Las estafas que comprometen el correo electrónico de las empresas (BEC, por sus siglas en inglés) es uno de los delitos en línea más «financieramente perjudiciales», según el FBI [ENG]. Con una estafa BEC, el delincuente envía lo que parece un correo electrónico legítimo pidiéndole que proporcione información personal sensible, transfiera dinero o compre tarjetas de regalo.
“Las estafas se inician a través de «kits de phishing» específicamente desarrollados y diseñados para imitar los servicios de correo electrónico basados en la nube con el fin de comprometer las cuentas de correo electrónico de las empresas y solicitar o desviar las transferencias de fondos», según el FBI.
Los servicios de correo electrónico basados en la nube son servicios de suscripción alojados que permiten a los usuarios llevar a cabo negocios con almacenamiento de archivos en línea, correo electrónico, calendarios compartidos y mensajería instantánea. Según el FBI, se han denunciado estafas BEC en todos los estados de Estados Unidos y en 177 países.
BEC es una estafa sofisticada que se dirige a las empresas que realizan pagos electrónicos, incluidas las transferencias electrónicas o compensación automatizada. «La estafa suele llevarse a cabo cuando un sujeto compromete las cuentas de correo electrónico de empresas legítimas mediante técnicas de ingeniería social o de intrusión informática, lo que da lugar a una transferencia de fondos no autorizada», afirma el FBI.
Puede que piense que es demasiado inteligente para ser engañado por un estafador de BEC, pero podría acabar siendo una víctima involuntaria si no conoce las señales de alarma de esta estafa tan común.
Tipos de estafas BEC
Los delincuentes se dirigen a las víctimas de BEC de diversas maneras, entre ellas a través de plataformas de reuniones virtuales y conferencias de audio y vídeo, pantallas compartidas y seminarios web para comunicarse con la dirección y entre los empleados.
Algunos ejemplos de cómo los delincuentes utilizan las plataformas de reuniones virtuales para llevar a cabo una estafa BEC son:
- Comprometer el correo electrónico de un CEO, CFO o director financiero, pidiendo a los empleados que asistan a una reunión virtual. Cuando se conectan, sólo ven una foto fija del supuesto iniciador de la reunión. Los estafadores pueden incluso utilizar un audio “falso” [ENG] manipulado con técnicas de inteligencia artificial (AI, por sus siglas en inglés) para suplantar la voz del director.
- A continuación, el impostor convocante da instrucciones a los empleados asistentes para que transfieran fondos a través de la plataforma de reuniones virtuales o para que sigan chateando en un correo electrónico de seguimiento.
- Comprometer el correo electrónico de una empresa haciéndose pasar por el director general (u otra figura directiva) y pidiendo a los empleados que transfieran dinero porque el director general está ocupado en una reunión y no puede transferir fondos personalmente.
- Comprometer los correos electrónicos de los empleados para invadir las plataformas de reuniones virtuales en el lugar de trabajo y obtener información confidencial sobre la empresa.
Otra táctica común de BEC son los correos electrónicos de «phishing» diseñados para robar contraseñas de correo electrónico y otras credenciales de cuentas. Una vez que los delincuentes comprometen la cuenta de correo electrónico, buscan transacciones financieras y luego se hacen pasar por proveedores o clientes y le indican que redirija futuros pagos a cuentas bancarias fraudulentas.
Descubra: Cómo identificar una estafa de alivio de la deuda tributaria
Cómo protegerse de las estafas BEC
Para evitar convertirse en la próxima víctima de un estafador BEC, el FBI recomienda a las empresas y a los empleados que tomen medidas proactivas, entre ellas:
- Habilitar la autenticación multifactorial, en la que el usuario debe proporcionar dos o más pruebas – PIN o contraseña, tarjeta de identificación de la empresa, huellas dactilares o reconocimiento de voz, por ejemplo – para verificar su identidad con el fin de obtener acceso.
- Verificar todos los pagos y transacciones en persona o a través de un número de teléfono conocido.
- Asegurarse de que los empleados conocen las estafas BEC, cómo identificar los correos electrónicos de phishing y qué hacer si sospechan que el correo electrónico está en peligro.
- Prohibir el reenvío automático de correo electrónico a direcciones externas.
- Registrar y conservar los cambios en los inicios de sesión y la configuración de los buzones durante al menos 90 días.
- Prohibir los protocolos de correo electrónico «heredados», como IMAP, SMTP o POP3, que son objetivos más fáciles para los intentos de inicio de sesión, según Microsoft [ENG].
- Evitar la suplantación de identidad y validar el correo electrónico con Sender Policy Framework, DomainKeys Identified Mail y Domain-based Message Authentication Reporting.
- Estar atento a los hipervínculos con el nombre de dominio real mal escrito.
Qué hacer si es víctima de una estafa BEC
Si es víctima de una estafa BEC, póngase en contacto inmediatamente con el banco implicado y pídale que retire los fondos transferidos. A continuación, presente una denuncia en el Centro de Denuncias de Delitos en Internet [ENG] (IC3, por sus siglas en inglés) del FBI o denuncie la estafa BEC en su oficina local [ENG] del FBI.
