Durante este periodo estresante, un mayor número de esquemas fraudulentos están sacando provecho de los titulares de las noticias para aprovecharse de la ansiedad natural del ser humano.

Si tu empresa no ha experimentado el fraude de pago, formas parte de una pequeña minoría. La investigación reciente de la AFP reveló que el 88 % de las compañías entrevistadas fueron objetivos de fraude cibernético en 2019.[1] Espero que este artículo los ayude a todos a reconocer algunos de los intentos más comunes y peligrosos y saber qué hacer y qué no hacer.

Definiciones importantes

La suplantación de identidad (phishing) es un medio a través del cual los estafadores intentan obtener información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y demás. La suplantación de identidad también se utiliza para infiltrar malware en el dispositivo de un objetivo. Al llevarse a cabo principalmente por correo electrónico, los estafadores se presentan como una entidad conocida o confiable y utilizan contenido de correo electrónico para persuadir al receptor para que abra un archivo adjunto infectado o un enlace a un sitio web malicioso. Los esquemas similares que se ejecutan a través de mensajes SMS o de texto se conocen como “smishing”.

El término malware se refiere a software malicioso, el cual consta de código desarrollado por los delincuentes diseñado para interceptar datos, dañar tus sistemas u obtener acceso no autorizado a una red. Algunos tipos de malware son los virus, el spyware, los troyanos y los bots. Estos representan software peligroso que no quieres tener en los dispositivos que se utilizan en tu empresa.

El malware normalmente se distribuye a través de un correo electrónico de suplantación de identidad en la forma de un archivo adjunto infectado o un sitio web malicioso que ejecuta el malware una vez que haces clic o lo abres.

La ingeniería social quizás sea la mayor amenaza individual de fraude a la cual se enfrenta el personal de tesorería corporativa y de cuentas por pagar. Esta incorpora los elementos del malware, la suplantación de identidad y el smishing y se basa en manipular a las personas para que realicen acciones o revelen información confidencial que no deberían revelar. Básicamente, manipula las emociones del objetivo. Aunque es muy fácil detectar algunos esquemas de fraude de ingeniería social, otros esquemas, particularmente los que van dirigidos a tu empresa, pueden ser sofisticados, calculados y convincentes.

Explotación de la pandemia del coronavirus

Los desafíos actuales han creado maneras para que los delincuentes usen la suplantación de identidad y la ingeniería social con mayor facilidad para apoderarse de los fondos de tu compañía. Hemos observado un incremento marcado en los correos electrónicos de suplantación de identidad que utilizan el coronavirus y temas relacionados en la línea de asunto (p. ej. las tasas de infección locales, los tratamientos, el equipo de protección personal y las vacunas), pretendiendo que provienen de organizaciones confiables, como un hospital reconocido o una agencia gubernamental. A los empleados angustiados e impacientes por obtener información referente a la pandemia les parece que los archivos adjuntos y enlaces contenidos en dichos correos electrónicos son muy atractivos y se convierten en objetivos de la conducta delictiva.

Las compañías son más vulnerables hoy en día porque muchas están utilizando procesos operativos y procedimientos no estándar, ya que ha surgido la necesidad de adaptarse a los arreglos de trabajo no tradicionales. Gran parte del personal de oficina, si no todo, está trabajando desde casa. Los empleados a cargo de las actividades de pago probablemente no tienen acceso al mismo respaldo impreso que normalmente se puede requerir para las solicitudes de pago. De manera similar, es posible que iniciar un pago conlleve una mayor cantidad de trabajo manual en comparación con los sistemas automatizados que tienen controles integrados. Por esta razón, en un afán por asegurar que la empresa siga operando sin problemas y reducir al mínimo los retrasos en el procesamiento de pagos, los empleados pueden verse tentados a saltarse los controles estándar en el preciso momento en que deberían estar haciendo exactamente lo contrario.

Dado que muchos de nosotros ahora trabajamos desde casa, la mayoría de nuestras interacciones empresariales se llevan a cabo a través del correo electrónico, incluso con más frecuencia de lo normal. Es de esperar que un delito que utiliza el correo electrónico como su principal portador de ataque, como la vulneración del correo electrónico (se explica más adelante), tenga una mayor probabilidad de éxito en este entorno.

