En el año 2017, las estafas BEC (Business Email Compromise) eran la táctica predilecta y más lucrativa para los cibercriminales , causando más de 650 millones de dólares de pérdidas solo en Estados Unidos. Y el año pasado, siguió en auge esta técnica cibercriminal. Según el informe IC3 (Internet Crime Complaint Center) del FBI, las pérdidas debidas al BEC llegaron a 1,2 mil millones de dólares, casi el doble del año anterior. Sin embargo, las estafas BEC ocupan el sexto puesto en la lista de crímenes por número de víctimas. Con esto, deducimos que las cantidades transferidas a las cuentas bancarias de los cibercriminales son generalmente muy importantes.
Una iglesia en EEUU: la última víctima de la estafa
A finales de abril de este año, la iglesia católica de St. Ambrosio en Brunswick, Ohio en Estados Unidos, informó que había sido víctima de una millonaria estafa BEC en la que los cibercriminales consiguieron robar 1.75 millones de dólares.
La parroquia está reformando la iglesia con una empresa constructora. El FBI cree que unos hackers consiguieron engañar a la iglesia para que creyera que la constructora había cambiado de cuenta bancaria. Como resultado, la iglesia mandó una suma de dinero importante a una cuenta fraudulenta. Acto seguido, los cibercriminales movieron el dinero a otra cuenta, “antes de que nadie supiera lo que había pasado,” dijo el Padre Bob Stec.
Según Stec, los criminales consiguieron acceder a las cuentas de correo de dos empleados de la iglesia para hacer más creíble esta estafa. Se dieron cuenta del crimen cuando la constructora se puso en contacto con ellos para preguntar por dos facturas de un total de 1.75 millones de dólares que no se habían pagado.
Ahora la iglesia está trabajando con el FBI y su aseguradora para intentar recuperar los fondos robados.
Las grandes empresas tampoco escapan a la estafa BEC
No solo son organizaciones pequeñas las que pueden ser víctima de este tipo de estafa. En marzo, un hombre lituano se declaró culpable de haber organizado una estafa en la que Facebook y Google perdieron un total de 122 millones de dólares.
La exitosa estafa se basó en establecer en Letonia una empresa con el mismo nombre que un fabricante de hardware de centros de datos que utilizan los dos gigantes tecnológicos. De este modo, logró que Facebook transfiriera 99 millones de dólares y que Google hiciese lo mismo por un monto de 23 millones.
Ahora Evaldas Rimasauskas, el autor de la estafa, tendrá que hacer frente a una pena de hasta 50 años de cárcel.
Cómo protegerse de las estafas BEC
El caso de Google y Facebook demuestra que incluso las empresas tecnológicas más importantes del mundo, que teóricamente tendrían que ser conscientes de este tipo de peligro, pueden caer en las trampas del cibercrimen. Por lo tanto, es imprescindible que todas las organizaciones, independientemente de su tamaño, sepan identificar una estafa BEC.
Lo fundamental, ya que se trata de gestiones relacionadas con las finanzas de la empresa, es comprobar las veces que sea necesario que el correo recibido y su emisor son legítimos. Por ello, conviene contrastar por varias vías, como por ejemplo el teléfono, que esta persona es real y que el pago tiene una justificación coherente.
Los dos casos que hemos visto tienen una cosa en común: el error humano. Un mínimo desliz puede tener consecuencias irreparables para una empresa. Por lo tanto, un paso imprescindible es concienciar a todos los empleados de la existencia de las estafas BEC y cómo tienen que actuar si reciben un correo de este tipo. Además de saber identificar este tipo de correo, tienen que conocer el procedimiento a seguir a la hora de notificar un ataque al departamento de ciberseguridad. Así, el equipo de ciberseguridad estará mejor preparado para mitigar la amenaza y para prevenir posibles casos futuros.
Para asegurar las transferencias bancarias, es importante que incluyan métodos de doble factor de identificación. Aunque este método de protección no es perfecto, sí añade otra capa de seguridad a un proceso importante. Además, puesto que muchos de estos correos llevan asociado malware, es indispensable contar con una solución de seguridad avanzada en todos los equipos de la empresa, capaz de detectar en tiempo real y actuar contra cualquier tipo de ciberamenaza que pueda tratar de atentar contra los intereses del negocio.
Es evidente que este tipo de estafa no va a dejar de crecer. Por eso, es vital hacer todo lo posible para evitar que tu empresa sea la próxima víctima.