La comunicación y la validación son la clave para la protección
Cuando una empleada de cuentas por pagar de una pequeña compañía de fabricación recibió un correo electrónico urgente del director ejecutivo de la empresa para que realizara la transferencia electrónica de un monto significativo de dinero de inmediato a una cuenta desconocida, su instinto de confirmar los detalles fue desviado cuando se le informó en un correo electrónico de seguimiento que los fondos eran necesarios para una adquisición que debía completarse de prisa o se desaprovecharía la oportunidad. Después de haber realizado la transferencia de $250,000, se descubrió que el director ejecutivo no había iniciado la solicitud, su cuenta de correo electrónico había sido tomada por un estafador que desapareció con los fondos.
La vulneración del correo electrónico empresarial es un tipo de fraude cometido a través de correo electrónico, mediante el cual se engaña a la empresa para que transfiera fondos a cuentas controladas por los delincuentes o para que entregue datos confidenciales, como los nombres, direcciones y números de seguro social de los empleados. Aunque los estafadores se centran en empresas de todos los tamaños, las pequeñas empresas con frecuencia no cuentan con la escala ni los recursos para implementar un programa sofisticado de seguridad cibernética. Sin embargo, las pequeñas empresas no son indefensas. Estas medidas de precaución básicas pueden ayudar a prevenir la vulneración del correo electrónico empresarial.
Cómo funciona
La vulneración del correo electrónico empresarial, o BEC (por sus siglas en inglés), ocurre cuando alguien falsifica una dirección de correo electrónico legítima para autorizar la divulgación de información confidencial o realizar la transferencia de fondos a cuentas administradas por delincuentes. El estafador secuestra o falsifica (suplanta) la cuenta de correo electrónico de un ejecutivo que cuenta con autorización para dar instrucciones a otros empleados para que generen pagos, como transferencias de dinero electrónico o una transferencia a través de la cámara de compensación automatizada (ACH, por sus siglas en inglés).
En ocasiones, los estafadores suplantan a proveedores legítimos y engañan a las víctimas incautas (empresas de todos los tamaños) para que redirijan los pagos futuros a una cuenta diferente, la cual es abierta y controlada por estafadores. Algunos de los motivos que mencionan con respecto a la apertura de cuentas nuevas incluyen el traslado de su cuenta empresarial a un banco distinto o porque la cuenta que se utiliza habitualmente se ha sometido a una auditoría.
El empleado cree que las instrucciones contenidas en el correo electrónico son legítimas y completa la transferencia de fondos según lo solicitado, depositando los fondos de la compañía sin saberlo a las cuentas bancarias controladas por el estafador.
Denuncia el fraude
Todos los casos de vulneración del correo electrónico empresarial se deben denunciar, sin importar su grado de relevancia, a fin de advertir a las autoridades sobre la actividad. Denuncia cualquier actividad de fraude en línea o de vulneración del correo electrónico empresarial al Centro de Denuncias de Delitos en Internet de la Oficina Federal de Investigaciones. Si bien es posible que un caso específico no se solucione por completo, las autoridades obtienen más perspectivas sobre los patrones y los atacantes al recibir múltiples denuncias.
Además, debes contactar a tu institución financiera si se descubre una transferencia fraudulenta a fin de explorar la posibilidad de recuperar los fondos.
Para obtener más información referente a la ciberseguridad de las pequeñas empresas, visita el sitio web de la Comisión Federal de Comercio.
Tipos de ataques
El estafador necesita cierta información crítica para poder suplantar exitosamente la cuenta de correo electrónico real del ejecutivo o proveedor legítimo para iniciar la transferencia fraudulenta de fondos o datos:
Falsificación de una cuenta de correo electrónico o sitio web
Al utilizar variaciones pequeñas de una dirección legítima se engaña a la víctima para que piense que las cuentas falsas son auténticas, por ejemplo, al reemplazar una “L” minúscula en el nombre de la compañía por el número uno (1). Por ejemplo, el ciberdelincuente puede utilizar ese correo electrónico falsificado para solicitar que se modifique la información de la cuenta bancaria de un proveedor.
Envío de correos electrónicos de suplantación de identidad dirigidos a destinatarios específicos
Un ataque de suplantación de identidad dirigido a destinatarios específicos (spear phishing) está diseñado para engañar a los empleados para que divulguen información confidencial o proporcionar acceso sin saberlo a un sistema informático mediante el envío de mensajes falsos que parecen ser legítimos. Una campaña de suplantación de identidad dirigida a destinatarios específicos se centra en una persona o grupo en particular, como los empleados de una compañía específica. Los atacantes pueden utilizar la información disponible en los perfiles de redes sociales para obtener conocimiento sobre la fuerza laboral, la jerarquía organizacional, la tecnología y los canales de comunicación de las empresas para así abordarlas mediante una campaña de suplantación de identidad o ingeniería social para adquirir información confidencial.
