Vulneración y falsificación del correo electrónico empresarial de las pequeñas empresas

La comunicación y la validación son la clave para la protección

Cuando una empleada de cuentas por pagar de una pequeña compañía de fabricación recibió un correo electrónico urgente del director ejecutivo de la empresa para que realizara la transferencia electrónica de un monto significativo de dinero de inmediato a una cuenta desconocida, su instinto de confirmar los detalles fue desviado cuando se le informó en un correo electrónico de seguimiento que los fondos eran necesarios para una adquisición que debía completarse de prisa o se desaprovecharía la oportunidad. Después de haber realizado la transferencia de $250,000, se descubrió que el director ejecutivo no había iniciado la solicitud, su cuenta de correo electrónico había sido tomada por un estafador que desapareció con los fondos.

La vulneración del correo electrónico empresarial es un tipo de fraude cometido a través de correo electrónico, mediante el cual se engaña a la empresa para que transfiera fondos a cuentas controladas por los delincuentes o para que entregue datos confidenciales, como los nombres, direcciones y números de seguro social de los empleados. Aunque los estafadores se centran en empresas de todos los tamaños, las pequeñas empresas con frecuencia no cuentan con la escala ni los recursos para implementar un programa sofisticado de seguridad cibernética. Sin embargo, las pequeñas empresas no son indefensas. Estas medidas de precaución básicas pueden ayudar a prevenir la vulneración del correo electrónico empresarial.

Denuncie el fraude

Todos los casos de vulneración del correo electrónico empresarial se deben denunciar, sin importar su grado de relevancia, a fin de advertir a las autoridades sobre la actividad. Denuncia cualquier actividad de fraude en línea o de vulneración del correo electrónico empresarial al Centro de Denuncias de Delitos en Internet de la Oficina Federal de Investigaciones. Si bien es posible que un caso específico no se solucione por completo, las autoridades obtienen más perspectivas sobre los patrones y los atacantes al recibir múltiples denuncias.

Además, debes contactar a tu institución financiera si se descubre una transferencia fraudulenta a fin de explorar la posibilidad de recuperar los fondos.

Para obtener más información referente a la ciberseguridad de las pequeñas empresas, visita el sitio web de la Comisión Federal de Comercio.

Cómo funciona

La vulneración del correo electrónico empresarial, o BEC (por sus siglas en inglés), ocurre cuando alguien falsifica una dirección de correo electrónico legítima para autorizar la divulgación de información confidencial o realizar la transferencia de fondos a cuentas administradas por delincuentes. El estafador secuestra o falsifica (suplanta) la cuenta de correo electrónico de un ejecutivo que cuenta con autorización para dar instrucciones a otros empleados para que generen pagos, como transferencias de dinero electrónico o una transferencia a través de la cámara de compensación automatizada (ACH, por sus siglas en inglés).

En ocasiones, los estafadores suplantan a proveedores legítimos y engañan a las víctimas incautas (empresas de todos los tamaños) para que redirijan los pagos futuros a una cuenta diferente, la cual es abierta y controlada por estafadores. Algunos de los motivos que mencionan con respecto a la apertura de cuentas nuevas incluyen el traslado de su cuenta empresarial a un banco distinto o porque la cuenta que se utiliza habitualmente se ha sometido a una auditoría.

El empleado cree que las instrucciones contenidas en el correo electrónico son legítimas y completa la transferencia de fondos según lo solicitado, depositando los fondos de la compañía sin saberlo a las cuentas bancarias controladas por el estafador.

Tipos de ataques

El estafador necesita cierta información crítica para poder suplantar exitosamente la cuenta de correo electrónico real del ejecutivo o proveedor legítimo para iniciar la transferencia fraudulenta de fondos o datos:

Falsificación de una cuenta de correo electrónico o sitio web

El uso de ligeras variaciones de una dirección legítima engaña a una víctima, haciéndola pensar que las cuentas falsas son auténticas, por ejemplo, sustituyendo una “L” minúscula en el nombre de la compañía por el número uno (1). Por ejemplo, el ciberdelincuente puede utilizar ese correo electrónico falsificado para solicitar que se modifique la información de la cuenta bancaria de un proveedor.

Envío de correos electrónicos de spear phishing

Un ataque de spear phishing (ataque de phishing focalizado) tiene la finalidad de engañar a los empleados para que divulguen información sensible o brinden acceso inconscientemente a un sistema informático al enviar mensajes falsos que parecen ser legítimos. Una campaña de suplantación de identidad dirigida a destinatarios específicos se centra en una persona o grupo en particular, como los empleados de una compañía específica. Los atacantes pueden utilizar la información disponible en los perfiles de redes sociales para obtener conocimiento sobre la fuerza laboral, la jerarquía organizacional, la tecnología y los canales de comunicación de las empresas para así abordarlas mediante una campaña de suplantación de identidad o ingeniería social para adquirir información confidencial.

