Según ANZ, las pérdidas cibernéticas entre las pequeñas empresas superaron los 84 millones AUD en 2024, lo que destaca cómo los delincuentes están apuntando cada vez más a organizaciones más pequeñas y vulnerables.

La tendencia alarmante

El ciberdelito sigue siendo un desafío constante para las empresas en toda Australia. Las cifras nacionales muestran que en 2024 las compañías perdieron más de 84 millones AUD debido a estafas. Según el informe de Tendencias de Amenazas Cibernéticas de la Dirección de Señales de Australia, se presentaron más de 87,400 informes de ciberdelitos durante el año fiscal 2023–2024, lo que equivale a un reporte cada seis minutos. Aunque esto representa una disminución del 7 % respecto al año anterior, las pequeñas empresas siguen estando especialmente expuestas a riesgos financieros significativos.

Una de las amenazas más significativas es la Comprometida del Correo Empresarial (BEC), donde los atacantes se hacen pasar por contactos de confianza para robar dinero o datos sensibles. El BEC representó el 13 % de los incidentes reportados. Estas estafas suelen aprovechar debilidades en los sistemas de correo electrónico o en los procesos empresariales, incluyendo el hackeo de cuentas para modificar los datos de pago de facturas y redirigir los fondos a cuentas controladas por ciberdelincuentes.

Los ciberdelincuentes también se aprovechan de la confianza que las pequeñas empresas depositan en el correo electrónico. Muchas dependen de facturas digitales y de la comunicación con proveedores. Los atacantes pueden imitar fácilmente estos mensajes mediante suplantación de dominios e identidades falsas de remitentes. El phishing sigue siendo la principal causa de pérdidas financieras, pero el compromiso de correo empresarial (BEC) está aumentando rápidamente. Estos ataques a menudo eluden los filtros de spam básicos y explotan métodos de autenticación débiles, lo que provoca graves brechas de seguridad.

Por qué las pequeñas empresas están en mayor riesgo

A diferencia de las grandes corporaciones con equipos de TI dedicados, las pequeñas empresas a menudo carecen de los recursos necesarios para una seguridad proactiva. La mala gestión de contraseñas, los sistemas obsoletos y la ausencia de políticas DMARC o SPF las convierten en objetivos fáciles. El informe más reciente de ANZ revela que más del 70 % de las pequeñas empresas atacadas por phishing no contaban con una autenticación de dominio adecuada, lo que permitió a los atacantes hacerse pasar por ellas con muy poco esfuerzo.

Las pequeñas empresas también son cada vez más atacadas por estafadores que se hacen pasar por bancos, agencias gubernamentales u otras instituciones financieras. Estos ataques buscan engañar a las personas para que compartan información personal, transfieran fondos o hagan clic en enlaces maliciosos. Los datos de 2024 muestran que las pequeñas empresas se ven afectadas de manera desproporcionada, con un costo promedio por incidente de ciberdelito que alcanza los 49,000 AUD, un aumento del 8 % con respecto al año anterior.

El efecto dominó de los ataques basados en correo electrónico

Una vez que se roban las credenciales, los atacantes las utilizan para enviar correos electrónicos convincentes, propagar malware o solicitar pagos fraudulentos. El daño a la reputación puede durar más que la pérdida financiera, ya que los clientes que caen en facturas o estafas falsas pierden la confianza en la marca.

Fortalecer la ciberresiliencia en 2025

Las instituciones financieras de Australia están instando a las pequeñas empresas a adoptar métodos de autenticación más sólidos y herramientas de monitoreo continuo. Los organismos reguladores también están promoviendo DMARC como un estándar de seguridad fundamental para prevenir correos electrónicos falsificados y ataques de phishing. El Centro Australiano de Ciberseguridad (ACSC) recomienda firmemente DMARC como una medida esencial para protegerse contra la suplantación y falsificación de correos electrónicos.

Las presiones de cumplimiento también están aumentando. Bajo marcos globales como el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), la implementación de DMARC se volverá obligatoria para las empresas que manejen datos de tarjetas de crédito, convirtiéndose en un requisito esencial para las organizaciones dentro del alcance de dicho estándar.

Nueva Zelanda ya ha avanzado hacia la implementación obligatoria de una estricta aplicación de DMARC en todos los dominios gubernamentales, estableciendo un sólido precedente para su adopción regional. A medida que los ciberdelincuentes utilizan cada vez más correos electrónicos generados por IA y tácticas de ingeniería social, la concienciación y la automatización se han vuelto indispensables para proteger las comunicaciones empresariales.

Repensar la confianza: cómo las herramientas modernas pueden proteger cada mensaje

El correo electrónico es vital para la comunicación empresarial, pero también representa un importante vector de ataque. Para proteger su reputación, las pequeñas empresas deben ir más allá de las defensas manuales.

Skysnag automatiza la aplicación de DMARC, SPF, DKIM, MTA-STS y TLS-RPT, ayudando a las organizaciones a proteger sus dominios contra la suplantación mientras mejora la entrega de correos electrónicos. La autenticación continua, los informes forenses y las alertas en tiempo real permiten a las pequeñas empresas detener los ataques de correo electrónico antes de que escalen. Comienza tu prueba gratuita de 14 días.