Una operación del FBI estadounidense, desarrollada a mediados de este mismo mes de junio, ha servido para desmantelar una organización criminal internacional que basaba su actividad en las estafas conocidas como Business Email Compromise (BEC). La operación, bautizada como WireWire, se saldó con la detención de 74 personas de siete países y la incautación de 16,2 millones de dólares.

Estas cifras, que proceden de la acción policial contra una única organización, nos dan pistas claras del volumen económico que se mueve como consecuencia de este tipo de estafas, cuya mecánica consiste en engañar a un empleado o directivo con acceso a las finanzas de la empresa, a través de un correo electrónico en el que se le insta a realizar una transferencia a una supuesta cuenta bancaria propiedad de un cliente o proveedor, pero que realmente pertenece a los cibercriminales. A diferencia del spam “básico”, las estafas BEC recurren a técnicas más sofisticadas como el spear-phishing, la ingeniería social, el malware o el robo de identidad para disfrazar la naturaleza fraudulenta de estos emails.

El crimen más lucrativo de todo 2017

Los propios números anuales del FBI nos muestran que las estafas BEC están experimentando un crecimiento imparable en cuanto a impacto económico. Esta actividad criminal, unida a las estafas Email Account Compromise (EAC) –de naturaleza similar, pero que atacan direcciones personales de correo electrónico–, superó en 2017 los 676 millones de dólares en pérdidas causadas solo en EE.UU., según el último informe Internet Crime Report (IC3) del propio FBI. Esta cantidad económica casi duplicó los más de 360 millones de dólares registrados por el informe homólogo de 2016 y volvió a ser, con diferencia, la más alta de entre todos los tipos de delito del país.

Por ello, el éxito en la Operación WireWire ha servido para generar apenas un rasguño en el impresionante volumen de ‘negocio’ de este tipo de estafas online. El último informe IC3 del FBI también destaca que, a pesar de esta cifra económica sin igual en el país, solo se han contabilizado 15.690 casos denunciados en todo el pasado año, lo que ubica a las estafas BEC y EAC en el décimo lugar de la lista de número de casos por tipo de delito. Se deduce, de este modo, que las cantidades transferidas a las cuentas bancarias de los cibercriminales son generalmente muy importantes, lo que pone la alerta sobre lo bien que se camuflan estos correos fraudulentos.

Cómo combatir las estafas BEC desde la empresa

Ahora que conocemos mejor la terrible amenaza a la que nos enfrentamos, debemos detenernos en las maneras en las que las empresas pueden hacer frente a posibles casos de estafas BEC. Dado que estamos hablando de gestiones relacionadas con las finanzas de la compañía, lo fundamental es verificar las veces que sea necesario que la naturaleza del correo recibido y de su emisor es legítima. Por ello, es aconsejable contrastar por otras vías, como la telefónica, que esta persona es real y que el pago económico tiene una justificación coherente.

Esta mecánica ha de ser un must en toda regla para todos los trabajadores de la empresa, por lo que será importante concienciar a todos los empleados de la existencia de las estafas BEC y de cómo han de actuar cuando reciban un correo electrónico de estas características. Un mínimo error humano puede desencadenar consecuencias irreparables para la economía, la reputación y el funcionamiento de la compañía. Además de saber detectar posibles casos, los trabajadores también necesitan conocer el procedimiento a seguir a la hora de notificar un ataque potencial al departamento de ciberseguridad, ya que este estará mejor preparado para no solo mitigar la amenaza, sino también para prevenir posibles casos futuros.

Desde una perspectiva técnica, es clave asegurarse también de que el proceso de transferencia bancaria incluya métodos de doble factor de verificación. Además, puesto que muchos de estos correos llevan asociado malware, es indispensable contar con una solución de seguridad avanzada en todos los equipos de la empresa, capaz de detectar en tiempo real y actuar contra las estafas BEC y cualquier tipo de ciberamenaza que pueda tratar de atentar contra los intereses del negocio. Nuestra suite de ciberseguridad Panda Adaptive Defense utiliza la inteligencia cognitiva para alertar ante posibles intentos de estafa por email que escapen a la percepción humana. A pesar de que estas estafas cada vez son más sofisticadas, Panda Adaptive Defense es capaz de anticiparse a los ciberdelincuentes evitando pérdidas que podrían hacer tambalear las cuentas de nuestros clientes.