La vulneración del correo electrónico empresarial emerge como herramienta favorita de los estafadores

Usted puede recibir un correo electrónico en el trabajo que a primera vista parece ser legítimo. Proviene de alguien a quien usted conoce, un abogado, un representante de recursos humanos o un proveedor conocido. Incluso parece haber sido enviado por el director ejecutivo.

En realidad, es un correo electrónico con suplantación de identidad, uno creado por un estafador para engañarle y hacer que usted envíe dinero y abra la puerta a su red corporativa. Este tipo de estafa, conocida como vulneración del correo electrónico empresarial (BEC) puede ser uno de los delitos más dañinos en términos financieros en línea, según el FBI.¹

¿Cómo funciona la BEC?

Los estafadores investigan la identidad de sus objetivos, y así pueden falsificar sus identidades, incluso establecer una dirección de correo electrónico que parece ser casi idéntica a la de la víctima. Normalmente, el dominio será diferente solo por una o dos letras, o puede provenir de la dirección de correo electrónico correcta mediante otro dominio.

Una vez que el estafador descifra quién tiene la autoridad para transferir dinero dentro de una compañía, intentarán ganar la confianza al enviar mensajes a esa persona desde la cuenta de correo electrónico falsa. Con frecuencia tienen éxito ya que los destinatarios reconocen al remitente y es posible que no noten la discrepancia en la dirección de correo electrónico.

La estafa no siempre se trata de la transferencia de dinero. Algunas veces, se usa para robar información confidencial, información fiscal o billeteras de criptomonedas.

Las víctimas frecuentes son personas que ocupan puestos en los que pueden autorizar transferencias de fondos:

• Ejecutivos cuya información suele estar disponible públicamente;
• Empleados de finanzas, como controladores y personal de cuentas por pagar, que tienen detalles bancarios, métodos de pago y números de cuenta, y
• Los gerentes de RR. HH. que tienen acceso a los registros de empleados.

¿Por qué es peligroso?

Las pérdidas por BEC son 80 veces mayores que en los esquemas de ransomware mejor conocidos, como CryptoLocker, WannaCry y TeslaCryp, al totalizar más de $2.7 mil millones en el 2022, según el Informe de Delitos preparado por el FBI.²

A pesar del éxito de las estafas de BEC, hay algunas cosas de sentido común que las corporaciones y personas pueden hacer para protegerse.

“Tengo el mismo mensaje para los empleados y clientes”, afirma Brittney DeBrouse, gerenta de personal de Seguridad de Operaciones contra Fraudes Bancarios Corporativos e Institucionales en Seguridad y Tecnología de Empresas de PNC. “Es crucial permanecer alerta ante la amenaza de que el correo electrónico empresarial se vea vulnerado. Es importante nunca tomar un correo electrónico al pie de la letra”. DeBrouse afirma que siempre se debe verificar con cuidado la dirección de correo electrónico para ver si es una suplantación de identidad.

¿Cómo evitar ser engañado por una estafa de BEC?

El FBI proporciona algunos consejos generales para evitar las estafas BEC:

• Verifique la solicitud de cambio de cuenta al usar un canal diferente. Por ejemplo, puede hacer una llamada telefónica si recibe la solicitud por correo electrónico;
• Asegúrese de que la URL de los correos electrónicos esté asociada con la empresa o persona que los envía;
• Manténgase alerta a los hipervínculos que puedan incluir faltas de ortografía de los nombres de dominio reales;
• Absténgase de proporcionar credenciales de inicio de sesión o información de identificación personal (IIP) de cualquier tipo mediante correo electrónico. La IIP es la información que, cuando se usa sola o con otros datos relevantes, puede identificar a una persona y finalmente ser usada para el fraude de suplantación de identidad. Sea consciente de que muchos correos electrónicos que solicitan su IIP pueden parecer legítimos, pero siempre se recomienda ser cauteloso con su IIP; y
• Verifique la dirección de correo electrónico cuando reciba cualquier correo electrónico, especialmente al usar un dispositivo móvil o portátil asegurándose de que la dirección del remitente coincide con este.

Si usted cree que ha sido víctima, es fundamental hacer la denuncia lo antes posible. Los delincuentes explotan el tiempo entre la vulneración y la respuesta para hacer tanto daño como sea posible. El tiempo es esencial. Las mejores prácticas indican que usted haga lo siguiente:

• Monitoree las cuentas financieras personales con frecuencia regular para detectar cualquier irregularidad, como depósitos perdidos; y
• Una vez que haya identificado una anormalidad que sugiera una posible vulneración, debe comunicarse de inmediato con su banco para que su cuenta se pueda bloquear e inmediatamente denuncie el asunto ante el Centro de Quejas para Delitos en Internet del FBI.

Para denunciar correos electrónicos sospechosos, envíe un mensaje a abuse@pnc.com. Obtenga más información sobre BEC y otros tipos de delitos por Internet visitando el Centro de Quejas para Delitos en Internet del FBI. También puede visitar el Centro de Seguridad y Privacidad de PNC para obtener actualizaciones sobre estafas actuales y las mejores prácticas para proteger sus cuentas, datos y a sus clientes.