Con el verano llegan también los ciberfraudes turísticos

Aunque este sea un verano totalmente atípico, hay cosas que no cambian como son los intentos de fraudes por parte de los ciberdelincuentes a las empresas. Establecimientos de alojamiento y restauración suelen ser los que más los sufren, aunque también todas las empresas vinculadas con el ocio, que tienen en estos meses de verano sus picos de mayor trabajo.

Aunque existe una gran variedad de fraudes destinados a empresas a través de Internet, es importante conocer los más habituales y sus variantes:

Transferencias o cheques sin fondos

Aprovechando que estas operaciones no son inmediatas, los ciberdelincuentes disfrutan el servicio y después anulan el pago. Cuando se verifican los fondos ya han abandonado el alojamiento o servicio. En otras ocasiones, envían un cheque sin fondos, cancelan el viaje y solicitan la devolución del importe que nunca pagaron.

El supuesto cliente o empresa es extranjera, contacta con el establecimiento para hacer una reserva de los servicios y remite un cheque de un banco extranjero con el pago de un importe muy superior al presupuestado. Al tratarse de una transferencia internacional, las entidades nacionales pueden tardar entre 3 y 4 días en validar el pago mediante el cheque.

Cuando el establecimiento lleva el talón a su entidad, reciben el ingreso en cuenta del importe, viendo entonces reflejado el pago y procediendo, como de costumbre, a autorizar el servicio.

Posteriormente, el supuesto cliente cancela la reserva antes de que se agote el plazo de verificación, y solicita la devolución del importe. En este caso, el establecimiento accede a la devolución, pero cuando se completa la verificación y se comprueba que no había fondos, el supuesto cliente ya es ilocalizable.

Pagos con tarjetas robadas o ajenas

Cuando se trata de tarjetas robadas, el fraude es más difícil y más largo de detectar, y permite al defraudador utilizar los servicios durante más tiempo. Cuando el afectado denuncia el robo o los cargos, generalmente ya han transcurrido varios días, y es imposible seguir el rastro del ciberdelincuente.

Fraude del CEO

Suele tratarse de un ataque diseñado contra una empresa concreta, de la cual previamente se ha recopilado información para hacerlo más creíble. Generalmente son 2 los objetivos, el gerente o un alto directivo de la empresa y un empleado, normalmente del área de administración, con facultades para poder realizar transferencias de dinero.

Los ciberdelincuentes suplantan la identidad del directivo y solicitan la transferencia de una importante cantidad de dinero a un proveedor, con motivo de cerrar una operación en la que está trabajando en ese momento.

El empleado no duda del requerimiento al llegar de su superior y realiza la transferencia sin percatarse que está siendo víctima de un fraude.

Este tipo de ataque está enfocado a organizaciones empresariales de un tamaño medio o grande donde es más difícil conocer con total certeza a todos los empleados y directivos.

¿Como minimizar estos intentos de estafa?
  • Establecer una identificación segura del cliente: podemos implementar plataformas o portales de identificación seguros, donde el usuario tenga que autentificarse mediante contraseña, pero añadiendo una capa extra como podría ser la autenticación multifactor. De esta forma, podemos minimizar los riesgos al identificar a usuarios, ya que quien acceda a la plataforma debe superar unos mecanismos de validación que le identifiquen.
  • Plataformas seguras de pago: debemos adoptar unas políticas estrictas en el apartado de cobros a clientes y pagos a proveedores a través de las plataformas electrónicas, eligiendo siempre plataformas con reputación demostrada y con seguridad actualizada. Estas deben adaptarse al modelo de negocio, ofreciendo al cliente diversas formas de pago electrónico, verificadas y seguras. La mayoría de plataformas que existen podrían considerarse seguras. Sin embargo, algunas implementan más características de seguridad que otras, como es el caso del sistema de verificación de direcciones, que solicita al comprador la dirección fiscal a la que está vinculada la tarjeta, lo que permite identificar al comprador como titular de la tarjeta, creando, por tanto, una barrera más contra el fraude.
  • Factor humano: si el cliente no dispone de las formas de pago ofrecidas, y busca efectuar el pago de otra manera o modificar un pago realizado, debemos pasar al apartado humano, donde al menos una persona con experiencia y suficientes conocimientos en ese campo, deberá revisar y contrastar la operación específicamente con la plataforma de pago. Será ese personal de administración de la empresa quien deberá decidir y establecer los mecanismos de comunicación oportunos para verificar la identidad de la persona, siempre usando los medios oficiales para que todo quede reflejado convenientemente, y dando los plazos adecuados para poder realizar las comprobaciones.

Contar con personal con formación en materia de ciberseguridad y con experiencia en la gestión de posibles fraudes es vital para evitar males mayores a nuestra empresa, no solo económicos si no también de reputación.

Si tienes dudas sobre cómo gestionar la ciberseguridad en tu empresa, ponte en contacto con nuestros expertos de Norsecurity