Los ataques de correo electrónico empresarial (BEC) son estafas sofisticadas que apuntan a individuos desde direcciones de correo electrónico que parecen legítimas y solicitan transferencias de dinero. Aunque los ataques de ransomware reciben más atención de los medios, los BEC pasan desapercibidos a pesar de poder costar a una empresa miles o millones de dólares al año. Según un informe reciente del FBI, en 2020 estos delitos fueron los más devastadores financieramente, generando pérdidas cercanas a los 1,800 millones de dólares.
Estas estafas tienen éxito al apuntar a objetivos específicos, generalmente a empresas que realizan transferencias internacionales de cantidades significativas de manera regular. A diferencia de los intentos de phishing al azar, que envían mensajes de manera indiscriminada, los ataques BEC están altamente focalizados, lo que los convierte en mucho más peligrosos.
Los ataques BEC emplean una mezcla de tácticas de phishing y manipulación psicológica para persuadir al personal autorizado a transferir fondos al estafador. Estos ataques selectivos suelen necesitar una planificación extensa y pueden resultar difíciles de detectar para alguien sin experiencia. Las estafas BEC pueden presentarse de diversas maneras, lo que complica su detección sistemática.
A continuación, se detallan las seis modalidades más comunes:
- La estafa de la factura falsa: Estafadores envían facturas falsas haciéndose pasar por proveedores conocidos o socios de confianza de la empresa objetivo, utilizando dominios similares para parecer legítimos. Las facturas falsas contienen datos bancarios incorrectos para que los pagos vayan a los atacantes. A veces, también incluyen un keylogger, un sistema de monitoreo que permite a los ciberdelincuentes robar información confidencial de la empresa aprovechando el spyware instalado de forma maliciosa en los dispositivos utilizados por los empleados a diario.
- La estafa de la actualización de cuenta: Los ciberdelincuentes emplean mensajes de «phishing» para hacerse pasar por un ejecutivo de un proveedor de la empresa. Este tipo de fraude suele apuntar al departamento de Contabilidad o Recursos Humanos, la víctima cae en la trampa al creer que está interactuando con una persona real y proporciona sus datos bancarios al atacante. Asimismo, los delincuentes suplantan la identidad de los empleados al contactar al departamento de Recursos Humanos y solicitar la actualización de datos bancarios con la cuenta del atacant
- Ataques de transacciones: Los ciberdelincuentes explotan la vulnerabilidad del correo electrónico para cometer fraudes antes de grandes transacciones, especialmente en sectores como el legal o inmobiliario. Envían mensajes falsos solicitando actualizar datos de cuenta, engañando a las víctimas. El fraude ocurre cerca de la transacción y al final del día, con el estafador suplantando al beneficiario legítimo.
- Fraudes con Tarjetas de Regalo: Dentro del ámbito del fraude empresarial, la táctica de phishing, conocida como whaling (que significa «caza de ballenas» en inglés), implica que los delincuentes cibernéticos se hagan pasar por un CEO o un ejecutivo de alto rango de la empresa. A través de correos electrónicos o mensajes de texto, solicitan a un empleado la compra de tarjetas de regalo de plataformas online —como Google, Amazon, entre otras— argumentando que serán utilizadas como premios o regalos para empleados, clientes, entre otros. Una vez adquiridas, el falso ejecutivo solicita que se le envíen los datos o códigos de canje de las tarjetas. De esta manera, los ciberdelincuentes obtienen el monto asociado a las tarjetas, pudiendo revenderlas en el mercado y obtener dinero en efectivo o criptomonedas.
- Estafa de pago anticipado: En esta situación, tras investigar la empresa objetivo, el ciberdelincuente se hace pasar por un proveedor de confianza y pide el pago adelantado por un servicio o producto aún no solicitado. El atacante puede respaldar su solicitud de pago con presupuestos, facturas u otros documentos falsos.
- Fraude de cuentas por cobrar: Dentro de este tipo de ataque, el estafador se hace pasar por un alto ejecutivo de la empresa y solicita internamente informes de cuentas/facturas antiguas por cobrar. Al obtener estos registros, utiliza la información para intentar cobrar los pagos pendientes a los clientes mediante otro fraude de phishing.
¿Cómo puedes prevenir ser víctima de este tipo de ataques?
A continuación, explicamos las mejores maneras para proteger a una organización de este tipo de estafas:
- Implementar protección DMARC: Al utilizar DMARC (Domain-based Message Authentication, Reporting, and Conformance), se disminuye significativamente la exposición de la organización a ataques de phishing, suplantación de identidad y fraudes. DMARC es una herramienta gratuita que valida los correos electrónicos y resguarda a la empresa frente a la suplantación de identidad, al combinar dos tecnologías clave. En primer lugar, se emplea un registro SPF (Sender Policy Framework) para especificar desde qué servidor autorizado se envían los correos corporativos. En segundo lugar, se utiliza DKIM (DomainKeys Identified Mail) para autenticar los mensajes y combatir la suplantación.
- Aplicar los controles internos de cuentas: Las políticas y procedimientos internos pueden disminuir significativamente el riesgo de ataques BEC, especialmente en casos de fraude electrónico. Es esencial repasar o establecer procedimientos que el personal deba seguir antes de realizar transferencias de dinero, modificar información de cuentas o compartir datos confidenciales
- Impartir capacitación sobre phishing: Las campañas de phishing pueden ser útiles para instruir al personal en la identificación de mensajes sospechosos, al enviar mensajes de phishing «de prueba» a sus bandejas de entrada. Esta estrategia, acompañada de capacitación constante, ayuda a disminuir el riesgo de ataques BEC y a elevar el nivel de seguridad de la empresa.
- Etiquetar correos electrónicos como externos: Los administradores del correo electrónico corporativo tienen la capacidad de establecer una regla en el servidor de correo para clasificar los mensajes como externos. Esta función facilita a los empleados la identificación de los correos que provienen de fuera de la organización, sin necesidad de revisar la dirección de correo específica en el campo «De».
- Autenticación multifactor (MFA): Esta tecnología de seguridad agrega una capa adicional de protección al correo empresarial. El MFA opera combinando credenciales distintas que fusionan factores de conocimiento (como el nombre de usuario y una contraseña) y factores de posesión (como los códigos de acceso OTP que se reciben a través de una aplicación en el smartphone). Esto ayuda a prevenir el fraude, incluso en caso de robo de credenciales.
Es crucial recordar que si se sospecha de haber sido víctima de una estafa BEC, es fundamental comunicarse de inmediato con el banco o proveedor para evitar la propagación del ataque. Además, es importante informar y compartir los detalles del mensaje con el departamento de T.I. lo antes posible para prevenir posibles compromisos en la seguridad de la organización.