Solemos oír que el correo electrónico está desapareciendo debido a las redes sociales, pero la verdad es que su uso continúa creciendo. Una investigación de The Radicati Group muestra como el uso del correo electrónico se incrementará hasta unos enormes 319.600 mil millones de correos electrónicos enviados y recibidos, por día, en 2021. Eso son muchos correos electrónicos. Pese a que es cierto que muchos de ellos son spam o no deseados, los correos electrónicos continúan siendo una forma muy cómoda de comunicarse con los empleados internos, así como con los asociados externos al negocio y con los clientes.
Ya que el correo electrónico es una parte útil de las comunicaciones en los negocios, siempre será la forma número uno para los ciberdelincuentes de apuntar a un individuo y a una empresa. Hemos visto cómo se confirmaba con un 76 por ciento de las empresas experimentando un ataque de phishing.
Como siempre, el ciberdelincuente es un adversario ingenioso y encontrará muchas nuevas e innovadoras formas de causar una ciberamenaza. Otro altamente exitoso ataque usando correo electrónico es el Business Email Compromise, o ataques por correo electrónico que comprometen a la empresa, o para abreviar, BEC por sus siglas en inglés. En este artículo, te contaré qué es el BEC y cómo podemos intentar proteger nuestra empresa contra la más siniestra de las amenazas.
Business Email Compromise – Algunos ejemplos
Una investigación llevada a cabo por el FBI, centrándose en los tres años anteriores a 2016, encontró que los BEC eran los culpables de 5.300 mil millones de dólares en pérdidas empresariales por todo el mundo. Algunos ejemplos de los que caen víctimas del BEC incluyen:
La empresa austríaca FACC Operations GMBH: La empresa perdió 50 millones de euros a través de una estafa BEC cuando los hackers se hicieron pasar por el director ejecutivo, Walter Stephan, en correos electrónicos. Los correos fraudulentos pedían que se hicieran con urgencia transferencias de dinero. Por supuesto, el dinero fue directamente a la cuenta bancaria del hacker.
La empresa californiana Xoom Corporation: Una estafa similar a la del incidente BEC de FACC Operations. En esta ocasión fueron transferidos unos 30,8 millones de dólares a la cuenta del hacker. Causó a la empresa una caída del precio de sus acciones de hasta un 17 % después del incidente.
El fabricante de juguetes Mattel: La empresa entregó 3 millones de dólares a estafadores que usaron técnicas BEC para engañar a la empresa haciéndoles creer que era una transacción financiera legítima.
Estos ejemplos muestran la gravedad de este problema. Una estafa BEC puede costarle millones, a una empresa. Razón suficiente para saber más sobre ello.
Cómo es una estafa BEC
Al igual que los métodos más exitosos usados por los ciberdelincuentes, BEC se basa en el tema recurrente de la manipulación del comportamiento humano y el uso de la tecnología durante el proceso. A esto se le llama «ingeniería social». Utiliza nuestra sociabilidad y conexión normal con otras personas para conseguir el objetivo final del delincuente. Estas son algunas de las formas en que los estafadores BEC trabajan:
Suplantación del director ejecutivo
La estafa de FACC Operations estaba basada en suplantar el correo electrónico del director ejecutivo. Esto puede hacerse, ya sea secuestrando la cuenta real o usando una dirección de correo electrónico fraudulenta para engañar a otros y hacerles creer que el correo es legítimo. El secuestro implica hackear la cuenta real de correo electrónico (robando las credenciales de inicio de sesión) y hacerse con el mando. La suplantación es una técnica más simple, pero puede tener menos éxito. Sin embargo, los correos fraudulentos pueden ser muy difíciles de detectar. Especialmente si el estafador ha vigilado cómo se comporta el director ejecutivo y el tipo de lenguaje que utiliza. Las direcciones de correo electrónico fraudulentas son muy similares a las direcciones reales. Por ejemplo, si cambian [email protected] a [email protected] solo las personas más atentas detectarán el cambio de dominio.
