¿Qué es el Business Email Compromise (BEC) y cómo prevenirlo?

Internet se ha convertido en el motor de la interacción entre empresas y clientes, mientras que el correo electrónico sigue siendo la herramienta más popular para la comunicación empresarial formal. Por desgracia, también es la forma más frágil de intercambiar mensajes y datos sensibles. El correo electrónico es propenso a los ataques de phishing y spam, y el Business Email Compromise (BEC) causa cuantiosas pérdidas financieras y daños a la reputación.

Estamos en medio de una transición digital y tecnológica que trastorna las economías y cambia el tejido mismo de la sociedad. Los últimos avances en Inteligencia Artificial y los retos pospandémicos empujan a las empresas a mejorar su presencia en línea y a buscar nuevas oportunidades en zonas inexploradas. Al mismo tiempo, los ciberdelincuentes urden nuevos planes para perpetrar estafas devastadoras y frenar el progreso.

Este artículo aborda el fraude BEC y ofrece consejos para proteger su empresa contra los ciberataques. Entremos de lleno en materia.

Índice

1. ¿Qué es un correo electrónico comercial comprometido?
2. ¿Cómo funcionan los ataques BEC?
3. Ejemplos de correos electrónicos comerciales comprometidos
4. ¿Quiénes son los destinatarios más frecuentes de los correos electrónicos de tipo BEC?
5. ¿Qué tipos de estafas de compromiso del correo electrónico empresarial existen?
6. ¿En qué se diferencia un ataque BEC de un típico correo electrónico de phishing?
7. ¿Por qué es importante prevenir el compromiso del correo electrónico empresarial?
8. ¿Cómo evitar que el correo electrónico empresarial se vea comprometido?
9. ¿Qué hacer si ha caído en una estafa BEC?
10. Estadísticas de compromiso del correo electrónico empresarial
11. Reflexiones finales

¿Qué es un correo electrónico comercial comprometido?

Un correo electrónico de empresa comprometido es un tipo de ciberataque en el que los estafadores se hacen pasar por un ejecutivo o empleado de la empresa para engañar a las personas de una organización para que realicen acciones que beneficien al atacante. Los ataques BEC suelen afectar a las comunicaciones por correo electrónico y pueden provocar importantes pérdidas económicas a las empresas.

¿Cómo funcionan los ataques BEC?

El atacante comienza recopilando información sobre la organización objetivo, como nombres de empleados, cargos y direcciones de correo electrónico, a través de diversos medios, como ingeniería social, sitios web públicos o robo de datos.

A continuación, el atacante suplanta o se hace pasar por una cuenta de correo electrónico legítima dentro de la organización, como la de un ejecutivo de alto nivel o un director general. A menudo crean una dirección de correo electrónico similar a la auténtica, utilizando ligeras variaciones o faltas de ortografía que los destinatarios podrían pasar por alto.

Además, los atacantes utilizan técnicas de ingeniería social para manipular a la víctima para que realice una acción deseada. Pueden aprovechar la confianza, la autoridad o la urgencia del destinatario para aumentar las posibilidades de éxito. Por ejemplo, el atacante podría hacerse pasar por el director general y solicitar una transferencia urgente a una cuenta bancaria fraudulenta específica para un negocio urgente.

Uno de los trucos más antiguos pero más eficaces de los estafadores es sembrar el engaño y la urgencia en la mente de su objetivo. Pueden utilizar frases como “confidencial”, “urgente” o “estrictamente confidencial” para añadir credibilidad y presionar al destinatario para que se salte los procedimientos de seguridad estándar.

Los empleados con acceso a información financiera o con autoridad para iniciar transacciones son especialmente propensos a las estafas que comprometen el correo electrónico empresarial. Puede tratarse de personas de los departamentos de finanzas o contabilidad o de empleados responsables de gestionar las relaciones con los proveedores. El objetivo es convencerles de que transfieran fondos, revelen información confidencial o cambien las instrucciones de pago.

