El ciberdelincuente que roba información o dinero de una pequeña empresa probablemente sea un maestro del engaño y la manipulación, además de un experto en tecnología.

Cuando Nancy Butler recibió una llamada de alguien que decía ser de su servicio de tecnología de la información hace dos años, asumió que era un chequeo de rutina realizado por un miembro del personal legítimo. Entonces, como lo había hecho muchas veces durante tales llamadas, Butler le pidió a la persona que llamaba que confirmara su número de cuenta y otra información para que "pudiera estar seguro de que eran quienes dijeron que eran".

"Después de que todo fue confirmado, los dejé ingresar a la computadora solo para descubrir que inmediatamente me bloquearon la entrada a mi computadora, accedido y robado de una cuenta bancaria, tarjeta de crédito y varias cuentas en línea, "dice Butler, un entrenador de negocios y orador motivacional con sede en Waterford, Connecticut. Los ladrones también exigieron el pago antes de que la dejaran volver a su computadora; ella no pagó, y encontró una empresa de tecnología de la información que podía desbloquearlo.

A medida que los ciberdelincuentes intensifican sus ataques a las empresas y a los usuarios individuales de computadoras, confían más en la ingeniería social, la práctica de engañar o manipular a alguien, a menudo con correo electrónico, pero también con llamadas telefónicas, para obtener información personal o financiera. Cuando una empresa es atacada, los datos de clientes y proveedores están en riesgo. Los expertos en ciberseguridad dicen que cada vez más se ataca a las pequeñas empresas.

Las estafas de phishing suelen utilizar ingeniería social. Las estafas generalmente se disfrazan en correos electrónicos de apariencia realista que alientan al destinatario a hacer clic en un enlace o archivo adjunto; ese clic descarga software malicioso conocido como malware que puede capturar información y enviarla al delincuente. Los correos electrónicos pueden parecer que provienen del banco de una empresa o de otra empresa. El phishing también es una forma de ransomware, software malintencionado que bloquea las computadoras, para ser plantado en un dispositivo. Si bien algunos ciberdelincuentes se dirigen a las pequeñas empresas, El malware también se puede plantar cuando un empleado hace clic en un correo electrónico personal en una máquina de la empresa.

Cuando se trata de piratear sitios web, los ciberdelincuentes siguen buscando vulnerabilidades que puedan explotar, pero es su capacidad para estafar a las empresas lo que causa muchos de los problemas, dice Terry Kasdan, propietario de atCommunications, una empresa de desarrollo de sitios web con sede en Northbrook, Illinois.

El tipo de experiencia que tuvo Butler se está volviendo más común con los ataques a sitios web.

"Un pirata informático puede llamar a una empresa, decir algo en el sentido de, 'Trabajo para su proveedor de alojamiento web, 'y agregue el nombre del anfitrión real para darle credibilidad a la llamada, ", Dice Kasdan. Los piratas informáticos pueden obtener información sobre un sitio web y su empresa de alojamiento de directorios en línea; luego, si pueden manipular a un empleado para que dé una contraseña, pueden ingresar al sitio, robar información y dañarla o desactivarla.

Una empresa puede convertirse en una víctima indirectamente:no es necesario atacar sus propios sistemas para que un ladrón cibernético robe información o dinero.

Tjernlund Products envió por correo electrónico un nuevo pedido con uno de sus proveedores en China y recibió un correo electrónico que decía que la compañía tenía un nuevo banco al que Tjernlund Products debería realizar sus pagos. Esta no fue una situación inusual; los proveedores de la empresa en China a menudo cambian de banco, dijo Andrew Tjernlund, director de marketing de White Bear Lake, Fabricante con sede en Minnesota del fabricante de componentes para sistemas de ventilación.

Meses después, después de que el envío nunca llegó, Tjernlund Products se puso en contacto con el proveedor, que investigó y descubrió que su correo electrónico había sido pirateado. Tjernlund Products se vendió alrededor de $ 20, 000, aunque su proveedor le dio a la compañía una interrupción considerable en su próximo pedido para compensar parte de la pérdida.

Andrew Tjernlund dice que él y sus compañeros gerentes se dieron cuenta de que eran víctimas indirectas de una piratería, and that they were too trusting that the bank change was legitimate. They're more wary now.

"We test our suppliers when they change banks, ask them about what color hair we have or when we last met in person—things like that, " Tjernlund says.

The government and some private companies like insurers keep count of the number of reported cyberattacks including those that use social engineering, but many companies don't tell authorities when they've been attacked. Business owners don't want to publicize the fact that their systems or websites have been hacked; they worry about losing customers and being shunned by vendors who fear their systems could also be compromised. Cybercriminals are able to hack into one company's system through another's—when discount retailer Target had a data breach in 2013 hackers first invaded the system of a Target supplier.

The more employees and devices a company has, the more vulnerable it is, says Tyler Olson, owner of Shyld, a cybersecurity startup based in Minneapolis.

"There's an unlimited offensive capability and defense is really hard, " Olson says. "It takes only one entry point in the organization."

The entry point could be the employee who clicks on an email. "Once they're inside the network, they can potentially find additional vulnerabilities. They can sit and wait or they can do some destruction immediately, " Olson says

Olson, who also owns an information technology company, got the inspiration for his cybersecurity firm from his experience working on the technology team for the 2008 re-election campaign of then-Sen. Norm Coleman (R-Minn.). A video posted on YouTube showed how to hack into the campaign database; a hacker did that and the personal and credit card information of thousands of contributors to Coleman's campaign were posted on the internet, with Wikileaks claiming responsibility for disseminating the data.

© 2019 The Associated Press. Reservados todos los derechos.