Mala jugada: ciberestafa a club de fútbol resalta los peligros de la ingeniería social

Dos clubes de fútbol internacionales fueron víctimas de ciberdelincuentes al ser despojados de un poco más de medio millón de euros en una transacción en la que estuvieron involucradas dos empresas mexicanas y que pone de relieve el riesgo que representan las tácticas de ingeniería social para las organizaciones.

A principios de este año se dio a conocer que Leandro Paredes, centrocampista que militaba en el equipo Zenit de Rusia, había sido transferido al club Paris Saint Germain, lo que involucraba 40 millones de euros y, según las normas de la FIFA, al primer club de Paredes, el Boca Juniors, le correspondía un porcentaje (aproximadamente un 3.5%), en concreto, 1,299,377.48 euros por los llamados derechos de formación.

El Paris Saint Germain y el Boca Juniors acordaron aplazar el pago en tres cuotas. La primera estaba prevista para el pasado 6 de marzo, pero el club argentino nunca recibió los casi 520 mil euros que el club francés aseguró que envió.

¿Dónde quedó el medio millón de euros?

Al no verse reflejado el dinero en la cuenta del club, se empezó a revisar los intercambios de correos y documentos que el Paris Saint Germain envió como prueba que sí había realizado el pago. En uno de los documentos adjuntos que confirmaba la transferencia descubrieron que correos provenientes supuestamente del personal del Boca Juniors presentaban ligeras modificaciones imperceptibles a simple vista. Según informa un diario argentino que ha tenido acceso a los documentos relacionados con el caso, una sola letra diferenciaba la dirección del correo electrónico fraudulento del legítimo. Naturalmente, las instrucciones que llegaron desde estas direcciones ficticias contenían datos falsos.

Tras analizar los documentos, Boca Juniors descubrió que su dinero había pasado primero por una cuenta bancaria de Nueva York que pertenecía a una empresa mexicana llamada Vector Casa de Bolsa y que luego se envió a México, esta vez a una cuenta bancaria de la compañía OM IT Solutions S.A. de C.V., empresas desconocidas para el club de fútbol.

“Fraudes financieros como este dejan ver el gran trabajo de planeación por parte de los cibercriminales. La ingeniería social involucra una serie de técnicas, como el phishing, que aparentan provenir de entidades legitimas para obtener información sensible de sus víctimas o para convencerlos a realizar algún tipo de acción que comprometa su sistema”, señala Roberto Martínez, analista senior de seguridad en Kaspersky Lab. “Las consecuencias de tales ataques pueden ir desde la pérdida de dinero hasta el compromiso de toda una red corporativa.Por esto es imprescindible que las empresas refuercen sus medidas de seguridad y capaciten a su personal para que estos estén familiarizados con este tipo de tácticas y así puedan identificarlas y evitarlas”.   

A finales de 2018, Kaspersky Lab bloqueó más de 70 millones de ataques de phishing en América Latina entre noviembre de 2017 y noviembre de 2018; el promedio de ataques diarios fue de 192 mil, lo que representa un crecimiento de 115% en comparación con el periodo anterior (noviembre/2016 hasta noviembre/2017). El ranking de los países más atacados por phishing cambió el año pasado: Brasil perdió la delantera y ahora figura en tercer lugar, con un aumento de 110%. México (120%) ocupa la primera posición y Colombia (118%) el segundo lugar.

Según ese mismo estudio, el sector financiero se vio especialmente afectado: más del 44% de todos los ataques de phishing detectados por las tecnologías de Kaspersky Lab se dirigieron a bancos, sistemas de pago y tiendas en línea. Esto significa que hubo casi tantos ataques de phishing financiero en 2018 como ataques de phishing en general en 2017.

Durante el primer trimestre de 2019, el sistema antiphishing de Kaspersky Lab bloqueó 111.832.308 intentos de llevar al usuario a páginas fraudulentas. La proporción de usuarios atacados únicos ascendió al 12,11% del número total de usuarios de productos Kaspersky Lab en el mundo.

¿Cómo no caer en este tipo de estafas?

Kaspersky Lab, sugiere conocer cuáles son los estados vulnerables que los ciberdelincuentes aprovechan para lograr su cometido. En ese sentido, proveer protección y comunicación a los empleados de la empresa que puede contener información corporativa, es la recomendación ideal.

El programa Kaspersky Security Awareness ayuda a generar conciencia en los empleados sobre las amenazas en la red. Este no sólo informa sobre las amenazas existentes, sino que también ofrece las habilidades necesarias para hacer frente a los métodos de ingeniería social.

Además, se recomienda a las empresas que utilicen soluciones de seguridad con funcionalidades dedicadas para detectar y bloquear el phishing, los archivos adjuntos maliciosos y el correo no deseado. Las empresas pueden proteger sus sistemas de correo electrónico locales con aplicaciones específicas incluidas en el paquete Kaspersky Endpoint Security for Business.

Para obtener mayor información sobre el spam y phishing durante el primer trimestre de 2019, visite https://securelist.lat/spam-and-phishing-in-q1-2019/88830/

Acerca de Kaspersky Lab

Kaspersky Lab es una compañía mundial de ciberseguridad con más de 21 años de trayectoria en el mercado. La amplia experiencia de Kaspersky Lab en inteligencia de amenazas y seguridad se transforma constantemente en soluciones de seguridad y servicios de vanguardia para proteger a empresas, infraestructura crítica, gobiernos y consumidores de todo el mundo. La amplia cartera de seguridad de la compañía incluye una destacada protección de endpoints y numerosas soluciones de seguridad y servicios especializados para combatir las amenazas digitales más avanzadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran.

Obtenga más información en http://latam.kaspersky.com