Ejemplos de correos electrónicos comerciales comprometidos

Los ataques contra el correo electrónico empresarial son implacables. Tanto si se trata de una empresa local como de una gran corporación internacional, nadie está a salvo del próximo gran ataque a menos que se tomen todas las medidas preventivas y se tome conciencia de la ciberseguridad. Sin embargo, está en la naturaleza de los seres humanos confiar los unos en los otros, y los ejemplos que siguen lo ilustran perfectamente:

Fiasco de Facebook y Google

En lo que podría considerarse el ataque de ingeniería social más sonado de todos los tiempos, Evaldas Rimasauskas y sus socios convencieron a empleados de Google y Facebook para que pagaran facturas de bienes y servicios que el fabricante había suministrado realmente a una cuenta falsa, defraudando a las grandes empresas tecnológicas más de 100 millones de dólares.

Si las estafas BEC pueden producirse a este nivel, imagínese lo susceptible que es el resto del panorama empresarial en el que los empleados carecen de concienciación y vigilancia en materia de ciberseguridad. Los costes y daños derivados de los ataques BEC ascienden a miles de millones en un año natural.

Toyota se une al club de las víctimas del BEC

En 2019, Toyota, un nombre muy conocido en la industria automotriz, fue víctima de un asombroso ataque de 37 millones de dólares de Business Email Compromise. Este incidente puso de manifiesto la vulnerabilidad a la que se enfrentan incluso las grandes empresas cuando se trata de ciberamenazas.

A pesar de la importante suma de que se trataba, los autores consiguieron engañar a un empleado de la filial europea de Toyota, logrando transferir los fondos sin ser detectados. Los críticos sostienen que Toyota, dado su tamaño e influencia, debería haber estado más atenta para reconocer las señales de esta estafa generalizada.

El Gobierno de Puerto Rico transfiere millones a estafadores

Tras el fuerte terremoto de magnitud 6,4 que sacudió Puerto Rico a principios de 2020, el gobierno puertorriqueño cayó presa de una astuta estafa de BEC, dejándoles tambaleándose por las consecuencias.

El protagonista de este desafortunado incidente fue Rubén Rivera, director financiero de la Compañía de Fomento Industrial de Puerto Rico. Transfirió inadvertidamente más de 2,6 millones de dólares a una cuenta bancaria fraudulenta.

La trama se desveló a través de un correo electrónico que llegó a la bandeja de entrada de Rivera, en el que supuestamente se le informaba de un cambio en la cuenta bancaria asociada a los pagos de remesas. Lo que hizo que este correo electrónico fuera especialmente insidioso fue su origen: la cuenta de correo electrónico comprometida de un empleado del Sistema de Retiro Laboral de Puerto Rico. Sin que Rivera lo supiera, este mensaje aparentemente inocuo no era más que una artimaña hábilmente urdida por los estafadores.

Tres empleados fueron suspendidos a la espera de que se investigara su posible implicación. Afortunadamente, el FBI congeló rápidamente las ganancias mal habidas, incluidos los fondos públicos de pensiones.

¿Quiénes son los destinatarios más frecuentes de los correos electrónicos de tipo BEC?

Los ataques BEC suelen dirigirse a personas u organizaciones implicadas en transacciones financieras. Los principales objetivos suelen ser contables, responsables financieros o personal encargado de las nóminas.

Los atacantes de BEC suelen hacerse pasar por directores generales, directores financieros o altos ejecutivos para aprovecharse de su autoridad e influencia. Su objetivo son estas personas porque suelen tener acceso a los fondos de la empresa y pueden autorizar transacciones importantes.

Los empleados que participan en actividades de adquisición o compra, como los responsables de compras o los compradores, también son víctimas fáciles y frecuentes, ya que los estafadores suelen hacerse pasar por proveedores que solicitan transferencias de fondos. El personal de recursos humanos también es vulnerable a las estafas BEC, ya que almacena información sensible de los empleados, como números de la seguridad social, detalles de cuentas bancarias o datos personales.

Por último, una estafa de compromiso del correo electrónico empresarial puede tener como objetivo a los administradores de TI para obtener acceso no autorizado a las cuentas de correo electrónico o poner en peligro los sistemas internos. Al comprometer estas cuentas, pueden vigilar las comunicaciones, interceptar información sensible o enviar correos electrónicos fraudulentos desde fuentes de confianza.