Facturas falsas
Los hackers emplean técnicas de vigilancia para obtener información de cómo opera el departamento financiero de una empresa. El ciberdelincuente lanzará correos de phishing a personas del departamento, robando sus credenciales de inicio de sesión de su cuenta de correo electrónico. Entonces pueden ver los diseños de las facturas y, eventualmente, enviar una factura falsa para su pago o ajustar la información para el pago en una factura legítima.
Nosotros y el Business Email Compromise
El BEC es una trampa chapada a la antigua. La estafa se basa en la manipulación del comportamiento humano. El delincuente usa una combinación de trucos psicológicos y conocimientos para conseguir que hagas lo que quiere. Los siguientes son algunos de los elementos importantes que emplean:
Vigilancia
Los hackers BEC suelen tomarse su tiempo para entender cómo una empresa y los empleados de esa empresa trabajan y se comunican. Querrán que sus correos electrónicos parezcan lo más reales posible e imitar al empleado por el que quieren hacerse pasar. Por ese motivo, usan expresiones parecidas para hacer que sus víctimas le crean.
Confianza
La estafa está montada alrededor de las relaciones de confianza. El estafador usa a menudo relaciones de confianza conocidas, como la de un director ejecutivo con el director financiero para iniciar una transferencia de dinero. Si confiamos en la persona que nos está pidiendo que hagamos la transferencia, es más probable que acabemos haciéndola. Especialmente si el lenguaje y las palabras que usa son las mismas que utiliza normalmente.
Buenos empleados
Las estafas BEC suelen tener más éxito cuando utilizan una sensación de urgencia. Esto puede manipular la necesidad de hacer un buen trabajo en un empleado. Los correos electrónicos fraudulentos piden cosas como «Por favor, procesa esta transferencia urgentemente. Si no movemos esta cantidad para las 12 del mediodía perderemos este importante acuerdo». El miedo de ser culpado si algo no se transfiere a tiempo, da pie a que el empleado cumpla. La urgencia también causa estrés en las personas, haciendo que sea menos probable que detecten cualquier pista que les indique que en realidad se trata de una estafa.
Formas de prevenir las estafas BEC
Al igual que todas las amenazas de ciberseguridad, hay formas de reducir el riesgo y complicar las cosas al ciberdelincuente. Por ello hemos enumerado algunas ideas de cómo estar atento y, por consiguiente, protegido.
1. Estar informado
En primer lugar, asegúrate de que todos los de tu empresa, desde los directivos hasta los empleados de bajo nivel, estén informados de qué es una estafa BEC y cómo puede aparecer. En particular, haz que las áreas de la empresa más susceptibles de ser atacadas, como la financiera, estén informadas de la amenaza. Coloca comprobaciones y medidas, como la realización de llamadas telefónicas para comprobar la veracidad para grandes transferencias.
2. Usar una autenticación de correo electrónico robusta
Aunque muchas de las estafas BEC se basan en la ingeniería social, hay algunas estafas que hackean las cuentas de correo electrónico. Si puedes, aplica la autenticación en dos pasos (2FA) para acceder a la cuenta de correo electrónico. Por ejemplo, sistemas de correo electrónico como Gmail la ofrecen usando una aplicación para el móvil o un mensaje SMS. Ten en cuenta que ese mensaje SMS de la 2FA tiene algunos problemas de seguridad conocidos. Así pues, el código de una aplicación móvil puede ser más seguro.
3. Controla tu dominio
Las direcciones de correo electrónico suplantadas que usan los delincuentes, suelen tener dominios similares en la dirección de correo. Asegúrate de comprar todos los dominios que sean similares a tu dominio principal. Como resultado, los hackers no podrán abusar de ellos.
4. Se limpio
Las medidas higiénicas de seguridad básica, como la prevención de malware, deben seguirse siempre.
Consideraciones finales
Lo que es tan escalofriante sobre el Business Email Compromise es que el hacker se convierte en un espía y usa nuestro propio comportamiento en contra de nosotros. El BEC puede ser un delito muy caro, poniendo a empresas bajo graves presiones económicas. Incluso a veces termina con el despido de personas. Algunos métodos simples como estar informado en temas de seguridad pueden ayudar a minimizar la posibilidad de que tu empresa sea golpeada por este ciberdelito tan dañino.
-
-
-
https://vpnoverview.com/es/seguridad-internet/empresas/business-email-compromise/
