Guillem Alsina Gonzàlez
En un entorno empresarial cada vez más digitalizado, el Informe de Siniestros Cibernéticos 2024 elaborado por Stoïk —insurtech especializada en riesgos cibernéticos para compañías con ingresos de hasta 1.000 millones de euros— sitúa el compromiso del correo electrónico corporativo como principal vector de ataque, con un 30% de los incidentes registrados. Este tipo de intrusión supera ya al fraude por transferencia, a la manipulación de activos internos y al ransomware, si bien este último continúa generando la mayor preocupación por su impacto económico.
El estudio revela que el 95% de las cuentas comprometidas pertenece a entornos Microsoft 365 (M365). Ni Google Workspace ni los servidores de correo locales registraron incidentes en la muestra analizada, mientras que el 5% restante se reparte entre proveedores en línea como OVH u Orange/Wanadoo. La elevada cuota de mercado de M365 explica en parte esta proporción, pero también pone de manifiesto la necesidad de reforzar las defensas en la plataforma.
La ausencia de MFA (autenticación multifactor, por sus siglas en inglés) es un denominador común: ninguno de los casos de compromiso contaba con esta capa adicional de seguridad. La falta de verificación en dos pasos proporciona a los atacantes una vía de entrada directa que, en muchos casos, no se detecta hasta pasadas semanas o meses, cuando ya han podido extraer información o preparar ataques de suplantación más sofisticados.
Pese a ceder terreno como vector de ataque principal, el ransomware sigue considerándose la amenaza con mayor potencial económico, recordando que la restauración de operaciones y el pago de rescates son factores que inflan notablemente el coste medio de cada incidente.
Fallo sistemático en la autentificación multifactor
Desde Stoïk subrayan que las organizaciones son cada vez más conscientes de la importancia de proteger sus espacios de trabajo, pero advierten de que la implementación incorrecta —o directamente inexistente— de la MFA deja expuestas incluso a las empresas que invierten en soluciones de seguridad. Desde la firma insisten en la utilidad de un enfoque híbrido que combine tecnología y especialistas en ciberseguridad para cerrar la brecha que los ciberdelincuentes aprovechan.
La aseguradora remarca, así mismo, que la correcta configuración de permisos y el endurecimiento de políticas de acceso, deben acompañar a las medidas de autenticación. Sin estos controles, la protección resulta insuficiente frente a técnicas de ingeniería social cada vez más depuradas.
Finalmente, el informe recuerda que la adopción masiva de suites en la nube aporta ventajas operativas, pero centraliza activos críticos que se convierten en objetivo preferente para los atacantes, obligando a las empresas a evaluar continuamente su postura de seguridad en dichos entornos.
Los grandes eventos deportivos, terreno abonado para el phishing
Los grandes acontecimientos deportivos se han revelado como momentos propicios para campañas de phishing por parte de los ciberdelincuentes. Durante los Juegos Olímpicos y Paralímpicos de París 2024, los atacantes enviaron correos —generados con ayuda de inteligencia artificial— que imitaban a la perfección la imagen oficial del evento y ofrecían entradas a precios atractivos con el fin de recabar datos personales.
Para medir el alcance de esta amenaza, Stoïk ejecutó una simulación entre sus clientes mediante su herramienta Stoïk Protect. El 45% de los destinatarios abrió el mensaje y un 33% llegó a facilitar información sensible. En otras campañas simuladas ese mismo año, no vinculadas a eventos deportivos, la revelación de datos se quedó en el 10%, lo que demuestra la mayor efectividad de los anzuelos relacionados con el deporte de élite.
La compañía concluye que la anticipación y la formación continuada son elementos decisivos para neutralizar los correos fraudulentos que proliferan en torno a competiciones de gran visibilidad y alto seguimiento mediático.
Detección tardía y medidas de contención
Uno de los mayores retos sigue siendo la detección tardía de las cuentas comprometidas. Con frecuencia, los atacantes mantienen el control durante semanas, periodo durante el cual sustraen información, crean cuentas con dominios similares o preparan ofensivas de suplantación de identidad sin levantar sospechas.
Para mitigar estos riesgos, Stoïk recomienda establecer un sistema de doble validación para cualquier cambio en datos bancarios o pagos por encima de una cuantía definida. Añade que un registro exhaustivo de logs facilita la investigación posterior a la intrusión y acorta los plazos de respuesta, reduciendo así el impacto financiero, cifrado por IBM en una media global de 4,88 millones de dólares por filtración de datos en 2024.
En última instancia, la combinación de controles preventivos, monitorización continua y equipos especializados constituye la base de una estrategia que permita a los responsables de TI y a los decisores de compra, mantener la resiliencia frente a un panorama de amenazas en constante evolución.