Los ataques BEC son muy adaptables, y los atacantes evolucionan continuamente sus tácticas. Cualquier persona con acceso a recursos financieros o datos valiosos dentro de una organización puede convertirse en un objetivo. Como resultado, la protección contra el compromiso del correo electrónico empresarial debería ser una prioridad absoluta para todas las organizaciones, independientemente de su tamaño y nicho.

¿Qué tipos de estafas de compromiso del correo electrónico empresarial existen?

Las estafas BEC abarcan diversas tácticas que los atacantes utilizan para engañar a particulares y organizaciones. He aquí algunos tipos comunes de estafas BEC:

• Fraude del director general: En esta estafa, el atacante se hace pasar por un ejecutivo de alto nivel, normalmente el CEO u otro ejecutivo con autoridad, y envía un correo electrónico a un empleado dándole instrucciones para realizar un pago urgente o transferir fondos a una cuenta específica. El correo electrónico parece legítimo y a menudo incluye el nombre del ejecutivo, su firma e información personal obtenida mediante ingeniería social.
• Esquema de facturas falsas: Los estafadores atacan a empresas que realizan transacciones periódicas con proveedores o vendedores. Interceptan facturas legítimas y modifican la información de la cuenta bancaria, redirigiendo los pagos a sus cuentas bancarias fraudulentas. Las facturas alteradas suelen parecer idénticas a las originales, lo que dificulta su detección.
• Suplantación de abogado: En este caso, los embaucadores se hacen pasar por abogados o representantes legales. Envían correos electrónicos a personas implicadas en transacciones comerciales, pleitos, fusiones y adquisiciones. Los correos electrónicos suelen afirmar que un asunto confidencial requiere atención urgente, como una transferencia de fondos a una cuenta designada y controlada para liquidaciones u honorarios legales.
• Suplantación de empleados: Los atacantes se hacen pasar por empleados de una organización y envían correos electrónicos solicitando información confidencial, como registros de empleados, formularios W-2 o datos financieros. Pueden hacerse pasar por personal de recursos humanos, responsables de nóminas o colegas.
• Compromiso de la cuenta: En este escenario, los atacantes obtienen acceso no autorizado a la cuenta de correo electrónico de un empleado. Lo controlan para recopilar información, identificar transacciones financieras en curso y, a continuación, enviar correos electrónicos fraudulentos para redirigir fondos o cambiar las instrucciones de pago.

¿En qué se diferencia un ataque BEC de un típico correo electrónico de phishing?

Business Email Compromise vs phishing tiene muchas similitudes. Tanto los correos electrónicos de phishing como los ataques BEC implican correos electrónicos engañosos. Un ataque típico de phishing tiene como objetivo engañar a los individuos para que revelen información personal, mientras que un ataque BEC se dirige a las empresas e intenta engañar a los empleados para que realicen acciones que beneficien a los ciberdelincuentes.

Los ataques BEC son más sofisticados. En un ataque BEC, los ciberdelincuentes intentan hacerse pasar por alguien de la organización, como un director general, un gerente o un proveedor de confianza, para engañar a los empleados y hacer que realicen transferencias a cuentas fraudulentas, compartan información confidencial de la empresa o incluso cambien los datos de la cuenta.

¿Por qué es importante prevenir el compromiso del correo electrónico empresarial?

Los ataques BEC pueden provocar importantes pérdidas económicas a las organizaciones. Los atacantes suelen hacerse pasar por ejecutivos de alto nivel o socios comerciales de confianza, engañando a los empleados para que inicien transferencias bancarias o revelen información financiera confidencial.

Además, las estafas BEC pueden dañar la reputación de una empresa. Si los clientes, socios o partes interesadas se enteran de que una organización carece de las medidas de seguridad y la concienciación adecuadas, puede erosionar la confianza en la capacidad de la empresa para proteger la información confidencial. Esta pérdida de reputación puede provocar una menor fidelidad de los clientes, reducir las oportunidades de negocio y dificultar la captación de nuevos clientes.

