Historias reales: el ciberdelincuente le «pescó» por su falta de formación
Nuestra historia real nos cuenta la experiencia de Alfredo, un empleado muy eficiente pero que por su carencia en formación en seguridad «metió la pata».
Alfredo lleva 30 años trabajando como administrativo en la misma empresa de venta de recambios para automóviles. Se trata de una empresa pequeña por lo que Alfredo es como de la familia, siempre ha sido elogiado por su buen hacer en el trabajo y cuenta con todo el apoyo y la confianza de sus jefes.
Cuando Alfredo empezó a trabajar en la empresa toda la información se gestionaba en papel y con la aparición de las nuevas tecnologías fue formándose para adaptarse a las exigencias que su puesto requería. Gracias a su empeño y constancia Alfredo consiguió que el ordenador y la ofimática formaran parte de su día a día como si lo hubiera hecho durante toda su vida.
Puesto que Alfredo es uno de los empleados con mayor antigüedad de la empresa, es el que se encarga de que estén al día todos los cobros y pagos de las facturas, algo que para él es como «coser y cantar».
Una mañana de lunes como otra cualquiera, Alfredo estaba revisando su correo cuando recibió un mensaje de la compañía eléctrica contratada por la empresa que le informaba de un error en el cobro de la última factura y de que tenía pendiente una devolución. Alfredo se dispuso a solicitar el reembolso del dinero, pensó que mejor hacerlo cuanto antes puesto que cuando su jefe viera las cuentas sería mejor que el error estuviera subsanado. En el mensaje del correo se encontraba una dirección en la que al hacer clic te dirigía a una página web donde solicitaba las credenciales de la cuenta de la empresa. Una vez introducidas las credenciales, Alfredo solo tenía que introducir los datos de la tarjeta bancaria vinculada a la empresa para que se realizara el rembolso. “Qué fácil- pensó Alfredo satisfecho- ahora ya puedo ir a tomar mi café de media mañana”.
Con las pilas recargadas, Alfredo se sentó en su mesa a continuar su jornada cuando recibió una llamada de su jefe. No se imaginaba un asunto tan grave, la llamada de su jefe le alertaba de un cargo no identificado en la tarjeta de la empresa de 5000 euros. Alfredo, alarmado, le prometió a su jefe un informe con todos los detalles bancarios y una explicación para dicho movimiento fraudulento.
¿Qué fue lo que pasó realmente?
Alfredo fue víctima de un correo fraudulento conocido como phishing en el que en este caso el objetivo es «pescar» los datos bancarios de la empresa para realizar un cargo en dicha cuenta.
El principal error del trabajador fue no percatarse de que la dirección que aparecía en el correo electrónico no le dirigía a la web legítima de la compañía eléctrica, cayendo así en la trampa.
Puesto que Alfredo es un trabajador con muchos años de experiencia, supo ver la relación de los hechos y encajó las piezas. El cargo de los 5000 euros estaba relacionado con la devolución de la factura de la compañía eléctrica. Se puso en contacto con dicha compañía para confirmar el fraude y acto seguido lo notificó a la entidad bancaria y denunció el hecho a las Fuerzas y Cuerpos de Seguridad del Estado.
Debido a que Alfredo carecía de formación en seguridad, desconocía la existencia de este tipo de correos y ni se imaginaba que pudiera pasar en una empresa como la suya.
¿Qué podemos hacer para que no nos suceda?
La formación en seguridad de los empleados es tan importante como las medidas de seguridad que implementamos en nuestras empresas. Los empleados que desconozcan las políticas de seguridad de la empresa y cómo proteger su puesto de trabajo serán víctimas fáciles de los ciberdelincuentes, sobre todo en casos de phishing e ingeniería social.
Ya lo sabes, si quieres proteger tu empresa, apuesta por la formación de tus empleados. Invertirás en valor seguro.