Estos artículos tienen como fin brindar información general solamente, por lo que no tienen la finalidad de proporcionar asesoría legal, fiscal, contable ni financiera. PNC insta a sus clientes a realizar investigaciones independientes y a consultar con profesionales de seguridad, financieros y legales antes de tomar cualquier decisión financiera. Este sitio puede proporcionar referencias a sitios de Internet para la comodidad de nuestros lectores. Si bien PNC se esfuerza por proporcionar recursos seguros y de confianza, no somos responsables de la información, los productos o los servicios que se obtengan en ellos, y tampoco seremos responsables de los daños que surjan por haber entrado a esos sitios. El contenido, la exactitud, las opiniones expresadas y los enlaces proporcionados por dichos recursos no son investigados, verificados, supervisados ni patrocinados por PNC.
Vulneración y falsificación del correo electrónico empresarial de las pequeñas empresas
La comunicación y la validación son la clave para la protección
Cuando una empleada de cuentas por pagar de una pequeña compañía de fabricación recibió un correo electrónico urgente del director ejecutivo de la empresa para que realizara la transferencia electrónica de un monto significativo de dinero de inmediato a una cuenta desconocida, su instinto de confirmar los detalles fue desviado cuando se le informó en un correo electrónico de seguimiento que los fondos eran necesarios para una adquisición que debía completarse de prisa o se desaprovecharía la oportunidad. Después de haber realizado la transferencia de $250,000, se descubrió que el director ejecutivo no había iniciado la solicitud, su cuenta de correo electrónico había sido tomada por un estafador que desapareció con los fondos.
La vulneración del correo electrónico empresarial es un tipo de fraude cometido a través de correo electrónico, mediante el cual se engaña a la empresa para que transfiera fondos a cuentas controladas por los delincuentes o para que entregue datos confidenciales, como los nombres, direcciones y números de seguro social de los empleados. Aunque los estafadores se centran en empresas de todos los tamaños, las pequeñas empresas con frecuencia no cuentan con la escala ni los recursos para implementar un programa sofisticado de seguridad cibernética. Sin embargo, las pequeñas empresas no son indefensas. Estas medidas de precaución básicas pueden ayudar a prevenir la vulneración del correo electrónico empresarial.
Cómo funciona
La vulneración del correo electrónico empresarial, o BEC (por sus siglas en inglés), ocurre cuando alguien falsifica una dirección de correo electrónico legítima para autorizar la divulgación de información confidencial o realizar la transferencia de fondos a cuentas administradas por delincuentes. El estafador secuestra o falsifica (suplanta) la cuenta de correo electrónico de un ejecutivo que cuenta con autorización para dar instrucciones a otros empleados para que generen pagos, como transferencias de dinero electrónico o una transferencia a través de la cámara de compensación automatizada (ACH, por sus siglas en inglés).
En ocasiones, los estafadores suplantan a proveedores legítimos y engañan a las víctimas incautas (empresas de todos los tamaños) para que redirijan los pagos futuros a una cuenta diferente, la cual es abierta y controlada por estafadores. Algunos de los motivos que mencionan con respecto a la apertura de cuentas nuevas incluyen el traslado de su cuenta empresarial a un banco distinto o porque la cuenta que se utiliza habitualmente se ha sometido a una auditoría.
El empleado cree que las instrucciones contenidas en el correo electrónico son legítimas y completa la transferencia de fondos según lo solicitado, depositando los fondos de la compañía sin saberlo a las cuentas bancarias controladas por el estafador.
Tipos de ataques
El estafador necesita cierta información crítica para poder suplantar exitosamente la cuenta de correo electrónico real del ejecutivo o proveedor legítimo para iniciar la transferencia fraudulenta de fondos o datos:
Señales de advertencia
- Un empleado recibe un correo electrónico de un ejecutivo o gerente de mayor rango mediante el cual se le solicita que procese una factura a la brevedad, que cambie el destinatario de un pago o que proporcione datos confidenciales.
- El mensaje es urgente y presiona al empleado para que omita las políticas y los procedimientos estándar.
- El correo electrónico viene de la cuenta personal del ejecutivo o gerente en vez de venir de su cuenta de la compañía.
- La dirección de correo electrónico del remitente es una variación de las direcciones de correo electrónico reales de la compañía.
Consejos para los empleadores
- Desarrollar una cultura que motive a los empleados a verificar las instrucciones directamente con los ejecutivos que tienen la autorización para aprobar pagos antes de liberar fondos.
- Establecer prácticas y políticas básicas de seguridad para los empleados, por ejemplo, exigir el uso de contraseñas seguras y autenticación multifactorial para que los empleados accedan a las áreas de la red que contiene información confidencial.
- Brindar capacitación al personal con respecto a la vulneración del correo electrónico empresarial y cómo identificar los correos electrónicos falsificados y de suplantación de identidad dirigida a destinatarios específicos.
- Implementar la separación de obligaciones, es decir, el mismo empleado no debe tener la capacidad de iniciar y aprobar el movimiento de dinero.
Consejos para los empleados
- Llama al ejecutivo/gerente correspondiente para solicitar la validación o aclaración de las solicitudes de pago inusuales antes de autorizar las transacciones o revelar datos sensibles, como los registros de personal. Usa un teléfono de conocimiento público.
- Confirmar verbalmente las instrucciones enviadas por correo electrónico por un vendedor o proveedor para cambiar los métodos de pago o la información bancaria. Llámalos a un teléfono de conocimiento público.
- No te desvíes de las políticas y procedimientos establecidos en relación con los pagos, la transferencia de fondos o la divulgación de datos sensibles.
- Comprueba cuidadosamente la dirección de correo electrónico de cualquier persona que solicite una transferencia de fondos o datos sensibles; los estafadores pueden variar ligeramente una dirección auténtica, añadiendo una letra o cambiando la puntuación para que parezca legítima.
- Se cauteloso a la hora de compartir información específica sobre tu trabajo en las redes sociales. Los atacantes pueden utilizar la información de su perfil para conocer su compañía, su función y la tecnología que se utiliza, y abordarlo con campañas de suplantación de identidad o de ingeniería social para ejecutar este tipo de fraude.