Uso de malware
El software malicioso pone en riesgo las redes de la compañía para acceder a la información sobre los procesos de cobro y facturación de la empresa, la cual será aprovechada por el estafador, o para obtener acceso desapercibido a los datos de la víctima, lo que incluye sus contraseñas y la información de la cuenta financiera.
Suplantación de proveedores Muchos de los esquemas de suplantación de proveedores implican contratos que se adjudican públicamente. Normalmente, hay disponible información de dominio público referente a los licitadores exitosos que pueden ser suplantados fácilmente a través de sitios web con ligeras modificaciones, a menudo utilizando imágenes, logotipos, etc. legítimos obtenidos del sitio web legítimo de la víctima. A menudo, después también se abren cuentas de correo electrónico utilizando pequeñas variaciones del sitio web o correo electrónico legítimo. Un ejemplo podría ser un sitio web legítimo que utilice www.abctolls.com frente a un sitio web estafador que haya sido abierto utilizando www.abctoolsinc.com.
Vulneración de cuentas de correo electrónico Los delincuentes adquieren las credenciales válidas de una cuenta de correo electrónico legítima de la compañía. Posteriormente envían un correo electrónico a un cliente de la compañía, a menudo incluyendo nueva información de pago. Todo cambio a la información de pago debe ser verificado a través de otro canal de comunicación de confianza y utilizado antes de haber recibido este correo electrónico de información de pago nueva. La mejor defensa para prevenir que las cuentas de correo electrónico se pongan en riesgo es que el correo electrónico cuente con autenticación multifactorial.
Señales de advertencia
- Un empleado recibe un correo electrónico de un ejecutivo o gerente de mayor rango mediante el cual se le solicita que procese una factura a la brevedad, que cambie el destinatario de un pago o que proporcione datos confidenciales.
- El mensaje es urgente y presiona al empleado para que omita las políticas y los procedimientos estándar.
- El correo electrónico viene de la cuenta personal del ejecutivo o gerente en vez de venir de su cuenta de la compañía.
- La dirección de correo electrónico del remitente es una variación de las direcciones de correo electrónico reales de la compañía.
Consejos para los empleadores
- Desarrollar una cultura que motive a los empleados a verificar las instrucciones directamente con los ejecutivos que tienen la autorización para aprobar pagos antes de liberar fondos.
- Establecer prácticas y políticas básicas de seguridad para los empleados, por ejemplo, exigir el uso de contraseñas seguras y autenticación multifactorial para que los empleados accedan a las áreas de la red que contiene información confidencial.
- Brindar capacitación al personal con respecto a la vulneración del correo electrónico empresarial y cómo identificar los correos electrónicos falsificados y de suplantación de identidad dirigida a destinatarios específicos.
- Implementar la separación de obligaciones, es decir, el mismo empleado no debe tener la capacidad de iniciar y aprobar el movimiento de dinero.
Consejos para los empleados
- Llama al ejecutivo/gerente correspondiente para solicitar la validación o aclaración de las solicitudes de pago inusuales antes de autorizar las transacciones o revelar datos sensibles, como los registros de personal. Usa un teléfono de conocimiento público.
- Confirmar verbalmente las instrucciones enviadas por correo electrónico por un vendedor o proveedor para cambiar los métodos de pago o la información bancaria. Llámalos a un teléfono de conocimiento público.
- No te desvíes de las políticas y procedimientos establecidos en relación con los pagos, la transferencia de fondos o la divulgación de datos sensibles.
- Comprueba cuidadosamente la dirección de correo electrónico de cualquier persona que solicite una transferencia de fondos o datos sensibles; los estafadores pueden variar ligeramente una dirección auténtica, añadiendo una letra o cambiando la puntuación para que parezca legítima.
- Se cauteloso a la hora de compartir información específica sobre tu trabajo en las redes sociales. Los atacantes pueden utilizar la información de tu perfil para conocer tu empresa, tu función y la tecnología que utilizas, y dirigirte a campañas de suplantación de identidad o de ingeniería social para ejecutar este tipo de fraude
Información y divulgaciones legales importantes
Estos artículos tienen como fin brindar información general solamente, por lo que no tienen la finalidad de proporcionar asesoría legal, fiscal, contable ni financiera. PNC insta a sus clientes a realizar investigaciones independientes y a consultar con profesionales de seguridad, financieros y legales antes de tomar cualquier decisión financiera. Este sitio puede proporcionar referencias a sitios de Internet para la comodidad de nuestros lectores. Si bien PNC se esfuerza por proporcionar recursos seguros y de confianza, no somos responsables de la información, los productos o los servicios que se obtengan en ellos, y tampoco seremos responsables de los daños que surjan por haber entrado a esos sitios. El contenido, la exactitud, las opiniones expresadas y los enlaces proporcionados por dichos recursos no son investigados, verificados, supervisados ni patrocinados por PNC.
Lea un resumen de los derechos de privacidad para residentes de California, el cual describe los tipos de información que recabamos, así como la manera en que utilizamos dicha información y el motivo por el cual la utilizamos.
