Ataque BEC a la Fábrica de la Moneda: frustrado un robo de 3 millones de euros

Security Awareness
22 diciembre 2023
ISTITUTO POLIGRAFICO E ZECCA DELLO STATO DI ROMA ESTERNI

El factor humano, en el centro del incidente. Queda mucho por hacer en materia de formación

La Fábrica Nacional de Moneda y Timbre italiana salió mal parada de un típico ataque de Business Email Compromise (BEC).
Algún hábil estafador consiguió robar 3 millones de euros del simbólico lugar donde se producen las monedas. Afortunadamente, la historia tuvo un final feliz y el dinero volvió al remitente. Sin embargo, la experiencia no solo provocó muchas noches de insomnio a las víctimas que cayeron en la trampa, sino que también causó daños a la imagen de una gran empresa que trabaja para el Estado. De hecho, puso de relieve la realidad de que el riesgo de los ciberataques está siempre a la vuelta de la esquina y depende sobre todo de la distracción, la superficialidad, la ingenuidad, la emotividad, la falta de las investigaciones necesarias y, en definitiva, del factor humano..

La dinámica del robo

La historia comenzó el pasado mes de mayo, cuando los piratas informáticos se hicieron pasar por un proveedor de cospeles, que comunicó un cambio de IBAN y solicitó que los pagos futuros se realizaran a este número y no al anterior. Por supuesto, los piratas informáticos se habían infiltrado hacía tiempo en la correspondencia entre la Fábrica de Moneda y el proveedor y estaban al corriente del pedido.

De este modo, la Fábrica de la Moneda cayó de lleno en la trampa al realizar un pago de 3 millones de euros a la cuenta del banco húngaro Mbh facilitada en el correo electrónico fraudulento. Un millón salió hacia Budapest el 15 de mayo, y los otros dos lo hicieron el 26.

Ese mismo día, la Fábrica de la Moneda se dio cuenta de que había sido víctima de una estafa, y no fue una noticia agradable.

En cuanto saltó la alarma, la Policía Postal intervino rápidamente y se bloquearon 2 millones de euros antes de que llegaran a Budapest.

Sin embargo, el primer millón de euros depositado a nombre de prestamistas asociados a los piratas informáticos ya se había transferido. Se han visto implicados, además de la Policía Postal, la Interpol y la Oficina Italiana de Cambios (UIF) del Banco de Italia, que han limitado al máximo los daños.

Únicamente se perdieron irreparablemente 50 000 euros, mientras que los 950 000 restantes se congelaron y pronto se devolverán a la Fábrica de la Moneda.

Normalmente, los cómplices de los piratas informáticos retiran todo el dinero posible para vaciar la cuenta. En este caso, afortunadamente, no fueron tan rápidos.

Las estafas BEC

Este tipo de estafa entra dentro de las llamadas «Business Email Compromise» (BEC).
Estos ataques tienen un objetivo concreto: los empleados y directivos de una empresa que están en posición de mover dinero, ya sea porque se lo pide directamente un superior o porque tienen tratos directos con diversos proveedores.

De este modo, puede suceder que los piratas informáticos se hagan pasar por gerentes o proveedores, sobre todo a través de correos electrónicos falsos (de ahí el nombre de la estafa), pero también mediante el uso de técnicas de «deep fake» que reproducen con extrema fidelidad las voces humanas. Así, pueden pedir a las víctimas, a través de correos electrónicos o llamadas telefónicas, que realicen transferencias a cuentas corrientes pertenecientes a organizaciones delictivas.

Además, gracias a sofisticadas técnicas de ingeniería social, los delincuentes consiguen obtener información sobre las víctimas potenciales, necesaria para optimizar las actividades delictivas.

Las estafas BEC eficaces requieren, además de la cuenta de correo electrónico falsa, un conocimiento detallado de la identidad de los responsables con los que se va a contactar, el tono y la redacción de la orden de compra y la jerga de comunicación, así como el conocimiento de los suministros que se van a pedir.

Los últimos datos sobre los ataques BEC

Los riesgos derivados de este tipo de ataques se traducen en pérdidas importantes de datos, vulneraciones de los sistemas de seguridad informática y daños económicos considerables.

El año pasado, las empresas perdieron más de 2700 millones de dólares a causa de estas estafas, según la última edición del Internet Crime Report (informe sobre delitos en internet) del Internet Crime Complaint Center (IC3) del FBI. Esta cifra supone 300 millones de dólares más que en 2021.

Estas pérdidas son hasta 80 veces mayores que las causadas por el «ransomware».
Según el IC3 del FBI, las estafas BEC representaron hasta el 27 % de todas las pérdidas financieras causadas por la ciberdelincuencia en 2022. Además, el coste medio de un incidente ha pasado de 120 000 dólares en 2021 a 124 000 dólares en 2022.

Aunque en 2022 se presentaron menos denuncias ante el IC3 del FBI (800 944 frente a 847 376), las pérdidas totales pasaron de 6900 millones de dólares a más de 10 200 millones, lo que supone un aumento del 48 % respecto al año anterior.

Los ataques BEC causan menos víctimas que el «phishing», pero las pérdidas financieras son mucho mayores. De hecho, se trata de estafas muy selectivas y, por lo tanto, provocan mayores pérdidas económicas aunque su volumen sea bajo.

¿Cómo defenderse de los ataques BEC?

Los delincuentes son cada vez más astutos y sus técnicas cada vez más refinadas. Sin embargo, esto no debe desanimarnos porque existen soluciones para defendernos. Solo hace falta tomar las decisiones correctas. En primer lugar, hay que tener en cuenta que, en los tiempos que corren, es mejor no fiarse de nadie, aunque nos escriba nuestro jefe o el más leal de los proveedores. Además, uno nunca debe perder la concentración y la conciencia de sus acciones en línea y nunca debe actuar con prisas y distracciones. De hecho, son precisamente estas «debilidades» humanas las brechas por las que se cuelan los ciberdelincuentes para lanzar sus ataques más feroces. Además, es crucial realizar siempre todas las comprobaciones necesarias antes de efectuar cualquier pago.
Sin embargo, y por encima de todo, nunca hay que dejar de formarse y poner en práctica la ciberseguridad.
Se trata de conocimientos que deben actualizarse continuamente y, sobre todo, ejercitarse a través de programas de formación específicos de calidad que puedan adaptarse perfectamente a las competencias de cada alumno y a las características de la organización para la que trabaja.

Suscríbete al boletín

Artículos relacionados