Las alarmantes estadísticas

Una encuesta reciente realizada por la Asociación de Profesionales Financieros (AFP) reveló lo siguiente:

  • El 88 % de las organizaciones reportaron que habían sufrido fraude de pago consumado o intento de fraude de pago.
  • El 80 % de las organizaciones reportaron que estuvieron expuestas al fraude de ingeniería social en la forma de vulneración del correo electrónico empresarial.
  • De las organizaciones que reportaron que estuvieron expuestas a la vulneración del correo electrónico empresarial (BEC, por sus siglas en inglés), el 38 % experimentaron una pérdida.[2]

Además, en 2019 se reportaron al FBI más de 23,000 casos de estafas tipo BEC en las que las pérdidas de las víctimas ascendieron a $1,800 millones.[3]

Las pérdidas financieras pueden ser significativas para las compañías. Puede ser particularmente devastador ahora que el flujo de caja es más importante que nunca para mantener tu empresa.

Cómo funciona la vulneración del correo electrónico empresarial

En todos los casos, los esquemas BEC comienzan con un delincuente que se hace pasar por una fuente conocida o confiable. Este podría ser un ejecutivo de la compañía, un proveedor, un empleado o alguna otra persona que es conocida de la persona objetivo. Estos delincuentes utilizan una cuenta de correo electrónico falsificada (una cuenta que se hace parecer legítima al utilizar trucos visuales en el nombre de dominio del correo electrónico o una variación de la cuenta legítima) o, lo que es aún más peligroso, utilizan una cuenta legítima de la cual se han apropiado. El estafador solicita un pago urgente o solicita que se realicen cambios a las instrucciones de pago determinadas.

Los delincuentes obtienen la información que necesitan para identificar los posibles objetivos y redactar solicitudes convincentes por correo electrónico al:

  • Leer los mensajes de correo electrónico legítimos de un buzón vulnerado.
  • Navegar en Internet y en sitios de redes sociales profesionales para distinguir quien puede formar parte de la jerarquía financiera de una organización.
  • Enviar correos electrónicos no deseados con la esperanza de recibir respuestas automáticas indicando que las personas están fuera de la oficina, las cuales les pueden proporcionar información valiosa referente al contexto laboral de respaldo de las personas objetivo y a cuánto tiempo cierta persona estará fuera de la oficina.

Hay un par de maneras mediante las cuales un delincuente puede falsificar una cuenta de correo electrónico. Primero, el delincuente puede registrar un dominio de correo electrónico que sea una variante que parezca legítima de tu dominio de correo electrónico o del correo electrónico del proveedor por el cual está tratando de hacerse pasar el delincuente. Veamos un ejemplo ficticio para ilustrar cómo funciona esto: Steel City Corp utiliza steelcitycorp.com como su dominio de correo electrónico. Alguien que pretende imitar los correos electrónicos de Steel City Corp podría registrar steelcityco.com o steelcity.com, y quizás tú no notarías esa diferencia al momento de leer un correo electrónico.

En segundo lugar, pueden imitar los sitios legítimos al usar trucos visuales. Veamos otro ejemplo ficticio: abcsteelworks.com se podría falsificar como abcsteelvvorks.com (el delincuente sustituye la “w” por “vv”) o como abcstee1works.com (al sustituir la “l” con el número “1”). Hay otras sustituciones comunes, como intercambiar la “m” por “rn” o la “q” por la “g”.

Las personas son engañadas con estos trucos visuales todos los días, y esto no se debe a que no sean astutos u observadores. Se debe a que esperan ver los dominios en su forma correcta.

Para llevar a cabo la estafa, el estafador debe mantener el sigilo. No quiere que el destinatario del correo electrónico hable de la solicitud con otros. Por lo tanto, la solicitud a menudo se presenta como un pago por un motivo confidencial, como una adquisición o una inversión importante. A fin de provocar una respuesta impulsiva, el solicitante advierte que habrá cierta consecuencia negativa si no se actúa con rapidez.

El solicitante insistirá en que la comunicación sea por correo electrónico. Si el delincuente se comunica desde una cuenta de correo electrónico falsificada o hackeada, es fácil para este seguir con la suplantación, ya que la persona objetivo nunca hablará con el ejecutivo o con el asociado comercial por quien el estafador se está haciendo pasar.

Por último, el solicitante insistirá en que la confirmación sea inmediata, una vez más, normalmente por correo electrónico, cuando el pago haya sido realizado. Esto le permite transferir los fondos rápidamente a una cuenta distinta, lo que hace que sea más difícil, si no imposible, recuperar los fondos.

