¿Sabes qué es una estafa BEC? Las siglas corresponden a ‘Business Email Compromise’, un tipo de ciberdelito donde el estafador utiliza el correo electrónico para engañar a alguien para que envíe dinero o revele información confidencial de su empresa. Las estafas de BEC están en alza debido al aumento del trabajo remoto.
Muchas veces los intentos de estafa son prevenibles, a poco que tomamos un par de medidas los limitamos rápidamente, claro que hay que saber dónde buscar. Y de eso vamos a hablar en el artículo de hoy. ¿Quieres tener tu negocio a salvo? Sigue leyendo…
Una torre, un chatarrero y una estafa
Antes de seguir, una pregunta de Trivial: ¿sabes quién fue Victor Lustig?
En el mundo del emprendimiento y los negocios no se suele hablar de Victor Lustig, pese a tener en su haber una de las operaciones de negocios más impresionantes de todo el siglo XX: Lustig fue el hombre que vendió la torre Eiffel. Sí, la que estás pensando, la de París.
El bueno de Lustig -que era ladrón y proxeneta, una joya de hombre- se enteró de que la ciudad de París no sabía qué hacer con la torre tras la muerte de su constructor, Gustave Eiffel, en 1925 y vio una oportunidad allí. Consiguió unos documentos falsificados, reunió a los cinco mayores comerciantes de chatarra de la región en el Hotel Crillón de París y les convenció de que era un funcionario público y que la ciudad estaba pensando desmontar la torre Eiffel.
Lustig les propuso comprar la estructura para que pudieran desmantelarla y vender los materiales, y que la operación debía llevarse a cabo con el máximo secreto para evitar que los parisinos, que adoraban la torre, saliesen a la calle a protestar. Le salió tan bien que uno de los cinco, André Poisson, mordió el anzuelo y le extendió un cheque. Cuando se descubrió la estafa, Lustig había cobrado el dinero y había desaparecido.
Poisson quedó tan avergonzado que murió sin revelar jamás a cuánto ascendía el cheque con el que «compró» la torre Eiffel.
¿Por qué me cuentas todo esto?, pensarás. Pues porque a Poisson no le engañó un genio del mal, no cayó en una estafa que involucrase a cientos de personas maquinando cómo robarle. A Poisson le estafó un ladrón y proxeneta con mucha labia y un puñado de documentos falsificados. Todo por no parase a verlos con atención, por no contrastar la información y por dejarse llevar por la fortuna que se veía ganando cuando vendiese por piezas la torre Eiffel.
No seas como Poisson. Ahórrate el mal trago.
Te cuento cómo a continuación.
Tipos de estafas BEC
Existen varios tipos de estafa BEC, los más habituales son los que te detallo a continuación:
Robo de datos
En este caso, los estafadores atacan el departamento de RR. HH. para robar información como el número de teléfono personal o la agenda de alguien para usarlo luego en otras estafas de BEC.
Estafa de facturas falsas
El estafador se hace pasar por un proveedor legítimo y envía por correo electrónico una factura falsa muy similar a una real. El número de cuenta puede tener un dígito diferente, o puede pedirte que realices el pago en otro banco por algún motivo.
Fraude de CEO
Los estafadores suplantan o atacan la cuenta de correo electrónico de un CEO y envían por correo instrucciones a los empleados para que realicen una compra o envíen dinero mediante transferencia bancaria. Los estafadores incluso pueden pedir a un empleado que compre una tarjeta regalo y solicitar después fotos de los números de serie.
Suplantación de abogados
En este tipo de estafa, los atacantes consiguen acceso no autorizado a una cuenta de correo electrónico en un despacho de abogados. A continuación, envían por correo a los clientes una factura o un enlace para pagar online. La dirección de correo electrónico es legítima, pero la cuenta bancaria no lo es.
Ataque a la cuenta
Los estafadores utilizan el phishing o el malware para obtener acceso a la cuenta de correo electrónico de un empleado del departamento de finanzas, por ejemplo, un gestor de cuentas por cobrar. Después, el estafador envía por correo a los proveedores de la empresa facturas falsas que solicitan el pago a una cuenta bancaria fraudulenta.
Ahora que conocemos los tipos de estafa que podemos encontrar, ¿cómo nos protegemos?
Consejos para prevenir el BEC
Sigue estos cinco procedimientos recomendados para detener los ataques al correo electrónico empresarial:
Utilizar una solución de correo electrónico segura
Las aplicaciones de correo electrónico como Office 365 marcan y suprimen automáticamente los correos sospechosos o te avisan de que el remitente no se ha verificado. A continuación, puedes bloquear determinados remitentes y notificar correos como no deseados. Defender para Office 365 añade incluso más características de prevención de BEC como la protección contra phishing avanzada y la detección de reenvíos sospechosos.
Configurar la autenticación multifactor (MFA)
Haz que tu correo electrónico sea más difícil de atacar activando la autenticación multifactor, que requiere un código, PIN o huella digital para iniciar una sesión, además de tu contraseña.
Enseñar a los empleados a detectar señales de advertencia
Asegúrate de que todos los empleados sepan cómo detectar vínculos de phishing, una discrepancia de dominio y dirección de correo electrónico, y otras señales de alerta. Simula una estafa de BEC para que los empleados puedan reconocer una cuando ocurra.
Fijar valores predeterminados de seguridad
Los administradores pueden reforzar los requisitos de seguridad en toda la organización exigiéndoles el uso de MFA, solicitando autenticación a los accesos nuevos o de riesgo, y obligando a restablecer contraseñas si se filtra información.
Utilizar herramientas de autenticación de correo electrónico
Haz que tu correo electrónico sea más difícil de suplantar autenticando a los remitentes con el Marco de directivas de remitente (SPF), DomainKeys Identified Mail (DKIM) y la Autenticación de mensajes, informes y conformidad basada en dominios (DMARC).
Adoptar una plataforma de pagos seguros
Se recomienda cambiar de las facturas por correo electrónico a un sistema diseñado específicamente para autenticar los pagos.