BEC: a veces no confiar es mejor, aunque nos lo pida el gran jefe

bec-scam

De niños nos enseñaron a no confiar nunca en los desconocidos. Una regla de sentido común y que, sin duda, facilitaba la vida porque la amenaza no podía provenir de una fuente cercana y amistosa.

Hoy todo esto se ha trastocado. O, mejor, dicho, se ha actualizado. Si bien es recomendable seguir sin confiar en los desconocidos, también debemos estar alerta con las personas que conocemos muy bien. Se trata de principio que debería convertirse en un mantra para todos los que se adentran en la red cada día y que también se aplica a los cargos con mayor responsabilidad de una empresa o institución. Sí, porque entre las estafas informáticas más populares de los últimos tiempos está precisamente la Business Email Compromise (BEC), también conocida de una forma más coloquial como «la estafa del CEO».

Una estafa en constante evolución que sigue cobrándose víctimas

Se trata de un ataque con un objetivo muy concreto: los «C-levels», es decir, los directivos de una empresa que pueden mover dinero y autorizar el pago de transferencias en línea. Apropiarse de su identidad es fundamental para pedirle al responsable de la empresa que realice un pago urgente crucial. Ni que decir tiene que la suma que hay que ingresar en la cuenta bancaria indicada en el correo electrónico más tarde resultará que pertenece a una organización delictiva, pero para entonces será demasiado tarde.

Lo interesante (por decir algo) es que con las últimas técnicas de «deep fake», que cada vez se están refinando más, los ciberdelincuentes son capaces de reproducir la voz de cualquier persona, por lo que pueden engañar fácilmente al receptor de la comunicación. De este modo, la estafa del CEO sigue perfeccionándose, por lo que cuando es el propio jefe quien hace la petición verbal, el engaño es «casi» perfecto.

A todo esto hay que añadirle las técnicas de ingeniería social, cada vez más sofisticadas, con las que los «hackers» obtienen información sobre las potenciales víctimas, necesaria para optimizar y finalizar las actividades delictivas.

De hecho, para que las estafas BEC tengan éxito, no solo hace falta robar la identidad del «C-level», sino también conocer con detalle la identidad de los empleados que van a participar, así como el tono, las frases y la jerga de comunicación utilizados. Todo para que la solicitud de una orden de compra o el pago de una factura sean absolutamente creíbles.

¿Qué riesgos hay? Pérdidas significativas de datos, vulneraciones de los sistemas de seguridad informática y daños económicos considerables.

Según el último «Internet Crime Report» del FBI del año 2020, este tipo de delitos les supuso a las empresas afectadas más de 1800 millones de dólares, es decir, el 44 % de todas las pérdidas denunciadas por empresas y particulares el año pasado.
La advertencia sobre el desarrollo de los ataques BEC la hizo el propio FBI. Pueden ir desde la usurpación de la identidad hasta el pirateo de las cuentas de correo electrónico de los ejecutivos, pasando por la solicitud de transferencias bancarias a cuentas fraudulentas, la apropiación indebida de salarios, la solicitud de tarjetas regalo o la apropiación de envíos.

Por último, pero no por ello menos importante, encontramos el fraude en las facturas de los proveedores, que es la causa de las mayores pérdidas.

En resumen, la última evolución de este delito es que, en lugar de dirigirse directamente a las empresas, los ataques se dirigen cada vez más a los clientes, los departamentos de RR. HH., los proveedores, los contables, los bufetes de abogados e incluso las autoridades fiscales. Además de generar o desviar directamente las transacciones monetarias, las estafas BEC se han utilizado para desviar declaraciones de impuestos e incluso para transferir hardware y equipos por valor de millones de dólares bajo el control de los ciberdelincuentes.

Pocas estructuras se han librado de ellas hasta ahora. De hecho, este tipo de fraude ha afectado al 70 % de las empresas y organizaciones de todo el mundo en todos los sectores, ya sean públicos o privados.

Llegados a este punto, surge la siguiente pregunta: ¿cómo es posible defenderse?

En primer lugar, hay que tener en cuenta que hoy en día es mejor prevenir y pensar bien antes de actuar, aunque sea nuestro jefe o el más fiel de los proveedores quien nos escriba o llame. Además, también debemos recordar lo importante que es una formación eficaz y continua sobre la concienciación en materia de ciberseguridad. No debemos olvidar nunca algunos consejos útiles:

  • no perder nunca la concentración, prestar atención a lo que se está haciendo y no actuar nunca con prisas o de forma distraída;
  • activar siempre todas las comprobaciones necesarias antes de iniciar acciones que puedan provocar rápidamente consecuencias irreversibles;
  • no dejar nunca de impartir una formación de calidad, tanto teórica como práctica.

Los ciberdelincuentes se cuelan de forma astuta por las rendijas de la distracción y el desconocimiento. Esas rendijas deben mantenerse herméticamente cerradas con la misma astucia.

Más información sobre los itinerarios formativos de Cyber Guru