Cómo prevenir el fraude BEC y mantener seguro tu correo electrónico empresarial

El Fraude BEC (Business Email Compromise, por sus siglas en inglés) es una forma de cibercrimen altamente especializada que involucra el uso de correos electrónicos fraudulentos para engañar a organizaciones y personas trabajadoras con el objetivo de obtener fondos o información sensible. Este tipo de fraude se ha convertido en una amenaza significativa para las empresas de todo el mundo debido a su capacidad para evadir medidas de seguridad tradicionales y la alta tasa de éxito en términos de daño financiero. Las y los ciberdelincuentes suplantan la identidad de un ejecutivo o ejecutiva, persona empleada, proveedor o clientela de confianza de una empresa para engañar a otras personas empleadas y que les transfieran dinero o revelen información confidencial.

Tipos de fraude BEC

Hay varios tipos de fraude BEC, por lo que hay que tener cuidado con todos ellos. En este artículo queremos destacar los siguientes:

• Fraude del CEO: La o el delincuente manda un mail a un empleado de alto nivel, haciéndose pasar por la o el CEO de la empresa. El correo le solicita que realice una transferencia bancaria urgente o que revele información confidencial. La persona trabajadora, creyendo que está siguiendo las instrucciones del CEO, cumple con la solicitud.
• Fraude de Proveedores: La persona estafadora envía un mail a una persona empleada del departamento de contabilidad, haciéndose pasar por un proveedor legítimo. El correo incluye una factura modificada, generalmente del proveedor real e, incluso, con conceptos habituales, pero en los que ha cambiado la cuenta bancaria para el pago. El trabajador o trabajadora, sin verificar la información, realiza el pago a la cuenta del delincuente.
• Compromiso de Cuenta de Correo (EAC): La persona atacante obtiene acceso a la cuenta de correo electrónico de una persona empleada o ejecutivo o ejecutiva de la empresa. Utiliza la cuenta comprometida para enviar emails fraudulentos a otras personas trabajadoras, clientes o proveedores aprovechando habitualmente hilos de correos legítimos que encuentra en la cuenta de correo comprometida.
• Fraude de abogado: El estafador o estafadora envía un correo electrónico a una persona empleada, haciéndose pasar por un abogado o abogada de la empresa, donde le informa sobre un asunto legal urgente y le solicita que realice un pago inmediato o que revele información confidencial. La persona trabajadora, preocupada por tratarse de un asunto legal, cumple con las solicitudes.
• Fraude del departamento informático: El o la delincuente envía un correo a una persona empleada, haciéndose pasar por un o una representante del departamento informático, donde le solicita que actualice su información personal o que haga clic en un enlace para acceder a un portal web. Cuando la persona trabajadora abre el link o proporciona su información, la o el estafador roba sus datos personales o infecta su dispositivo con malware o ransomware.

Consecuencias

El Fraude BEC puede tener terribles consecuencias para las empresas e instituciones que lo sufren, tanto en términos económicos como reputacionales y legales. Estas son las más destacadas.

Pérdidas financieras

• Transferencias bancarias fraudulentas: Pérdida de grandes sumas de dinero debido a transferencias bancarias a cuentas controladas por las personas atacantes.
• Robo de datos de pago: Los estafadores y estafadoras pueden obtener información de tarjetas de crédito, cuentas bancarias y otros métodos de pago, lo que puede ocasionar fraudes y cargos no autorizados

Daños a la reputación

• Pérdida de confianza: Puede perder la confianza de sus clientes y proveedores, lo que puede dañar su reputación y afectar negativamente a sus relaciones comerciales a medio plazo.
• Daño a la imagen de marca: La publicidad negativa asociada a un ataque BEC puede dañar la imagen de marca de la empresa y dificultar la captación de nueva clientela, socios y socias e incluso personas trabajadoras.

Consecuencias legales

• Sanciones y multas: Las empresas pueden recibir sanciones y multas por incumplimiento de normativas de seguridad de datos y ciberseguridad.
• Demandas legales: La clientela, socios y socias o personas empleadas afectadas pueden presentar demandas legales contra la empresa por la pérdida de fondos o información personal.
• Auditorías y revisiones: Las agencias gubernamentales pueden llevar a cabo auditorías y revisiones exhaustivas para determinar la causa del incidente y evaluar las medidas de seguridad de la empresa

Prevención

Por todo lo anteriormente mencionado, es muy importante protegerse de manera efectiva contra el ataque al correo electrónico empresarial, tanto para las empresas como para las personas empleadas.

Para las empresas

• Implementar medidas de seguridad: Filtros de correo electrónico, autenticación de dos factores, autenticación multifactor (MFA) y formación para personas trabajadoras sobre las estafas BEC.
• Establecer protocolos claros: Para la aprobación de pagos y la modificación de información de cuentas bancarias.
• Educar a las personas empleadas: Crear conciencia sobre el fraude BEC y cómo identificarlo. Educar sobre ciberseguridad y llevar a cabo simulacros de phishing para detectar y prevenir ataques.

Para las personas trabajadoras

• Cuidado con los emails urgentes: Desconfiar de solicitudes de pago inmediatas, cambios en la información de cuentas bancarias o divulgación de información confidencial.
• Contactar al remitente por otro canal: Si algo parece sospechoso, confirmar la solicitud con el supuesto remitente por teléfono o en persona.
• Verificar la dirección de correo: Los estafadores y estafadoras pueden usar direcciones similares a las reales, pero no son auténticas.
• No abrir enlaces ni archivos adjuntos: Podrían contener malware, ransomware o documentos fraudulentos.
• Denunciar mails sospechosos: Informar al departamento de seguridad informática de la empresa.

El Fraude BEC representa una amenaza constante para las empresas de todo el mundo, que genera muchos ataques diarios, aunque en las noticias sólo trasciendan los casos más destacados. A través de la combinación de sofisticadas técnicas de ingeniería social y suplantación de identidad, las personas atacantes logran evadir muchas de las defensas cibernéticas tradicionales. Si bien el objetivo principal del BEC suele ser el estafar a las personas trabajadoras o clientela de la compañía, el compromiso de una cuenta de correo puede ser una puerta trasera para poder ejecutar ataques más sofisticados como la distribución de malware, que, a su vez, pueden derivar en consecuencias como Ransomware, APTs...

Por eso hay que protegerse y prevenir, al mismo tiempo que educar y concienciar a las personas trabajadoras sobre la importancia de la ciberseguridad. Si tienes interés en ampliar tus conocimientos sobre este tipo de estafa, puedes hacerlo en la web de la Agencia Vasca de Ciberseguridad.