Black Friday, Cyber Monday, Navidad… ¿Se pueden sortear las estafas en las compras online?

• El pasado año se registraron unos 7.000 ciberataques cada día en estas campañas. En 2023 se espera un incremento superior al 50%, solo por estafas a través de phishing.
• El impacto económico del ciber fraude representa un 2% del total de ventas solo para la campaña del Black Friday.
• Usar medios de pago seguros y comercios de confianza, evitar redes Wi-Fi públicas o crear contraseñas seguras, son algunos de los principales consejos para evitar los ciber sustos.

Entre las más representativas se encuentran, como explican Elena Maestre, socia responsable de Ciberseguridad en Consulting de EY y José Luis Rojo de Luque, socio del área de Technology Consulting de EY:

• El phishing, en constante aumento, se manifiesta a través de comunicaciones fraudulentas que imitan a empresas legítimas. Dichos correos electrónicos y mensajes de texto contienen enlaces o adjuntos que, al ser abiertos, podrían comprometer datos personales y financieros.
• El malware actúa en silencio y puede ser devastador, comprometiendo dispositivos enteros de particulares y empresas, y extrayendo activos digitales sin consentimiento.
• Las estafas en línea presentan disfraces variados, desde reembolsos ficticios hasta ventas engañosas, con el objetivo de robar información o, directamente, dinero.

Las ciberestafas, en cifras

El aumento, año tras año de las cifras que conllevan las estafas en las compras online reflejan lo alarmante que resulta este tema: más de 50.000 ciberataques en España durante el mencionado período, lo que equivale a más de 7.000 ataques diarios. Los datos del 2022 muestran un aumento en el intento de fraude online mediante phishing de hasta el 227% durante estas campañas en comparación con otros días del año. “Hay que tener en cuenta que la enorme y creciente digitalización del sector consumo y la proliferación de ataques cada vez más sofisticados hacen prever que para este 2023 vuelva a crecer de manera significativa con tasas superiores al 50%”, advierten los socios de EY.

Desde la perspectiva económica, se estima que el impacto del fraude puede representar hasta un 2% de las ventas totales en estos períodos de alta actividad comercial. Un porcentaje que puede representar hasta 90 millones de euros en pérdidas, basándose en una estimación de gasto superior a los 4.500 millones de euros solo durante el Black Friday en España.

Actividades, todas las anteriores, que a menudo suelen ser obra de actores destacados en el mundo de la ciberdelincuencia, entre ellos, Lazarus, REvil, DarkSide, TrickBot y Emotet, cuyas acciones varían desde sofisticados ransomwares hasta estafas de phishing a gran escala durante estos períodos de auge de compra online. En este sentido, proliferan los grupos que se vinculan habitualmente al crimen organizado de Europa del Este, cuyo objetivo principal es la obtención de fondos.

En cuanto a las principales amenazas, para las campañas de Black Friday, Cyber Monday y Navidad de 2023, los expertos prevén que el phishing y el malware sigan siendo las principales amenazas para los `cibercompradores´. En palabras de los expertos de EY, “Es previsible que nos encontremos de nuevo ante una oleada de ofertas y descuentos ficticios diseñados para capturar datos sensibles, así como la infección de sitios web de comercio electrónico con malware”.

¿Cómo combatir las ciber amenazas?

Estas son las principales recomendaciones de los expertos: Elena Maestre, socia responsable de Ciberseguridad en Consulting de EY y José Luis Rojo de Luque, socio del área de Technology Consulting de EY:

• Utilizar métodos de pago seguros: Las tarjetas de crédito o servicios de pago en línea que ofrecen protecciones contra el fraude son los métodos más seguros. Una tarjeta de crédito implica que, si los detalles de su pago son robados, su cuenta bancaria principal no se verá afectada directamente. Adicionalmente las plataformas de pago en línea, como PayPal, Apple Pay o Google Pay, no comparten información del pago del titular con el comerciante.
• Utilizar solo comercios electrónicos de confianza:  En este período los delincuentes generan portales que permiten tanto hacer fraudes por compras inexistentes como robar datos personales y financieros.
  
• Desconfiar de peticiones de información o pagos fuera de la transacción propia del comercio donde se realiza la compra: Los atacantes pueden utilizar cierta información comprometida en plataformas que pueden utilizar para solicitar pagos fraudulentos a través de correo electrónico o mensajería móvil.
  
•  Habilitar la autenticación de dos factores (2FA) a través de correo o teléfono móvil: El doble factor es una de las medidas más efectivas.
  
•  Evitar las redes Wi-Fi públicas para realizar compras online durante este período: Cuando se realizan compras a través de estas redes normalmente viajan datos de pago como tarjetas de crédito, productos adquiridos, etc. Estas redes pueden no estar bien protegidas y un atacante podría acceder a ellos.
  
•  Formarse sobre las tácticas de phishing: Formarse para detectar y poder evitar correos electrónicos, llamadas y mensajes de texto fraudulentos.
  
•  No compartir información personal innecesariamente: La información compartida puede ser utilizada para realizar ataques dirigidos. Hay que ser cauteloso con lo que comparte en Internet, especialmente en redes sociales.
  
• Revisar los extractos bancarios regularmente: Tras la realización de compras durante estos períodos, es muy recomendable mantener un seguimiento de las transacciones bancarias para detectar cualquier actividad sospechosa y notificarlo cuanto antes a su entidad financiera.
  
• Crear contraseñas únicas y seguras: Se deben utilizar contraseñas fuertes y únicas para cada una de sus cuentas de plataformas o comercios electrónicos los cuales pueden almacenar la información de pago. Especialmente en este período, donde la actividad maliciosa se multiplica, se recomienda asegurar que las contraseñas no son fácilmente predecibles.

Las empresas, ¿a salvo de su propia ciberseguridad?

Pues no del todo. Sólo 1 de cada 5 a nivel mundial consideran tener una estrategia eficaz contra la ciberdelincuencia, en un entorno en el que el coste medio de las ciber amenazas a nivel mundial ha crecido un 12% en 2023, y en el que cada organización sufre, de media, 44 incidentes anuales. Y donde, además, a pesar de que el gasto anual en ciberseguridad es, de media para las empresas y organismos, de 35 millones de dólares, los tiempos de detección y respuesta se muestran lentos, según el 76% de las 500 empresas consultadas en todo el mundo en el reciente estudio Global Cybersecurity Leadership Insights 2023 de EY.

En palabras de Elena Maestre, socia responsable de Ciberseguridad en Consulting de EY: “Después de todo el tiempo y el dinero invertido en ciberseguridad, y este contexto de llegada de las campañas comerciales más importantes del año, las empresas y sus responsables seguridad de la información todavía no se sienten seguros y preparados contra las ciber amenazas. Una situación que, además, se agrava aún más en este contexto de inestabilidad geopolítica, de incertidumbre económica y de un rápido crecimiento de la adopción de las tecnologías emergentes, y en el que se genera un incremento del número incidentes y una mayor sofisticación de las amenazas por los ciberdelincuentes”.

Descarga aquí: Las 5 claves para crear una estrategia de ciberseguridad óptima y robusta