Uso de malware

El software malicioso vulnera las redes de la compañía para acceder a la información referente a los procesos de facturación de una empresa, los cuales serán explotados por el estafador, o bien, este podrá acceder a los datos de la víctima sin ser detectado, lo que incluye contraseñas e información de la cuenta financiera.

Suplantación de proveedores

Muchos de los esquemas de suplantación de proveedores implican contratos que se adjudican públicamente. Normalmente, hay disponible información de dominio público referente a los licitadores exitosos que pueden ser suplantados fácilmente a través de sitios web con ligeras modificaciones, a menudo utilizando imágenes, logotipos, etc. legítimos obtenidos del sitio web legítimo de la víctima. A menudo, después también se abren cuentas de correo electrónico utilizando pequeñas variaciones del sitio web o correo electrónico legítimo. Un ejemplo podría ser un sitio web legítimo que utilice www.abctolls.com frente a un sitio web estafador que haya sido abierto utilizando www.abctoolsinc.com.

Vulneración de la cuenta de correo electrónico

Los delincuentes adquieren las credenciales válidas de una cuenta de correo electrónico legítima de la compañía. Posteriormente envían un correo electrónico a un cliente de la compañía, a menudo incluyendo nueva información de pago. Todo cambio a la información de pago debe ser verificado a través de otro canal de comunicación de confianza y utilizado antes de haber recibido este correo electrónico de información de pago nueva. La mejor defensa para prevenir que las cuentas de correo electrónico se pongan en riesgo es que el correo electrónico cuente con autenticación multifactorial.

Señales de advertencia

  • Un empleado recibe un correo electrónico de un ejecutivo o gerente de mayor rango mediante el cual se le solicita que procese una factura a la brevedad, que cambie el destinatario de un pago o que proporcione datos confidenciales.
  • El mensaje es urgente y presiona al empleado para que omita las políticas y los procedimientos estándar.
  • El correo electrónico viene de la cuenta personal del ejecutivo o gerente en vez de venir de su cuenta de la compañía.
  • La dirección de correo electrónico del remitente es una variación de las direcciones de correo electrónico reales de la compañía.

Consejos para los empleadores

  • Desarrollar una cultura que motive a los empleados a verificar las instrucciones directamente con los ejecutivos que tienen la autorización para aprobar pagos antes de liberar fondos.
  • Establecer prácticas y políticas básicas de seguridad para los empleados, por ejemplo, exigir el uso de contraseñas seguras y autenticación multifactorial para que los empleados accedan a las áreas de la red que contiene información confidencial.
  • Brindar capacitación al personal con respecto a la vulneración del correo electrónico empresarial y cómo identificar los correos electrónicos falsificados y de suplantación de identidad dirigida a destinatarios específicos.
  • Implementar la separación de obligaciones, es decir, el mismo empleado no debe tener la capacidad de iniciar y aprobar el movimiento de dinero.

Consejos para los empleados

  • Llama al ejecutivo/gerente correspondiente para solicitar la validación o aclaración de las solicitudes de pago inusuales antes de autorizar las transacciones o revelar datos sensibles, como los registros de personal. Usa un teléfono de conocimiento público.
  • Confirmar verbalmente las instrucciones enviadas por correo electrónico por un vendedor o proveedor para cambiar los métodos de pago o la información bancaria. Llámalos a un teléfono de conocimiento público.
  • No te desvíes de las políticas y procedimientos establecidos en relación con los pagos, la transferencia de fondos o la divulgación de datos sensibles.
  • Comprueba cuidadosamente la dirección de correo electrónico de cualquier persona que solicite una transferencia de fondos o datos sensibles; los estafadores pueden variar ligeramente una dirección auténtica, añadiendo una letra o cambiando la puntuación para que parezca legítima.
  • Se cauteloso a la hora de compartir información específica sobre tu trabajo en las redes sociales. Los atacantes pueden utilizar la información de su perfil para conocer su compañía, su función y la tecnología que se utiliza, y abordarlo con campañas de suplantación de identidad o de ingeniería social para ejecutar este tipo de fraude.
Descargar consejos para ayudarle a evitar la vulneración y falsificación del correo electrónico de pequeñas empresas