Autora:
Carmen Segovia. Directora Líneas Financieras – Cyber Solutions Cataluña y Baleares, Aon
Fraude por ingeniería social
No solo el COVID 19 está impactando en los sistemas de salud, económicos, políticos y sociales. Casi podemos hablar de otra pandemia que ha irrumpido con más fuerza en estos momentos: los ciberataques y el fraude por ingeniería social. El estado de alarma y la incertidumbre que ha generado se han convertido en el escenario perfecto para los ciberdelincuentes.
Aumenta significativamente el ransomware as a Service, es decir, ransomware que se contrata, se compra, lo que nos indica que personas que nunca se han dedicado al cibercrimen, hoy entran en la Dark Web y contratan estos ataques para lucrarse. Crecen el número de aplicaciones que puedes descargarte para hacer un test rápido de COVID 19, tomarte la temperatura, seguir la evolución de los focos del virus en un mapa, etc. todas ellas al descargarlas pueden activar un ransomware que cifre la información del equipo y pida un rescate a cambio.
Pero, sobre todo, hay una mayor incidencia en el fraude por ingeniería social. Los ciberdelincuentes tienen principalmente dos métodos para sortear la seguridad de las organizaciones: valerse de vulnerabilidades o configuraciones deficientes, técnicas generalmente más costosas; o atacar a los empleados mediante técnicas de ingeniería social. Este segundo vector de entrada es de los más utilizados en la actualidad para robar información confidencial, distribuir malware, o conseguir pagos fraudulentos mediante la suplantación de identidad de directivos, proveedores, etc.
En estos momentos, y como consecuencia de la coyuntura que vivimos, muchos empleados preocupados por el virus, por un ERTE, por la recesión económica que se avecina, están en una situación de vulnerabilidad, lo que conlleva que se baje la guardia, que está siendo aprovechada por los cibercriminales.
Así mismo, situaciones como la suplantación de identidad, ya conocidas y controladas bajo las empresas, vuelven a irrumpir con un cierto éxito. Nuevamente aparecen esos mails o llamadas telefónicas instando a la urgencia para efectuar un pago o advirtiendo de un cambio de cuenta por parte del supuesto proveedor.
Puede consultar más información en nuestro artículo sobre el incremento de los ataques phishing por el coronavirus en la empresas.
Tengamos en cuenta que en muchas empresas se ha acometido un ERTE afectando a una parte de la plantilla lo que supone que el resto, que sigue trabajando, asume sus funciones y tareas más las funciones y tareas de los afectados. Este exceso de trabajo y la asunción de funciones nuevas conlleva muchas veces cierta confusión del empleado frente a situaciones de fraude que en otros momentos habría detectado sin problema.
Herramientas para la gestión del fraude
Aunque ahora la mayoría de las empresas están preocupadas por el fraude por ingeniería social, el fraude en todas sus dimensiones es un riesgo que gestionar tomando como base el establecimiento de controles y procedimientos que deberán ser conocidos y cumplidos de manera estricta por todos los empleados para proteger a la empresa frente a un quebranto.
Una manera adecuada de empezar es identificar, evaluar y clasificar los controles y procedimientos que establece la empresa sobre nueve áreas de control e impacto:
- Gobierno corporativo
- Control interno
- Auditoria
- RR.HH
- Transferencia de fondos
- Seguridad Física
- Existencias e Inventario
- Compras y proveedores
- Sistemas de información
Herramienta de evaluación de riesgo ARPA
Nuestra herramienta de evaluación de riesgo ARPA se basa en el conocimiento, la experiencia y data analytics que Aon posee sobre riesgos y amenazas, proporcionando a la empresa:
- El nivel de madurez global que posee frente al fraude, y su nivel de madurez en cada área de control analizada
- La identificación de riesgos existentes
- Una propuesta de mejora a los procesos de negocio
- Sinergias entre departamentos
Programa de seguro de fraude (Crime)
Así mismo, es recomendable también la contratación de un programa de seguro de fraude (Crime), que permita a la empresa mitigar el perjuicio económico, si a pesar de las medidas implementadas llegase a ser víctima de una estafa o fraude. En este caso, el trabajo previo elaborado mediante ARPA nos ayudará en la implementación de medidas de control con el objetivo de mantener primas y franquicias en un nivel óptimo.
Debemos poner de manifiesto que el mercado asegurador no quiere trabajar en riesgos donde los procedimientos y controles no existan o no se hayan adoptado medidas relevantes. De ahí la importancia y nuestra insistencia en que las mejores prácticas de gestión de riesgos donde el análisis de la situación real de la empresa y las recomendaciones de mejora – a través de herramientas como ARPA- son fundamentales para conseguir realizar una trasferencia del riesgo que garantice los niveles óptimos de franquicia y prima, que comentábamos.
La información contenida en el presente site noa.aon.es ha sido elaborada de acuerdo a la experiencia de Aon, en su condición de correduría de seguros, para cada una de las soluciones y tipos de póliza, pero en ningún caso prejuzga la existencia de cobertura aseguradora, ni en modo alguno podrá interpretarse como asesoramiento legal u opinión jurídica. Dada la compleja situación existente, en la que se está aprobando distinta normativa por parte de las autoridades gubernativas y las dispares interpretaciones que pueden derivarse de dicha situación -a efectos de las coberturas contenidas en las pólizas-, recomendamos que consulte con sus asesores legales como proceder en cada caso concreto.
El alcance de nuestro trabajo, incluyendo la actividad de asesoramiento y soporte en siniestros a compañías clientes, sigue siendo el contenido en nuestro acuerdo de condiciones de servicio (TOBA).
Aon Gil y Carvajal, S.A.U. y las sociedades de su grupo empresarial no asumen responsabilidad de clase alguna frente a cualquier tercero incluyendo el destinatario del mismo, en relación al contenido del presente site noa.aon.es. En todo caso, si alguien decidiera basarse en el contenido de este documento, tal decisión como los resultados que de ella se deriven serán de la exclusiva responsabilidad de dicho tercero.