El Black Friday se ha convertido en uno de los periodos promocionales más importantes del año, en el que las marcas amplían sus ofertas de un solo día a ofertas que duran una semana o más. Los consumidores más atentos pueden conseguir grandes descuentos en todo, desde televisores hasta juguetes. Sin embargo, el intenso período de descuentos ofrece una oportunidad importante para los estafadores que buscan estafar a los compradores y quitarles el dinero que ganaron con tanto esfuerzo. Los titulares ya advierten que los consumidores deberían considerar si algunas ofertas son realmente demasiado buenas para ser verdad. El periódico The Guardian incluso denominó el día "el Día del Fraude Negro".Los datos de Action Fraud muestran que el período de descuento es el momento ideal para los estafadores.
Para las organizaciones, el Black Friday también supone un mayor riesgo de ciberataque. En noviembre de 2023, Action Fraud recibió más de 32,000 3,500 denuncias de fraude y ciberdelito. Más de 30.4 de esas denuncias fueron realizadas por empresas que informaron de pérdidas financieras por valor de XNUMX millones de libras esterlinas.
¿Cómo pueden las empresas mantenerse seguras durante un período de mayor riesgo de ciberataques?
¿Cuáles son los principales riesgos de ciberseguridad?
Phishing
El phishing es una de las formas más comunes de ciberataque durante todo el año. Sin embargo, eventos como el Black Friday ofrecen una oportunidad más amplia para los cibercriminales, en particular con el aumento de ofertas urgentes y urgentes que ofrecen las empresas legítimas.
Los estafadores se aprovechan del aumento de transacciones y ofertas mediante el engaño a los clientes, a menudo mediante el envío de correos electrónicos promocionales sofisticados que apenas se diferencian de los correos electrónicos legítimos. De este modo, pueden capturar datos de los clientes, información de pago y más.
Los consumidores no son los únicos que corren riesgo. Durante la búsqueda de ofertas, su personal puede utilizar dispositivos de la empresa o incluso los suyos propios con acceso a cuentas de la empresa, lo que aumenta el riesgo para su empresa en caso de que interactúen accidentalmente con correos electrónicos de phishing.
Contraseñas débiles
Según NordPass, 123456 sigue siendo la contraseña más común que se utiliza en las cuentas personales y corporativas. La última investigación de NordPass sobre las 200 contraseñas más comunes descubrió que la contraseña se utilizó más de tres millones de veces y la empresa afirma que un hacker tardaría menos de un segundo en descifrarla.
El Black Friday ofrece la oportunidad perfecta para que los actores de amenazas intenten realizar ataques de fuerza bruta a gran escala. En un ataque de fuerza bruta, los cibercriminales intentan millones de combinaciones de contraseñas posibles hasta obtener el resultado correcto y, cuanto más débil sea la contraseña, más rápido se puede descifrar.
Debido a que la falta de higiene de las contraseñas (es decir, la reutilización de contraseñas o variaciones de contraseñas en varias cuentas) es tan común, es fácil para un cibercriminal acceder a varias cuentas una vez que ha descifrado una sola contraseña. Esto incluye perfiles de correo electrónico, redes corporativas y sistemas comerciales, lo que a su vez aumenta el perfil de riesgo de una organización.
Vulnerabilidades de la cadena de suministro
Nuestra Informe sobre el estado de la seguridad de la información 2024 Se descubrió que la gestión de riesgos de proveedores y terceros es el mayor desafío de seguridad de la información de las organizaciones. El 79 % de los encuestados afirmó que se habían visto afectados por un incidente de ciberseguridad o seguridad de la información causado por un proveedor externo o un socio de la cadena de suministro en los últimos 12 meses. De hecho, el 45 % se ha visto afectado por múltiples incidentes.
A medida que las cadenas de suministro dependen cada vez más de los sistemas de TI, aumenta la posibilidad de que los actores amenazantes ataquen los eslabones más débiles, y la cadena de suministro de su organización es tan fuerte como su eslabón más débil. Cada entidad de su cadena de suministro podría convertirse inadvertidamente en una puerta de entrada a su propia infraestructura digital.
Ingeniería social
La ingeniería social es otro vector de ataque que las empresas deben tener en cuenta. Por ejemplo, las empresas de comercio electrónico probablemente verán aumentar drásticamente las consultas de servicio al cliente durante el Black Friday, lo que los ciberdelincuentes pueden intentar aprovechar.
Normalmente, este método de ataque tiene como objetivo obtener datos del cliente o cometer fraude de reembolso, pero los estafadores ambiciosos también lo utilizarán para evitar bloqueos.
Las estafas en las redes sociales también son frecuentes, con ofertas y anuncios dirigidos a los usuarios con productos y servicios falsos centrados enteramente en comprometer los datos de las tarjetas de débito o cometer fraude en línea.
