Suplantación de identidad: las 10 marcas que más sufrieron el phishing en lo que va del 2024

La empresa de ciberseguridad Check Point publicó una lista de las marcas y Microsoft resultó ser la que más sufrió el phishing en el segundo trimestre del 2024.

En un marco en donde la ciberseguridad cobra cada vez mayor relevancia en el escenario global, la empresa Check Point difundió la segunda entrega de Brand Phishing Report, una lista con las empresas que más ataques de phishing sufren en todo el mundo.

La compañía destaca que la suplantación de identidad es uno de los métodos de estafa más usados e indicó que en el segundo trimestre del 2024 que Microsoft y el sector tecnológico continúan siendo el más atacado por los ciberdelincuentes junto a las redes sociales y a los bancos.

¿Qué es el phishing?

Con el auge del Internet y la llegada de las marcas para constituir un nuevo mercado, la suplantación de identidad se adaptó al medio online y se convirtió en una de las estafas más redituables.

La técnica de phishing consiste en hacerse pasar por compañías reales o incluso personas conocidas a través de direcciones de correo electrónico falsas, mensajes de texto, llamadas telefónicas o sitios web fraudulentos.

Los delincuentes se valen de estas identidades confiables para que los usuarios hagan transferencias, paguen facturas, entren a enlaces maliciosos o descarguen archivos que contengan un virus que roba información sensible como direcciones, contraseñas y datos bancarios, como tarjetas de crédito.

Sin embargo, el objetivo del ataque puede no ser solo económico, sino que el mismo robo de datos puede derivar en otros delitos graves como extorsiones y secuestros.

Tal es la gravedad del problema que la empresa tecnológica estadounidense IBM identifica al phishing como la fuente más común de las vulneraciones con el 16% del total de las fuentes identificadas. Según la multinacional, las filtraciones de datos provocadas por este método le cuestan a las organizaciones un promedio anual de 4.76 millones de dólares.

Las 10 empresas que más recibieron ataques en 2024

El Brand Phishing Report de Check Point publicó la segunda entrega del 2024 con los datos recabados del segundo trimestre. El informe identificó las marcas más buscadas por los ciberdelincuentes para realizar estafas y los métodos utilizados. El sector tecnológico resultó ser el más afectado, seguido por las redes sociales y las empresas bancarias.

Según el reporte, Microsoft concentró el 57% de los eventos de phishing a nivel mundial y se mantuvo en el primer puesto. Apple ocupó el segundo lugar con el 10%; mientras que en el tercer puesto lo ocupó LinkedIn, la aplicación de búsquedas laborales y de negocios, con el 7%. Considerada una red social por su apartado de publicación y relacionamiento, no sorprende que sea uno de los lugares predilectos para las estafas debido a la enorme presencia de empresas y perfiles de personal jerárquico.

Las 10 marcas globales más afectadas por las campañas de phishing en el segundo trimestre de 2024:

1. Microsoft (57%)
2. Apple (10%)
3. LinkedIn (7%)
4. Google (6%)
5. Facebook (1.8%)
6. Amazon (1.6%)
7. DHL (0.9%)
8. Adidas (0.8%)
9. WhatsApp (0.8%)
10. Instagram (0.7%)

El informe presentado por Check Point destacó que Adidas, WhatsApp e Instagram aparecen en el Top 10 por primera vez desde 2022, desplazando al videojuego Roblox, a la compañía de servicios financieros Wells Fargo y a la plataforma digital de alojamientos Airbnb.

En el caso de la marca de indumentaria creada en Alemania y hoy con presencia en todo el mundo, se identificaron sitios web falsos utilizados para robar datos personales y credenciales. Los delincuentes copiaron el diseño de la página oficial de Adidas y llegaron a utilizar el famoso modelo Yeezy como nombre del sitio para atraer víctimas potenciales.

Instagram fue la cuarta red social más vulnerada de la lista y sorprendió con su modalidad. Los delincuentes llegaron a desarrollar una página idéntica a la versión de ordenador en Vercel, un espacio de desarrollo web y aplicaciones. Los objetivos ingresaban las credenciales para loguearse y los delincuentes podían acceder a perfiles reales y robarlos, sin necesidad de trabajar en una suplantación de identidad.

Otro método similar, ahora inactivo tras las denuncias de la red social, consistía en una verificación de los usuarios en un falso Centro de Ayuda de la plataforma. Esta es una etapa que no forma parte de la creación de cuentas de Instagram.

Recomendaciones para evitar ser víctima de phishing

Las empresas, sobre todo las del mundo bancario y financiero, buscan alertar a sus clientes sobre las distintas modalidades de estafa online. Uno de los consejos más recurrentes es la revisión de los remitentes en el caso de los mensajes de texto y los correos electrónicos.

Normalmente los delincuentes escriben de forma similar los mails de contacto para pasar desapercibidos y confundir a sus víctimas. Incluso buscan engañar con promesas de trabajo o dinero fácil a través de la suplantación de identidad. En ese sentido, no se deben abrir enlaces de los que desconocemos la persona detrás del mensaje o hacia qué página o aplicación nos dirige.

Se recomienda también usar los medios oficiales declarados para contratar servicios o realizar consultas, como pueden ser las aplicaciones digitales o las sucursales, evitando dar información y efectuar transferencias o pagos por medios online.

Finalmente, un consejo más técnico es revisar si la URL de la página en cuestión empieza por “HTTPS” en lugar de solo “HTTP”. La “S” en esta sigla significa “seguro” y la mayoría de los sitios oficiales o legítimos utilizan esta certificación de seguridad para evitar hackeos o filtraciones de datos.