Qué es el fraude B2B y cómo afecta a pymes y autónomos

que-es-el-fraude-b2b-y-como-afecta-a-pymes-y-autonomos

En el fraude B2B, los atacantes utilizan sofisticadas técnicas de suplantación para que pymes y autónomos confíen en transmitir información sensible a remitentes, en principio, legítimos.

  • El Ransomware es una de las principales amenazas de fraude B2B para pymes y autónomos.
  • El Phishing es la técnica más común para infectar equipos con este software malicioso. Descubre qué otras modalidades de ataque existen y claves para detectar acciones sospechosas.

El informe anual de la Agencia de Ciberseguridad de la Unión Europea de 2022 establece que el ransomware es la principal amenaza en ciberseguridad con más de 10 terabytes de datos robados. Siendo el phishing la principal vía para ejecutar estos ataques. Esta es la amenaza más importante, pero lamentablemente no es la única estafa que pymes y autónomos pueden sufrir en el ámbito online.

¡TUITÉALO! Descubre qué es el fraude B2B y cómo puedes evitar que afecte a tu negocio.

¿Qué es el Ransomware?

Este fraude B2B es un software malicioso que infecta un equipo e impide acceder al contenido del dispositivo afectado. Cifra esta información y la secuestra, exigiendo un rescate económico a las empresas para que le sea devuelto el acceso a la misma.

Según el Instituto Nacional de Ciberseguridad (INCIBE) existen dos vías para iniciar esta estafa a pymes y autónomos:

  • Configuraciones de seguridad deficientes.
  • Malware por correo electrónico.

Configuraciones de seguridad deficientes

Los atacantes aprovechan configuraciones de seguridad débiles como, por ejemplo, la gestión de escritorios remotos u otras vulnerabilidades no controladas y que permiten el acceso a la información desde el exterior.

Malware por correo electrónico

En el segundo caso, los hackers utilizan técnicas de suplantación de identidad vía correo electrónico para favorecer la descarga de un supuesto archivo legítimo que, en realidad, no lo es.

O bien se solicita en este tipo de correos fraudulentos hacer clic en un enlace que activa la instalación del software malicioso.

Para ello, se suplantan remitentes que parecen legales. Tales como empresas o marcas de prestigio, entidades bancarias con las que se guarde relación, o suplantación de proveedores que envían, por ejemplo, una supuesta factura.

Para prevenir este tipo de estafas sobre pymes y autónomos, se recomienda:

  • Mantener las configuraciones y software actualizados a su última versión.
  • No utilizar software pirata.
  • Obviar correos electrónicos sospechosos por contener archivos ejecutables adjuntos o documentos comprimidos, en los cuales nunca debemos hacer clic si dudamos de su procedencia.

¿Qué es el Pishing?

Este otro fraude B2B puede ser la antesala de una instalación de malware, pero también del robo de credenciales bancarias u otros accesos. Mediante tácticas de ingeniería social se simula una procedencia legítima en un mensaje de email. Cuando, en realidad, se trata de atacantes que nada tienen que ver con la entidad que aparentemente se está poniendo en contacto con nosotros.

A esto se le conoce como email spoofing. En este tipo de correos se nos lleva mediante un enlace a una página web que, en apariencia, es la de nuestra entidad bancaria, por ejemplo.

Con la excusa de confirmar una determinada gestión, se nos invita a introducir los datos de acceso de nuestra banca online. Acción con la que, en realidad, estamos facilitando a los ciberdelincuentes nuestras contraseñas sin que nos percatemos de ello.

Tras facilitar información sensible se nos redirige a la página real del banco, con lo que puede pasar un tiempo hasta que nos percatemos del engaño. Tiempo que es aprovechado para operar en nuestro nombre, dado que se han hecho con la información de acceso necesaria.

Para que pymes y autónomos eviten este fraude B2B desde INCIBE nos invitan a revisar con detalle el remitente. Ligeros bailes de letras pueden hacernos pensar que el dominio es el de nuestro banco. Pero si nos fijamos bien veremos que no es así.

Ciertas faltas de ortografía, inconsistencia en la construcción de frases, o el invitarnos a hacer clic en un enlace para confirmar cierta acción, deben ponernos en alerta frente a los fraudes B2B.

Fraude del CEO

La guía ‘Ciberamenazas contra entornos empresariales’ editada por INCIBE avisa también de otros fraudes y estafas a pymes y autónomos que utilizan los ciberdelincuentes. En pymes tenemos el conocido como fraude del CEO.

Un empleado recibe un correo electrónico del CEO de la compañía o cualquier otro alto directivo. En él se le apremia a realizar un ingreso por una cuestión sobre la que pide discreción, y le agradece la gestión, poniendo en valor la mucha confianza que se tiene en el empleado en cuestión.

Si el atacante consigue su objetivo, el empleado puede creer que, en efecto, está ante alguien superior que le está dando el mandato de hacer dicha transferencia, procediendo de ese modo. Cuando, en realidad, se ha suplantado la dirección de correo electrónico y se ha abierto la puerta para ejecutar el fraude.

Fraude de los RR. HH.

El fraude de RR. HH. utiliza técnicas similares de email spoofing o cybersquatting. Mediante ellas, se envía un correo a un empleado del departamento de RR. HH. suplantando la identidad de otro empleado, y solicitando el cambio del número de cuenta para el ingreso de la próxima nómina.

La clave en ambos casos es tratar de corroborar por otra vía que la solicitud, en efecto, procede de quien dice ser. Por ejemplo, con una llamada de teléfono al supuesto empleado interesado en cambiar de cuenta bancaria.

Mantener software actualizado y todas las funcionalidades en sus últimas versiones seguras suele ser el mejor punto de partida para prevenir vulnerabilidades. Evitar el uso de equipos de trabajo para cuestiones personales, utilizar contraseñas seguras y sistemas de doble verificación suelen ser otras aportaciones útiles para evitar fraudes en pymes y autónomos.

Por último, cualquier invitación a descargar archivos o a hacer clic en enlaces debe ser revisada con lupa. En especial, si no se trata de un trámite o gestión habitual. Del mismo modo que confirmar por otras vías cualquier petición de cambio de información sensible o el envío de transacciones de dinero a otros supuestos miembros de la empresa.