Una de las tendencias actuales en ciberdelincuencia es la estafa BEC, que aunque es sencilla de frenar si se está avisado de su existencia, es fácil caer en ella si no se conoce.
¿Qué es la estafa BEC?
Se trata del fraude del correo electrónico corporativo, también conocido por sus siglas en inglés como BEC (Business E-mail Compromise) y que afecta a empresas que realizan pagos de facturas mediante transferencias.
La estafa comienza cuando un empleado con acceso a datos sensible y credenciales para acceder a las cuentas de la empresa, recibe un mensaje o un correo del CEO. En el email, el CEO, de forma personal y confidencia, le pide una transferencia urgente o una serie de datos importantes.
¿Cómo consiguen engañar?
Al intercambiar información sobre facturas a través de correo electrónico, los delincuentes suplantan la identidad del proveedor encargado de remitirlas. Tras esto, modifican dichas facturas cambiando el IBAN de la cuenta a la que debe realizarse la transferencia de dinero.
Para que el ciberdelincuente acceda a información de la empresa, antes ha tenido que acceder previamente al correo de la víctima, posiblemente descifrando la contraseña.
Las entidades bancarias no están facultadas para ordenar la devolución sin el consentimiento del titular que se ha beneficiado, perode conformidad con las buenas prácticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor.
¿Dudas sobre la legitimidad de un correo? Aprende a identificarlos
El Instituto Nacional de Ciberseguridad ofrece una serie de pautas para aprender a identificar un correo legítimo de otro que no lo es.
Interpretando las cabeceras de los correos serás capaz de identificar, entre otros, los siguientes datos:
- La información relativa al emisor y al receptor
- Los servidores de correo intermedios por los que pasa el correo desde el origen hasta su destino
- El cliente de correo que se utilizó para enviarlo
- La fecha de envío y recepción del email
Toda esta información está en las cabeceras o encabezados de los correos. Una parte que a simple vista queda oculta, la podemos visualizar con un par de clics.
¿Puede tu empresa verse afectada por este fraude?
Cualquier empresa puede verse afectada ya que no siempre se busca el ataque a negocios de gran tamaño, todo lo contrario. En las pequeñas y medianas empresas es donde mejor funcionan este tipo de estafas ya que tienen menos protocolos de ciberseguridad.
Casos famosos de este fraude
Uno de los casos más conocidos es el de Toyota, en el que un alto cargo que recibió un supuesto mail del CEO y reveló datos de información confidencial. Otro caso es el de una clínica de salud de Nueva York que también se vio atacada por este tipo de ciberdelincuentes.