Qué es Spoofing y Phishing: Ciberseguridad en la Empresa

ciberseguridad empresa

Recomendaciones para evitar problemas de Ciberseguridad en la Empresa


A través de un claro ejemplo vamos a explicar cuál es la mejor manera de evitar tanto el spoofing y como el phishing en la empresa y aportaremos las recomendaciones necesarias para que no vuelva a ser víctima de una estafa y engaño a través de internet.

Ataque al departamento financiero por Ciberdelincuentes

Vamos a contar la historia de Jose Antonio, responsable de pago de una empresa del sector de la construcción.


Jose Antonio tiene entre otras responsabilidades el pago de proveedores, nóminas y demás gastos de la organización. Normalmente tiene planificado los ingresos y gastos, pero siempre se presenta algún pago que tiene que realizar con urgencia, al margen de la planificación.


Una mañana de lunes, cuando estaba intentando conectarse a la triste realidad de la semana que tenía por delante, recibió un email del director de la empresa indicando que tenía que pagar con urgencia 70.000 € a un nuevo proveedor. En el email se indicaba que era realmente urgente y de vital importancia para la empresa. Además, figuraba un número de cuenta.


Dado que el director de la empresa no era la primera vez que exigía pagos con cierta urgencia, Jose Antonio ni lo dudo, se metió por internet en las cuentas del banco y procedió a realizar la transferencia.


De ese lunes José Antonio se acordaría toda su vida. Al final de la mañana, cuando el CEO le llamó para otro asunto, le comentó que ya había realizado el pago de los 70.000 € que le había pedido por email.


El director no sabía de qué estaba hablando. El no había enviado ningún email.


¿Qué ocurrió ese fatídico lunes?

Tanto José Antonio como el director de la compañía fueron víctimas de una técnica de los ciberdelincuentes denominada spoofingConsiste en la Falsificación de la dirección de correo electrónico o la URL de una organización para hacerse pasar por ella, de modo que el usuario crea que la comunicación que le envían es legítima y caiga en el engaño, proporcionando sus credenciales de acceso y datos personales.


Mediante información que sin darnos cuenta vamos publicando en internet los ciberdelincuentes investigan quienes son los directivos de las empresas, los responsables del departamento financiero, etc.


En este caso lo ciberdelincuentes se hicieron pasar por el director de la compañía y pidieron un pago de urgencia a un número de cuenta. La empresa perdió 70.000 € en un momento.


José Antonio y el director se pusieron en contacto con el Banco para confirmar el fraude y acto seguido denunciaron el hecho a las Fuerzas y Cuerpos de Seguridad del Estado.

¿Cómo se pueden evitar este tipo de problemas de Ciberseguridad?

Cada vez es más común este tipo de ciberataques a las empresas. Las organizaciones se tendrían que tomar más en serio este tipo de riesgos y luchar por evitarlos.


Se pueden tomar muchas soluciones puntuales pero consideramos que sería bueno implantar un sistema de seguridad de la información bajo la Norma ISO 27001 para ver los riesgos y posibles soluciones en su conjunto.


En este caso en particular se habría evitado el problema si el personal de la organización hubiese recibido cursos de concienciación sobre seguridad de la información. De esta manera habría conocido de la existencia de técnicas como el spoofing o el phishing y José Antonio habría podido dudar del email del director que con urgencia exigía el pago de una fuerte suma de dinero.


Por otra parte, la organización podría haber documentado, como parte del sistema de seguridad ISO 27001 un protocolo de pagos. En este protocolo, porejemplo, se podría indicar que para importes superiores a 3.000 €, los pagos requieren una segunda confirmación del solicitante del pago mediante teléfono.


Las empresas pueden gastar grandes cantidades de dinero en antivirus y otras soluciones tecnológicas, pero deben tener en cuenta que la parte más vulnerable es el usuario. Es necesario contar con su participación y concienciarle de los riesgos de seguridad de la información a los que se enfrenta la organización en su día a día.


Consultoría de Ciberseguridad

Si necesita asesoramiento personalizado no dude en contactar con nuestros expertos en Seguridad de la Información. En Grupo ACMS Consultores nos avalan más de 20 años de experiencia y podemos brindarle toda la ayuda que necesite.


Formación relacionada con Seguridad de la Información

Formación incompany-bonificada






Política de privacidad y protección de datos

Responsable: Asistencia en calidad medio ambiente y servicios SL (ACMS) (CIF: B82029703)
Finalidad: Gestionar la solicitud realizada..
Legitimación: Consentimiento de la persona..
Destinatarios: Empresas del GRUPO ACMS..
Derechos: Enviándonos un correo a: proteccion-datos@grupoacms.com.

Acepto la política de tratamiento de mis datos
Quiero recibir información relacionada

Certificado AENOR 9001 Certificado AENOR 27001   Certificado Madrid Excelente
INFORMACIÓN SOBRE COOKIES
Utilizamos cookies propias y de terceros para obtener datos estadísticos de su navegación en esta web. Si continúa navegando consideramos que acepta el uso de cookies. INFORMACIÓN | ACEPTO