Los ataques BEC también pueden dejar al descubierto datos sensibles e información personal, lo que puede acarrear graves consecuencias legales y normativas. Las filtraciones de información personal identificable (IPI) pueden dar lugar a acciones legales, sanciones económicas y daños a las personas afectadas por la filtración. Business Email Compromise prevention ayuda a las organizaciones a minimizar el riesgo de robo de datos y a mantener su compromiso de proteger la privacidad de los clientes.

¿Cómo evitar que el correo electrónico empresarial se vea comprometido?

Como puede ver, los ataques BEC están arrasando el mundo con una frecuencia cada vez mayor, por lo que es imperativo detectarlos desde el principio. He aquí cinco soluciones eficaces contra el compromiso del correo electrónico empresarial que evitarán futuros ataques.

1. Conoce a tu enemigo y sus planes

Los delincuentes parecen genios si consiguen una estafa masiva, pero los empleados descuidados deberían llevarse todo el mérito. La mayoría de los BEC se basan en las mismas tácticas y manipulaciones subyacentes, por lo que detectarlos debería ser algo natural después de aprender las estrategias comunes de los BEC.

La mayor señal de alarma es una falsa sensación de urgencia. Los atacantes, que suelen hacerse pasar por ejecutivos, supervisores o jefes de contabilidad, solicitan el pago de facturas enviando correos electrónicos falsos a las víctimas e instándolas a transferir dinero para cerrar un trato comercial. He aquí un ejemplo clásico:

Hola Ben,

Estoy reunido ahora mismo con [Company Name]. Parece que nuestra última factura fue a su antigua cuenta. Si no dispone de los datos de su nueva cuenta, se los facilito a continuación. Por favor, paguen AHORA, para que pueda decirles que está hecho.

Número de cuenta: 94567868900

Código Sort: 45-20-30 ¡Gracias!

Andrew, CAO de [Your Company Name].

Parece bastante convincente, ¿verdad? Pero lo que les delata es el nombre de dominio incorrecto. Siempre hay que comprobar la dirección del remitente antes de responder y enviar dinero. A primera vista, el mensaje procede de un dominio creíble, pero está ligeramente alterado para pillarte desprevenido. Así, en lugar de @microsoft.com, la dirección falsa podría ser @micr0soft.com o @microsott.com.

Otra táctica habitual de los BEC es la suplantación de identidad de vendedores. Se trata de estafadores que suplantan a uno de los proveedores de la empresa. Este ataque es más complicado porque los datos del remitente son correctos y la transacción parece legítima. La mala noticia es que los estafadores han pirateado la cuenta de correo electrónico del vendedor. La buena noticia es que puede evitar el fraude comprobando dos veces el número de cuenta del vendedor, ya que diferirá del habitual. Si algo no encaja, ponte en contacto con la empresa por teléfono y pídeles que confirmen la transacción.

2. Eduque a sus empleados para detectar los ataques Bec

Sin una formación adecuada sobre ciberseguridad y estafas BEC, tarde o temprano será víctima de ellas. Los empleados deben dominar los correos electrónicos de phishing y ser plenamente conscientes de los enormes riesgos e implicaciones de estos ataques. Realice simulacros de phishing con regularidad y recuerde a los empleados que verifiquen la autenticidad de los correos electrónicos, especialmente los que resulten sospechosos. Esto es a lo que deben prestar atención:

• El tono del mensaje. Si es urgente, deben dar un paso atrás e inspeccionar detenidamente la dirección de correo electrónico y su contenido.
• La información del remitente no coincide con la dirección de correo electrónico.
• Faltas de ortografía, errores tipográficos y gramática deficiente.
• Enlaces y archivos adjuntos no solicitados.

3. Utilice contraseñas seguras y active la autenticación de dos factores

Una política de contraseñas garantiza que todos los usuarios utilicen contraseñas seguras (es decir, de al menos 12 caracteres con letras mayúsculas y minúsculas, números y caracteres especiales). La autenticación de dos factores (2FA) es una capa adicional de seguridad para impedir el acceso no autorizado a una cuenta de correo electrónico si la contraseña se ha visto comprometida.

