La seria amenaza de los correos electrónicos corporativos comprometidos

En sólo dos años, esta estafa ha causado pérdidas por valor de 3.100 millones de dólares a unas 22.000 organizaciones. ¿Cómo frenarla?

Una amenaza de ciberdelincuencia que está creciendo en torno a las empresas durante los últimos tiempos se conoce por las siglas BEC. Estas siglas corresponden a Business Email Compromise o, en español, Correos Electrónicos Corporativos Comprometidos y en números han supuesto pérdidas de 3.100 millones de dólares a 22.000 empresas en tan sólo un par de años.

Así lo calcula el FBI y así lo recuerda la compañía de seguridad Trend Micro, que ha llevado a cabo una investigación para comprender un poco más cómo funciona esta problemática y a quién está afectando en la actualidad.

Desde Trend Micro recuerdan que se trata de “una estafa de correo electrónico sofisticada que ataca a empresas que trabajan con socios extranjeros, y que regularmente realizan pagos a través de transferencias electrónicas”. Es decir, se trata de aquello que en el pasado se conocía como Man-in-the-Email. Para hacer efectiva la estafa hay tres vías, que son la táctica de la factura falsa, el fraude del CEO o, en su defecto, la aplicación de un compromiso o el hackeo de la cuenta de algún empleado.

Con la factura falsa lo que se hace es pedirle a un cliente que cambie el lugar de pago, mientras que con el fraude del CEO se usurpa la identidad de un alto ejecutivo para dar credibilidad ante los trabajadores contactados (o ante el propio banco) a una solicitud de transferencia de dinero a una cuenta que en realidad es fraudulenta. Y es que en todos estos casos lo que se pretende es que alguien pase “grandes sumas de dinero a cuentas ubicadas en el extranjero”, explica Trend Micro.

Ya sea con malware fácil de adquirir e incluso gratuito, o sobre todo con técnicas de ingeniería social, los ciberdelincuentes prefieren hacerse pasar por el CEO para llevar a cabo sus ataques. Aunque también se habrían detectado casos en los que se han utilizado los cargos de presidente o de ciertos directores ejecutivos. El objetivo más repetido es el departamento financiero, especialmente el CFO.

En cuanto a los asuntos utilizados para realizar las estafas, los expertos de seguridad los califican de “muy simples y vagos” la mayor parte de las veces, llegando a componerse únicamente de una palabra. “Sin embargo”, matiza Trend Micro, “el hecho de que dichas técnicas sean efectivas demuestra que conocen a sus víctimas lo suficiente como para provocar una acción”.

¿Cómo frenar este tipo de correos? Las soluciones serían varias. Resulta vital formar a lo empleados en buenas prácticas de seguridad y, a partir de ahí, revisar todos los emails que se reciben con extremo cuidado. Sobra decir que ese cuidado debería ser mayor si en el mensaje se reclama dinero. También convendría verificar cambios en los pagos y transferencias con dobles aprobaciones y autenticaciones en dos pasos, por ejemplo, a través del teléfono.

Otros consejos pasan por “mantenerse al día con los hábitos de los clientes”, no utilizar “los detalles proporcionados en las solicitudes que se hacen vía correo” y, claro está, poner en conocimiento de las autoridades competentes cualquier estafa sufrida.