Una estafa BEC es un vector de cibercrimen enormemente popular. En esta estafa, los atacantes se hacen pasar por otra persona, generalmente con autoridad en la empresa—el jefe, el CEO, o incluso un cliente—con el fin de engañar a un empleado para que haga una trasferencia bancaria motivada con un falso fin empresarial. Para los cibercriminales, las estafas BEC son un negocio con grandes beneficios, ya que son relativamente fáciles de llevar a cabo y pueden generar grandes cantidades de dinero.
Según la Financial Crimes Enforcement Network (FinCEN), la frecuencia de este tipo de cibercrimen aumenta cada año, así como la cantidad de dinero que genera. De hecho, en su último informe, revela que el año pasado, la cantidad de dinero generado en este tipo de estafa llegó a los 301 millones de dólares cada mes, o 3,6 mil millones de dólares al año.
Una estafa con un gran abanico de víctimas
Junto con estos datos, el informe de la FinCEN recopila otra información acerca de las estafas BEC, como el tipo de empresas que más frecuentemente reciben este tipo de estafa.
Aquí encontremos las industrias manufacturera o de construcción, que constituyen el 25% de las víctimas. El 18% de las víctimas son de la industria de servicios comerciales, mientras el porcentaje de víctimas del sector financiero, , ha caído del 16% al 9% este año.
Una de las razones de esta caída podría deberse a los esfuerzos de las entidades financieras para reforzar su ciberseguridad, junto con la abundancia de información que está disponible para concienciar a los empleados de esta industria acerca de los peligros de las ciberamenazas a las que están expuestos
Los métodos empiezan a cambiar
En 2017, la táctica más popular entre los cibercriminales que llevaban a cabo las estafas BEC era hacerse pasar por el CEO de la empresa (el 33% de los casos) para pedir trasferencias ilícitas, aprovechando que nadie quiere decir que no al CEO. Sin embargo, en 2018, los cibercriminales cambiaron de táctica. Ese año, solo el 12% de los casos utilizaron esta táctica.
El año pasado, la suplantación de identidad más popular fue la de hacerse pasar por un cliente, mandando una factura falsa; una táctica que constituyó el 39% de los casos. Si miramos las cantidades que pudieron robar, es fácil ver por qué llegó este cambio. Mientras “el fraude del CEO” conseguía de promedio 50.373$, una factura falsa conseguía una media de 125.439$.
Un ejemplo extremo del uso de las facturas falsas se vio en Lituania. Un hombre consiguió defraudar a Google y Facebook, robando un total de 123 millones de dólares al mandarles facturas falsas de un vendedor de hardware que él mismo había inventado.
El malware facilita las estafas BEC
Aunque las instrucciones para mandar dinero y el acto de ingeniería social se llevan a cabo a través del email, el malware entra igualmente en juego. Los mensajes tienen que ser creíbles y provenir de direcciones reales o parecidas a las reales. Para conseguir esto, los ciberatacantes emplean el spyware para robar información sensible o credenciales. Esta información es utilizada posteriormente para crear emails creíbles en su forma y contenido, para convencer a las víctimas de que se trata de una petición legítima.
¿Qué hacer para frenar las estafas BEC?
Hemos visto que las estafas BEC mueven una cantidad ingente de dinero. Para evitar las cuantiosas pérdidas económicas que puede ocasionar en una empresa un incidente de este tipo, hay que seguir una serie de pautas.
Lo primero es partir de una postura de “Zero trust”. Esto implica no fiarse de nada que parezca fuera de lo ordinario. Ante la más mínima duda de la legitimidad de un correo electrónico, no hay que contestar y sobre todo, no hay que realizar ninguna trasferencia bancaria. Si no estás seguro, repórtalo al departamento de IT.
Esta postura también es válida para evitar que el spyware llegue a la empresa, pudiendo ser utilizado para iniciar un incidente de BEC. Los archivos adjuntos que vienen de desconocidos o dentro de un correo sospechoso nunca hay que abrirlos.
Así mismo, es vital proteger la empresa contra toda posibilidad de vulneración de la red. Panda Adaptive Defense monitoriza de manera constante toda la actividad dentro del parque informático. De esta manera puedes estar seguro de que ni el spyware ni ningún otro tipo de amenaza avanzada llegará a tu organización.
La cantidad de dinero que se mueve en las estafas BEC ha triplicado desde 2016, y seguramente siga esta tendencia al alza. Por eso, es más importante que nunca asegurarte de que no te conviertas en la próxima víctima de esta táctica.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