4. Ponte técnico. Proteja su correo electrónico con medidas antifraude

Una de las formas más eficaces de protegerse contra los ataques por correo electrónico es instalar unapasarela de correo electrónico seguro (SEG). Este dispositivo o software supervisa la actividad del correo electrónico e impide que el spam, el malware y los virus lleguen a la bandeja de entrada. SEG también puede detectar y bloquear dominios de phishing, y puede añadir palabras clave comunes utilizadas en los BEC, y marcarlas como sospechosas.

Otra medida de seguridad es utilizar métodos de autenticación del correo electrónico como SPF, DKIM y DMARC.

• Con Sender Policy Framework (SPF), puede añadir un registro DNS para autorizar las direcciones IP que pueden enviar correos electrónicos en nombre de su dominio.
• DKIM significa DomainKeys Identified Mail y funciona con SPF para detectar correos electrónicos falsificados. DKIM firma sus correos electrónicos salientes para que los destinatarios puedan verificar su legitimidad.
• DMARC (autenticación, notificación y conformidad de mensajes basados en dominios). DMARC utiliza los protocolos de autenticación SPF y DKIM para verificar los correos electrónicos enviados desde el dominio de la organización.

5. Cifrar correos electrónicos y documentos con un certificado S/MMIME

Los certificados de correo electrónico siguen la norma S/MIME (Secure/Multipurpose Internet Mail Extensions) y proporcionan autenticación e integridad.

S/MIME permite cifrar de extremo a extremo todos los mensajes salientes y bloquea los intentos de suplantación de identidad confirmando la identidad del remitente y garantizando que el contenido del mensaje no ha sido alterado.

Con S/MIME, la transmisión deja de ser en texto plano y vulnerable a los ataques de intermediario. Lo mejor de todo es que los certificados S/MIME son compatibles con los clientes de correo electrónico modernos y cumplen la FDA ESG. Puede obtener un certificado S/MIME de SSL Dragon. Tenemos opciones para particulares y empresas de todos los tamaños.

¿Qué hacer si ha caído en una estafa BEC?

Oh no, usted piensa que puede haber respondido a un correo electrónico BEC. Que no cunda el pánico. Esto es lo que debes hacer:

1. Si su empresa dispone de protocolos de seguridad BEC, sígalos según sus directrices de formación.
2. Avise inmediatamente a su departamento informático.
3. Llama a tu banco y pídeles que suspendan todas las transacciones
4. Revise sus extractos de cuenta para detectar cualquier actividad sospechosa.
5. Informe del incidente a las autoridades competentes. En Estados Unidos, póngase en contacto con la oficina local del FBI para denunciar el delito.

Estadísticas de compromiso del correo electrónico empresarial

He aquí algunas estadísticas que le harán temblar:

• En 2022, el FBI registró un total de 21.832 denuncias relacionadas con BEC, que dieron lugar a pérdidas estimadas superiores a 2.700 millones de dólares.
• Las pérdidas globales expuestas por fraude BEC experimentaron un aumento significativo del 65% en comparación con el periodo anterior.
• Sólo el 2,1% de los ataques conocidos son comunicados al equipo de seguridad por los empleados
• El 65% de las organizaciones se enfrentaron a ataques BEC en 2020
• El 27% de las infracciones por ingeniería social se debieron a pretextos, y la mayoría de estos incidentes se atribuyeron a ataques BEC.
• Uno de cada cinco empleados cae en estafas de phishing y responde a correos electrónicos sospechosos.
• La estafa BEC más común es el fraude de facturas o pagos.
• La cantidad media solicitada en los ataques BEC por transferencia bancaria fue de 72.000 dólares, mientras que la pérdida máxima alcanzó los 999.600 dólares en 2021.

Reflexiones finales

Las estafas de compromiso del correo electrónico empresarial seguirán existiendo mientras exista Internet. La principal razón de su éxito es que la naturaleza humana es propensa a las manipulaciones y las tácticas encubiertas. Los BEC son más psicológicos que técnicos. Siguen un plan probado que se basa en gran medida en el descuido, la sumisión a la autoridad y la falta de concienciación sobre la ciberseguridad.

Le mostramos cómo detectar y prevenir las estafas BEC antes de que sea demasiado tarde. Ahora te toca a ti tomar medidas y ponerlas en práctica para la seguridad general del correo electrónico cada vez que abras un nuevo mensaje.