Cómo defenderse del ‘phishing’, una amenaza creciente para las empresas

14 de marzo, 2025

0 2 minutos leyendo

Miriam Díez, abogada experta en phishing y prevención de fraudes digitales.

Para entender mejor este problema y saber cómo pueden protegerse las empresas, hablamos con Miriam Díez, abogada experta en phishing y prevención de fraudes digitales.

Cantabria Económica (C.E.): El phishing se ha asociado tradicionalmente al ámbito particular, pero últimamente está afectando a muchas empresas. ¿Por qué cree que se ha incrementado esta amenaza en el entorno corporativo?

Miriam Díez (M.D.): Es cierto, aunque el phishing solía estar más enfocado en individuos, los ciberdelincuentes han encontrado en las empresas un objetivo más lucrativo. Muchas compañías manejan transacciones financieras de gran envergadura y, en ocasiones, sus protocolos de seguridad no están a la altura de las amenazas actuales. Los atacantes han perfeccionado sus métodos, interceptando comunicaciones electrónicas y manipulando facturas para desviar pagos a cuentas fraudulentas.

C.E.: ¿Cuáles son los tipos más comunes de phishing que sufren las empresas?

M.D.: Existen varias modalidades, pero las más frecuentes son:

Cambio fraudulento en facturas de proveedores: Los ciberdelincuentes interceptan o falsifican facturas legítimas y modifican el número de cuenta bancaria. La empresa afectada realiza el pago creyendo que está abonando a su proveedor habitual, cuando en realidad el dinero va a parar a los delincuentes.
Intercepción de correos electrónicos: Los atacantes acceden a las cuentas de correo de la empresa y envían facturas alteradas a clientes reales, lo que provoca que el cliente abone un pago a una cuenta fraudulenta.

C.E.: ¿Qué consecuencias tiene para las empresas víctimas de estos ataques?

M.D.: El impacto puede ser devastador. No solo está la pérdida económica directa, sino también el daño a la confianza y reputación de la empresa. Además, pueden surgir problemas legales y de cumplimiento normativo, especialmente en relación con la protección de datos, dado que este tipo de ataques suelen implicar el acceso indebido a información sensible.

C.E.: ¿Qué pueden hacer las empresas para protegerse?

M.D.: La prevención es clave. Algunas medidas esenciales incluyen:

1. Establecer protocolos internos estrictos: Cualquier cambio en los datos bancarios de un proveedor debe ser verificado a través de canales seguros, como llamadas telefónicas directas a contactos previamente confirmados.

2. Capacitar a los empleados: Es fundamental que todos los trabajadores estén formados en la identificación de correos y mensajes sospechosos.

3. Proteger los sistemas de comunicación electrónica: Implementar cifrado en los correos electrónicos, doble factor de autenticación y herramientas de detección de actividad sospechosa puede marcar la diferencia.

4.Cumplir con la normativa de protección de datos: Adoptar medidas rigurosas para proteger la información de clientes y proveedores, asegurando el cumplimiento del RGPD, es esencial para minimizar riesgos.

C.E.: ¿Qué hacer si creen que han sido atacados por ‘phishing’?

M.D.: Lo primero es actuar con rapidez. Si una empresa sospecha que ha sido víctima de phishing, debe contactar de inmediato con sus abogados expertos en la materia para evaluar el alcance del ataque y tomar medidas legales y técnicas. También es crucial informar al equipo de IT para mitigar el daño y reforzar la seguridad. Dependiendo del caso, puede ser necesario avisar a las autoridades y comunicar el incidente a los afectados.

La mejor estrategia, en cualquier caso, es anticiparse al problema, invirtiendo en ciberseguridad y formando a los empleados. Una empresa bien preparada es mucho menos vulnerable. La protección de datos y la seguridad de las transacciones financieras deben ser una prioridad absoluta en cualquier organización que quiera evitar ser víctima de un fraude digital, implantando un buen sistema de RGPD y LPPD para blindarse ante posibles ataques externos.