Estafas impulsadas por IA
La inteligencia artificial (IA) ofrece nuevos métodos de ataque para los actores de amenazas, y la tecnología se está volviendo cada vez más popular entre los estafadores: nuestro informe descubrió que el 30 % de las empresas se vieron afectadas por un incidente de deepfake en los últimos 12 meses.
La tecnología avanzada se puede utilizar para crear sitios web fraudulentos que se ven exactamente como los sitios web legítimos que imitan, e incluso puede crear deepfakes de audio o video para realizar ataques de tipo BEC (comercial email vulneration). Sin embargo, también existen posibles casos de uso para el robo de información o credenciales, daño a la reputación o incluso para eludir la autenticación mediante reconocimiento facial y de voz.
Muchas empresas B2B ofrecen a sus clientes potenciales ofertas o descuentos durante el Black Friday, lo que abre otra vía potencial de ataque para los actores de amenazas. La tecnología de inteligencia artificial está evolucionando y, ya sea que se utilice para crear correos electrónicos fraudulentos o para engañar a los empleados para que realicen transferencias de fondos corporativos, está claro que las estafas impulsadas por inteligencia artificial representan una amenaza real para las empresas durante el Black Friday y más allá.
Proteja su negocio contra los riesgos de ciberseguridad del Black Friday
Concientización y educación sobre ciberseguridad para empleados
Un buen programa de formación y concienciación sobre ciberseguridad permite a sus empleados identificar y denunciar posibles ciberataques. Su programa de formación y concienciación también debe describir los procesos que se deben seguir, por ejemplo, el proceso que debe seguir el personal para denunciar intentos sospechosos de phishing. Al capacitar a su personal, puede proteger aún más su negocio.
Buena higiene de contraseñas
Todos sus empleados deben utilizar contraseñas complejas que:
- No están relacionados con información personal
- No se utilizan en ningún otro sitio, incluidos sitios que no sean de trabajo.
- Se mantienen confidenciales
- No contenga el nombre de su empresa ni el nombre de su producto.
También puede establecer un requisito mínimo de caracteres: la mejor práctica sugiere al menos 12 caracteres. Los empleados también deben utilizar la autenticación multifactor (MFA) y cambiar las contraseñas con regularidad. Su organización debe establecer un requisito de contraseña política con estos requisitos y garantizar que todos los cumplan.
Gestión Robusta de Tecnología y Seguridad de la Información
Establecer e implementar prácticas sólidas de ciberseguridad le permite a su empresa reducir el riesgo y promover una seguridad y una gestión de la información sólidas.
Las organizaciones deben considerar lo siguiente:
Gestión de Acceso—La gestión eficaz de los derechos y privilegios de los usuarios y el uso de controles como la autenticación multifactor en las cuentas del personal pueden ser defensas fundamentales contra el robo de credenciales y el acceso no autorizado. Por ejemplo, el acceso con privilegios mínimos garantiza que los usuarios solo puedan acceder a los recursos necesarios para realizar su función, lo que limita el impacto en su organización en caso de que una cuenta se vea comprometida.
Protección de datos—Los procesos y controles técnicos adecuados son esenciales para identificar, clasificar y manejar de forma segura los datos organizacionales en todas sus formas. Herramientas como sistemas o marcos de gestión de la información Puede ayudar a las organizaciones a evitar que los ciberdelincuentes accedan a datos corporativos a través del correo electrónico, configuraciones incorrectas y comportamientos de seguridad deficientes.
Configuración segura—Concéntrese en soluciones de ingeniería seguras desde el principio en lugar de agregarlas más tarde o una vez que se haya producido un incidente. Este enfoque reduce sustancialmente los puntos de entrada débiles a las redes empresariales que los cibercriminales pueden aprovechar.
Parches y actualizaciones de software – Los atacantes suelen aprovechar las vulnerabilidades del software obsoleto. Asegúrese de instalar periódicamente actualizaciones y parches para el software de su organización y de los dispositivos de sus empleados. Considere las políticas y controles BYOD (traiga su propio dispositivo) para garantizar el nivel de seguridad más sólido.
Al implementar controles efectivos y proporcionales para gestionar los datos y la información de la organización, puede asegurarse de que su empresa esté un paso por delante de los mayores riesgos cibernéticos de este Black Friday. Además, demostrar credenciales sólidas en gestión de la información y gestión de riesgos aumentará la confianza de los clientes y reforzará su reputación y el éxito de su empresa.
Fortalezca su gestión de la información y su postura frente al riesgo hoy mismo
Si desea comenzar su viaje hacia una mejor seguridad de la información y ciberseguridad, podemos ayudarlo.
Nuestra solución ISMS permite un enfoque simple, seguro y sostenible para la gestión de la información con ISO 27001,, NIST, NIS 2 y otros marcos. Descubra su ventaja competitiva hoy mismo – reserve su demostración.
