, Vishing y Smishing: son ataques de ingeniería social. Son técnicas que consisten en suplantar la identidad de alguna persona de la empresa para realizar pagos en su nombre. Para lograrlo, los ciberdelincuentes interceptan claves, contraseñas e información sobre tarjetas de crédito.
Para conseguir estos datos, se hacen pasar por una persona o empresa de confianza (bancos, proveedores, etc.) y se comunican con la empresa que va a ser estafada a través de email, redes sociales o aplicaciones de mensajería instantánea (Phising), llamadas telefónicas (Vishing) o mensajes de texto, SMS (Smishing). Normalmente los mensajes suelen tener como asunto algún tema de urgencia o un título muy atractivo.
Estos mensajes contienen un enlace a una página web fraudulenta, que ha podido ser suplantada o también pueden adjuntar un archivo malicioso para infectar el dispositivo con malware.
- Botnets: es una red de varios dispositivos infectados que están controlados de forma remota por uno o varios ciberdelincuentes.
Los ciberdelincuentes introducen códigos maliciosos en páginas webs que son vulnerables. Cuando se accede a la página web, el equipo queda infectado sin manifestar aparentemente ningún problema. También se suele enviar de archivos maliciosos a través de mensajes de correo electrónico.
El virus se ejecuta de forma autónoma y se infectan ordenadores y teléfonos móviles para obtener los datos necesarios para realizar compras o pagos autorizados por la empresa.
El objetivo es controlar el mayor número de dispositivos posibles con los que realizar el mayor número de ciberataques con mayor probabilidad de éxito.
- Un Rootkit es un conjunto de herramientas para acceder de forma ilícita a un sistema. El objetivo de este ciberataque es la ocultación de elementos como archivos, procesos, contraseñas, etc., para que resulte difícil encontrarlos.
- Fraude interno a la empresa: los archivos referentes a pagos deben de estar protegidos, con claves o sistemas similares para controlar que sólo accedan a esos documentos las personas autorizadas.
- Apps maliciosas: son Apps que se hacen pasar por aplicaciones legítimas o imitan aplicaciones de éxito. Una vez instaladas en el dispositivo, piden una serie de permisos excesivos o, hacen un uso fraudulento de dichos permisos, por ejemplo, acceso a las fotos, documentos, etc. Se suelen descargar fuera de las tiendas oficiales de las aplicaciones.
Para evitar este tipo de ciberataques, te comentamos algunos consejos que pueden resultar muy útiles para mejorar la seguridad de los pagos y cobros de tu empresa:
El primer consejo es definir claramente los procedimientos internos de implantación y control de la seguridad de los datos y formar al personal de la empresa, tanto en conocimientos de seguridad como en el dominio de los diferentes protocolos de actuación. Además, se deben seleccionar las herramientas informáticas adecuadas para asegurar la seguridad de los datos.
Una vez está definida la política de seguridad de los datos de la empresa, conviene tener en cuenta estos otros consejos respecto a los diferentes ciberataques:
- Ataques a contraseñas: existen algunas prácticas que se deben evitar a la hora de fijar las contraseñas que se utilizan para la gestión de pagos:
- Utilizar la misma contraseña para distintas aplicaciones.
- Utilizar contraseñas débiles, fáciles de recordar y de adivinar.
- Utilizar información personal, como la fecha de nacimiento.
- Apuntar las contraseñas en el móvil, en notas o archivos sin cifrar.
- Guardar las contraseñas en las páginas webs o en el navegador.
- Utilizar patrones sencillos, como, por ejemplo, la primera letra en mayúscula y a continuación, las siguientes de 4 o 5 letras en minúscula y después, añadir 1 o 2 números o un carácter especial.
- Ataques por malware: es importante poseer herramientas de protección antimalware y tenerlas actualizadas.
- Apps maliciosas: conviene cifrar el dispositivo, para que los datos sólo se puedan leer cuando el dispositivo está desbloqueado, además, es fundamental descargar aplicaciones de los sitios oficiales, como Google Play o la App Store.
- Otro tipo de ataques: mantener el sistema actualizado y tener activos los programas de protección, como el antivirus y el firewall.
Además de conocer qué hacer ante los diferentes ciberataques, existen algunas prácticas muy recomendables que colaboran con la seguridad de los datos de la empresa:
- Se recomienda utilizar la verificación en dos pasos u otro factor de autenticación.
- No confíes en los archivos adjuntos dudosos, enlaces u ofertas demasiado atractivas.
- Al navegar en Internet, hazlo solo webs seguras con https y certificado digital. Recurre al modo incógnito cuando no quieras dejar huella de tu navegación.
- Si quieres descargarte aplicaciones, da los permisos imprescindibles para su funcionamiento.
- Intenta no conectarte a redes wifi públicas o a conexiones inalámbricas desconocidas. Especialmente cuando vayas a utilizar información importante, como los datos bancarios.
- Hacer copias de seguridad de forma periódica, para evitar la pérdida de los datos en caso de ser víctima de un ciberataque.
- Tokenizar los datos importantes (es un sistema que transforma de forma automática los datos financieros en cadenas numéricas aleatorias para garantizar la confidencialidad de los datos).
- Tarjetas virtuales: que no necesitan que se indique su número ni el CVV.
G20 Corporation para garantizar la seguridad de los pagos de sus clientes, posee proveedores que facilitan y aseguran las distintas modalidades de pagos; reciente ha finalizado la implantación de la plataforma Kineox para todos sus clientes. Esta solución permite realizar el cobro seguro recurrente de todas sus facturas mediante tarjeta de crédito. El cliente recibe un enlace para introducir (tokenizar) su tarjeta de crédito en nuestro sistema de forma totalmente segura y sin que intervenga ninguna persona que no sea el propio titular. Una vez tokenizada, el sistema introduce los datos y ya está habilitado para realizar las transacciones habituales de cobro seguro, cumpliendo de esta forma, la legislación vigente a este respecto.
Actualmente también estamos en proceso de implantación de la solución de pago de INESPAY, que permite realizar trasferencias online de forma inmediata y segura. Mediante esta plataforma, el cliente recibe un enlace que le deriva a su entidad bancaria para autorizar la transferencia solicitada con todas las garantías de seguridad y a coste cero para el mismo. Dada la gran versatilidad de esta herramienta, G20 Corporation ha firmado un acuerdo de colaboración con INESPAY para poder incorporar esta solución a su portfolio de servicios para que todos los clientes que estén interesados en esta práctica y segura gestión de pagos, puedan contratarlo y beneficiarse de todas sus ventajas.
Fuente: Instituto Nacional de Ciberseguridad y Oficina de Seguridad al Internauta. https://creativecommons.org/licenses/by-nc-sa/4.0/deed.es_ES