10 datos sobre el spoofing y la suplantación de marcas que te sorprenderán

El spoofing y su corolario, la suplantación de marca o el fraude de marca, son las tácticas favoritas de los ciberdelincuentes. Es uno de los trucos más antiguos que existen por una razón: funciona. Los empleados suelen abordar con menos recelo los mensajes de marcas de confianza con las que interactúan con frecuencia, como Microsoft o Amazon, lo que convierte a la suplantación de marca en una poderosa herramienta de ingeniería social. Los ciberdelincuentes lo saben y se aprovechan de ello constantemente, atacando a las empresas con una avalancha incesante de mensajes de phishing que se hacen pasar por marcas. A los empleados les puede resultar muy difícil distinguir entre un mensaje auténtico y uno falso, lo que puede acarrear graves problemas a sus empresas. Estos datos sobre la suplantación de identidad y la usurpación de marcas pueden ayudarte a comprender el peligro que estos ciberataques suponen para cualquier organización.

10 datos sobre la suplantación de identidad y la usurpación de marcas

1. El 25 % de todos los correos electrónicos de marcaque reciben las empresas son falsos o intentos de suplantación de identidad.    
2. La suplantación de marcas ha aumentadomás de un 360 % desde 2020. 
3. El 97 % de los empleadosno sabe identificar las amenazas sofisticadas de phishing. 
4. El 98 % de los ciberataquesincluyen uno o más elementos de ingeniería social, como la suplantación de identidad. 
5. El 98 % de las organizaciones recibió una amenaza procedente del dominio de un proveedor en 2021.
6. Una cuarta parte de todos los ataques de phishing por correo electrónico en el cuarto trimestre de 2021 se hicieron suplantando la identidad de UPS o DHL 
7. El fraude de marcas en 2021 fue 15 veces mayor que en 2020 
8. Es probable que 1 de cada 3empleados haga clic en los enlaces de los correos electrónicos de phishing.     
9. El 45 % de los empleados hace clic en correos electrónicos que consideran sospechosos «por si acaso es algo importante».   
10. Es probable que 1 de cada 8empleados facilite la información solicitada en un correo electrónico de phishing.  

Las 10 marcas más falsificadas o suplantadas

Como muestran estos datos sobre la suplantación de marcas y el spoofing, los ciberdelincuentes tuvieron un gran año en 2021, lo que supuso un nuevo peligro para los buzones de correo de los empleados. Los empleados se enfrentan a esta amenaza con frecuencia: tradicionalmente, Microsoft ocupa el primer puesto. Sin embargo, DHL la superó a finales de 2021, representando casi una cuarta parte de los intentos de phishing con marcas. No obstante, Microsoft no bajó demasiado en la lista. Microsoft ocupó el segundo puesto, siendo la marca que los ciberdelincuentes imitaron en una quinta parte de los esquemas de phishing. El gigante de las comunicaciones WhatsApp quedó en tercer lugar, con Google pisándole los talones. LinkedIn sigue siendo un recurso habitual para los ciberdelincuentes, pero Facebook (ahora conocido como Meta) salió del top 10.   

1. DHL 23%  
2. Microsoft 20 %  
3. WhatsApp 11 %  
4. Google 10 %  
5. LinkedIn 8 %  
6. Amazon 4 %  
7. Roblox 3 %  
8. FedEx 3 %  
9. PayPal 2 %  
10. Apple 2 %  

Los datos sobre la suplantación de identidad y la usurpación de marcas ponen de manifiesto la magnitud del peligro al que se enfrentan las empresas

El hecho de que Microsoft haya bajado al segundo puesto no reduce el peligro que supone el phishing con la marca Microsoft para las empresas. Aproximadamente145 millones de personas utilizan Teams u Office 365cada día. Esa es una de las principales razones por las que Microsoft es el eterno líder entre las marcas más imitadas en los archivos adjuntos. Los empleados manejan una gran cantidad de archivos de Office. Algo menosdel 50 % de los archivos adjuntos maliciosos en correos electrónicosllegan en formatos de Microsoft Office. Los formatos de Microsoft Office, como Word, PowerPoint y Excel, son extensiones de archivo muy utilizadas por los ciberdelincuentes para transmitir malware por correo electrónico, y representan el 38 % de los ataques de phishing. El siguiente método de distribución más popular son los archivos comprimidos, como .zip y .jar, que representan alrededor del 37 % de las transmisiones maliciosas.   

Robar la reputación de marca de una empresa es como robarle su identidad. Las empresas dedican tiempo y dinero a construir sus marcas, y parte de esos esfuerzos se centran en posicionarse como una organización honrada y digna de confianza, que sea a la vez un buen socio comercial y una empresa de calidad a la que los clientes puedan acudir. Pero a los ciberdelincuentes les encanta sacar provecho del trabajo duro de otros. Una forma en que pueden sacar partido de la excelente reputación de marca de una empresa en el mundo empresarial es ponerse en contacto de manera fraudulenta con empresas con las que dicha marca hace negocios o con empresas que son socios lógicos, utilizando cuentas falsas en redes sociales. Los delincuentes pueden utilizar este método para recopilar información, obtener credenciales y mucho más, lo que les permite poner en marcha esquemas de suplantación de identidad en el correo electrónico empresarial sin necesidad de enviar ni un solo correo electrónico. 