Estrategias de protección

Para defender a tu organización contra las amenazas tipo BEC, debes implementar procedimientos para:

  • Verificar la autenticidad de las solicitudes de pago por correo electrónico o de las solicitudes para cambiar las instrucciones de pago.
  • Validar dicha solicitud directamente con el supuesto solicitante. La verificación debe hacerse mediante el contacto directo con una persona conocida que utilice un número de teléfono conocido. Es muy importante no verificar el pago por correo electrónico ni mediante el número de teléfono proporcionado en el correo electrónico.
  • Traza los flujos de trabajo de tus pagos hasta llegar a la fuente desde la cual ingresa la solicitud a tu organización, a fin de asegurar que tengas implementados los controles adecuados para validar el pago a lo largo de la cadena.
  • Considera utilizar un servicio de verificación de cuenta que equipare el nombre del beneficiario de tu pago con la información conocida referente a la cuenta del beneficiario. Los servicios de verificación de cuenta pueden ayudar a identificar las discrepancias entre el nombre del beneficiario que figura en la cuenta de pago y tu beneficiario previsto, de tal manera que puedas parar, verificar y validar la información antes de liberar los fondos.

Toma de control fraudulenta de la cuenta

Para los propósitos del presente artículo, el término “toma de control fraudulenta de la cuenta” por lo general se refiere al robo de nuestras credenciales de banca en línea (tu “cuenta”), aunque en un sentido amplio se refiere al robo de cualquier credencial en línea que utilices para tener acceso seguro.

La mayoría de los eventos de toma de control fraudulenta de la cuenta comienzan con un ataque de suplantación de identidad mediante el cual, como se mencionó anteriormente, se persuade a un usuario para que abra un archivo adjunto infectado o visite un sitio web malicioso, lo que conduce a una infección de malware. El malware puede presentarse en la forma de registradores de pulsaciones de teclas, los cuales pueden capturar tus credenciales en línea y demás información confidencial. Algunas variedades de malware redirigen a un usuario de banca en línea hacia un sitio falso que parece idéntico a la página legítima de inicio de sesión de la banca en línea. Cuando el usuario desprevenido ingresa sus credenciales, el malware transfiere dichas credenciales al delincuente, quien las utiliza para iniciar sesión en el sitio legítimo.

Cómo reconocer una infección de malware

Una de las manifestaciones más evidentes de una infección de malware que ha redireccionado tu sesión de banca en línea es el uso de “pantallas de detención” para recabar la información adicional que el delincuente necesita para iniciar sesión en el sitio legítimo y mantener al usuario ocupado en el sitio falso. Las pantallas de detención normalmente piden al usuario credenciales adicionales, como respuestas a preguntas de seguridad o códigos de acceso por única ocasión, o bien, solicitan que otro usuario de la banca en línea proporcione sus credenciales de inicio de sesión.

Es posible que incluso se te solicite ingresar tu información de contacto y luego recibas una llamada telefónica unos minutos después afirmando que es del banco, pidiéndote que contestes tus preguntas de seguridad o que proporciones tu código de acceso.

Cómo protegerte contra el malware

Puedes proteger a tu empresa contra estas tácticas al:

  • Verificar que los empleados que inician pagos para tu compañía y que utilizan la banca en línea sean conscientes de estos esquemas fraudulentos para que presten atención a lo que sucede cuando inician sesión en sus portales bancarios.
  • Alentar a los usuarios de la banca en línea a que sean conscientes de los patrones normales de inicio de sesión para que puedan detectar cualquier cosa que sea inusual y llamen al banco de inmediato.
  • Maximizar el uso de las características de seguridad bancaria, incluido el software de protección opcional denominado IBM® Security Trusteer Rapport™, el cual ayuda a protegerte contra las infecciones de malware.
  • Seguir hablando con tu funcionario de administración de tesorería o tu representante de banca, quien podrá revisar tu combinación actual de servicios y el uso que das a las características de seguridad para mejorar tu protección.

Listos para ayudar

Para obtener más perspectivas sobre el riesgo y sobre cómo PNC puede ayudarte a defender tu empresa, contacta a tu funcionario de administración de tesorería o visita pnc.com/accountverificationservices para descargar una copia de nuestra más reciente guía de recursos sobre seguridad cibernética o una infografía sobre la vulneración del correo electrónico empresarial para que te sirva como referencia rápida.