X
Uso de Cookies:

Utilizamos cookies propias y de terceros para obtener datos estadísticos de su navegación en esta web. Si continúa navegando consideramos que acepta el uso de cookies. Más información

Blog | Seguridad Información

Qué es Spoofing y Phishing: Ciberseguridad en la Empresa

Publicado el 18/02/2021

Recomendaciones para evitar problemas de Ciberseguridad en la Empresa


A través de un claro ejemplo vamos a explicar cuál es la mejor manera de evitar tanto el spoofing y como el phishing en la empresa y aportaremos las recomendaciones necesarias para que no vuelva a ser víctima de una estafa y engaño a través de internet.

Ataque al departamento financiero por Ciberdelincuentes

Vamos a contar la historia de Jose Antonio, responsable de pago de una empresa del sector de la construcción.


Jose Antonio tiene entre otras responsabilidades el pago de proveedores, nóminas y demás gastos de la organización. Normalmente tiene planificado los ingresos y gastos, pero siempre se presenta algún pago que tiene que realizar con urgencia, al margen de la planificación.


Una mañana de lunes, cuando estaba intentando conectarse a la triste realidad de la semana que tenía por delante, recibió un email del director de la empresa indicando que tenía que pagar con urgencia 70.000 € a un nuevo proveedor. En el email se indicaba que era realmente urgente y de vital importancia para la empresa. Además, figuraba un número de cuenta.


Dado que el director de la empresa no era la primera vez que exigía pagos con cierta urgencia, Jose Antonio ni lo dudo, se metió por internet en las cuentas del banco y procedió a realizar la transferencia.


De ese lunes José Antonio se acordaría toda su vida. Al final de la mañana, cuando el CEO le llamó para otro asunto, le comentó que ya había realizado el pago de los 70.000 € que le había pedido por email.


El director no sabía de qué estaba hablando. El no había enviado ningún email.


¿Qué ocurrió ese fatídico lunes?

Tanto José Antonio como el director de la compañía fueron víctimas de una técnica de los ciberdelincuentes denominada spoofingConsiste en la Falsificación de la dirección de correo electrónico o la URL de una organización para hacerse pasar por ella, de modo que el usuario crea que la comunicación que le envían es legítima y caiga en el engaño, proporcionando sus credenciales de acceso y datos personales.


Mediante información que sin darnos cuenta vamos publicando en internet los ciberdelincuentes investigan quienes son los directivos de las empresas, los responsables del departamento financiero, etc.


En este caso lo ciberdelincuentes se hicieron pasar por el director de la compañía y pidieron un pago de urgencia a un número de cuenta. La empresa perdió 70.000 € en un momento.


José Antonio y el director se pusieron en contacto con el Banco para confirmar el fraude y acto seguido denunciaron el hecho a las Fuerzas y Cuerpos de Seguridad del Estado.

¿Cómo se pueden evitar este tipo de problemas de Ciberseguridad?

Cada vez es más común este tipo de ciberataques a las empresas. Las organizaciones se tendrían que tomar más en serio este tipo de riesgos y luchar por evitarlos.


Se pueden tomar muchas soluciones puntuales pero consideramos que sería bueno implantar un sistema de seguridad de la información bajo la Norma ISO 27001 para ver los riesgos y posibles soluciones en su conjunto.


En este caso en particular se habría evitado el problema si el personal de la organización hubiese recibido cursos de concienciación sobre seguridad de la información. De esta manera habría conocido de la existencia de técnicas como el spoofing o el phishing y José Antonio habría podido dudar del email del director que con urgencia exigía el pago de una fuerte suma de dinero.


Por otra parte, la organización podría haber documentado, como parte del sistema de seguridad ISO 27001 un protocolo de pagos. En este protocolo, porejemplo, se podría indicar que para importes superiores a 3.000 €, los pagos requieren una segunda confirmación del solicitante del pago mediante teléfono.


Las empresas pueden gastar grandes cantidades de dinero en antivirus y otras soluciones tecnológicas, pero deben tener en cuenta que la parte más vulnerable es el usuario. Es necesario contar con su participación y concienciarle de los riesgos de seguridad de la información a los que se enfrenta la organización en su día a día.


Consultoría de Ciberseguridad

Si necesita asesoramiento personalizado no dude en contactar con nuestros expertos en Seguridad de la Información. En Grupo ACMS Consultores nos avalan más de 20 años de experiencia y podemos brindarle toda la ayuda que necesite.


Vídeo: Sobre nosotros

Formación relacionada con Seguridad de la Información

Versión PDF

Diagnósticos Gratuitos

Software

Artículos del Blog

Información de Actualidad

Información de ACTUALIDAD

Documentación Relacionada

Preguntas Frecuentes

Cómo crear un Plan Director de Seguridad efectivo
El Plan Director de Seguridad es un conjunto de políticas y procedimientos diseñados para proteger los activos y la información crítica de una empresa.


Consultoría de Seguridad Informática
El consultor de seguridad supervisará las medidas de seguridad para ofrecer una protección efectiva a los bienes de su empresa.


Asesoría en Seguridad informática
Grupo ACMS Consultores ofrece sus servicios como asesoría en Seguridad informática. Si necesita asesoramiento puede contactar con nosotros


Certificación ISO 27001 Gestión de seguridad de la información
La Certificación ISO 2700 demuestra  que su empresa cumple con la legislación vigente sobre gestión de la seguridad de la información.


Madrid

C/Campezo 3, nave 5 - 28022 Madrid - (+34) 91 375 06 80

Burgos

Edificio Centro de Empresas, 73 - 09007 Burgos - (+34) 947 041 645

Barcelona

C/ Plaça Universitat 3 - 08007 Barcelona - (+34) 93 013 19 49

Málaga

C/ Alejandro Dumas 17, 29004 Málaga - (+34) 95 113 69 04