Datos sobre la suplantación de identidad y la usurpación de marcas: datos sobre el fraude en las redes sociales

Los minoristas suelen verse especialmente afectados por el phishing en las redes sociales. Las marcas de lujo luchan constantemente contra la suplantación de identidad en las redes sociales, y los ciberdelincuentes utilizan esas marcas para estafar y suplantar a víctimas desprevenidas cada día. Los ciberdelincuentes se esfuerzan por trasladar rápidamente sus operaciones a la plataforma de redes sociales de moda en cada momento. En este momento, eso significa que están dedicando tiempo y esfuerzo a estafar a los usuarios de TikTok. Grandes marcas minoristas como Gucci, Rolex y Louis Vuitton se encontraban entre lasmás atacadas por los falsificadoresen TikTok en 2021.   

Las marcas de lujo más falsificadas en TikTok  

En lo que respecta a las publicaciones con hashtags que suplantan la identidad de marcas o son falsas en 2021

1. Gucci: 13,6 millones   
2. Rolex: 11,7 millones 
3. Louis Vuitton 2,08 millones   
4. Dior 282 700   
5. Chanel 163 181 

Señales de alerta que podrían indicar suplantación de identidad y falsificación de marcas

Actuar con precaución al gestionar los correos electrónicos de marcas puede ayudar a reducir el riesgo de interactuar con un mensaje de phishing. Existen algunas señales de alerta que indican que un correo electrónico de una marca puede ser falso o suplantado, en lugar de un mensaje auténtico de dicha marca.   

Un asunto extraño o muy urgente   

Los asuntos que contengan expresiones extrañas como «Advertencia», «Sus fondos han» o «Mensaje para una persona de confianza» deberían hacer saltar las alarmas, sobre todo si el asunto exige una acción urgente.   

Asuntos habituales en los mensajes de fraude de marca dirigidos a empresas  

• Es necesario restablecer la contraseña   
• Actualizar la información de pago  
• Intento de entrega fallido  
• Se requiere una acción inmediata  
• Alerta de seguridad de la cuenta 
• Último aviso  
• Factura vencida  
• Factura pendiente  
• Se adjunta el enlace de seguimiento  
• Tasas aduaneras pendientes  

Un saludo inadecuado o poco profesional  

Si el saludo te resulta extraño, desconfía. ¿El saludo tiene un estilo diferente al que sueles recibir de este remitente? ¿Es genérico cuando suele ser personalizado, o al revés? Las anomalías en el saludo son señales de alerta que indican que el mensaje podría no ser legítimo.   

Un mensaje enviado desde un dominio no oficial o poco habitual   

Comprueba el dominio del remitente fijándote en su dirección de correo electrónico. Un mensaje procedente de una gran empresa vendrá del dominio oficial habitual de dicha empresa. Por ejemplo, si un mensaje que contiene una advertencia de seguridad indica que procede de«[email protected]»en lugar de«[email protected]», es probable que se trate de un intento de phishing.   

Elecciones gramaticales yléxicas poco habituales   

Esta es una prueba clave para detectar un mensaje de phishing. Fíjate en si hay errores gramaticales, errores de uso, datos que no tienen sentido, variaciones en el nombre o la dirección de la empresa, elecciones de palabras extrañas y problemas con las mayúsculas o la puntuación. Un mensaje lleno de errores es probablemente un intento de phishing. 

Errores ortográficos inusuales y emojis  

Incluso las grandes marcas envían a veces mensajes con errores ortográficos. Pero un mensaje plagado de ellos probablemente no sea legítimo. Esta es una forma rápida de detectar el phishing. Aunque algunas marcas utilizan emojis en los asuntos de los correos electrónicos, rara vez se emplean en el cuerpo de un correo electrónico de una gran marca. Desconfía de los emojis.  

Variaciones de estilo o discontinuidad

Los mensajes fraudulentos pueden presentar pequeñas variaciones de estilo con respecto a los correos electrónicos habituales de la empresa de la que se hacen pasar. A veces, cuando los delincuentes falsifican correos electrónicos, solo sustituyen parte del texto. Si un mensaje resulta inconexo o contiene partes que no encajan con el resto, desconfíe. Ten cuidado con las fuentes inusuales, los colores que se desvían ligeramente, los logotipos extraños o los formatos que no encajan del todo. Estos son indicadores comunes de un mensaje falsificado.    

Enlaces curiosos  

Los enlaces maliciosos son el mejor aliado de los ciberdelincuentes y una forma habitual de distribuir malware. Los enlaces que no redirigen al dominio oficial o a la cuenta de redes sociales de la empresa que supuestamente ha enviado el mensaje son peligrosos y podrían constituir intentos de phishing o de instalar ransomware. 

Si parece demasiado bueno para ser verdad…  

Ten cuidado al interactuar con mensajes de cualquier famoso o empresa con la que nunca hayas hecho negocios, sobre todo si parecen estar hechos a medida para tu empresa. Los mensajes de organismos gubernamentales también deben tratarse con precaución. Por ejemplo, el Gobierno federal de EE. UU. nunca te pedirá información de identificación personal, números de tarjetas de pago ni datos financieros a través de un correo electrónico.   

Se calcula que el 48 % de las empresas carece de medidas de seguridad eficaces para protegerse contra los ataques de suplantación de marca.  Una de las razones es que las medidas de seguridad convencionales, como SEG o la seguridad integrada en Microsoft 365 o GSuite, no dan la talla. Sin embargo, la seguridad de correo electrónico automatizada y basada en IA puede detectar y detener mensajes de phishing sofisticados, como la suplantación de identidad y la suplantación de marcas, con un 40 % más de eficacia que la seguridad convencional; además, la seguridad de correo electrónico automatizada de Kaseya 365 User es asequible para cualquier empresa.  

Pide una demostración hoy mismo.