Las estafas de correo electrónico comercial (a veces llamadas BEC, por las siglas en inglés de Business email compromise) son un problema creciente al que se enfrenan las empresas y las firmas de ciberseguridad. Los cibercriminales detrás de estos ataques envían correos electrónicos haciéndose pasar por un miembro de la empresa, con el fin de obtener acceso a dinero o información importante.
En una de sus manifestaciones más comunes, un trabajador recibe un correo electrónico que parece venir del director general de su empresa, que le pide que haga algo de manera urgente, como comprar tarjetas de regalo. Otra es la petición de información bancaria de la empresa, como números de cuenta o códigos. La estafa en sí puede adoptar muchas formas, pero el objetivo final más frecuente es desviar dinero, de los empleados o de la empresa para la que trabajan.
Según una nota publicada por el FBI, los estafadores por correo electrónico crean pérdidas por valor de unos 26.000 millones de dólares al año. Así que vale la pena que todos los trabajadores que utilizan un ordenador dediquen unos minutos a formarse para detectar estos correos electrónicos.
Analiza la situación
Aunque este tipo de fraude se perpetra a través de la tecnología, en el fondo se trata de manipulación psicológica, lo que los expertos llaman ingeniería social. En estas estafas es importante crear una falsa sensación de urgencia. Ese estrés que induce la estafa impide cuestionar la situación, por eso muchas veces al mensaje que se recibe se le pone un plazo corto o evoca una situación de emergencia. Eso resta al usuario capacidad de pensar detenidamente, un elemento clave para el funcionamiento de estas estafas.
Por eso debes ser especialmente escéptico si la persona que envía el correo electrónico te pide que mantengas algo en secreto, otra de las estrategias habituales de los estafadores es aislar a las víctimas.
Confirma por otro canal
Si tienes dudas sobre la legitimidad de una solicitud urgente, comprueba que el correo electrónico procede de la persona que dice ser. La mejor forma de hacerlo es preguntar, pero nunca llames a un número que figure en el mismo mail; llama a un número que sepas que es fiable. Utiliza un número de teléfono que ya tengas guardado en tu teléfono como contacto o busca el número de teléfono en un sitio web oficial o en un directorio oficial de empresas.
Llama a la persona que dice haberte enviado el correo electrónico -utilizando un número del que estés seguro al cien por cien que es real- y confirma que la solicitud es auténtica. También puedes utilizar otro canal de comunicación seguro, como Slack o Microsoft Teams, o, si está en la oficina, preguntarle en persona.
Verifica la dirección del remitente
Ponerse en contacto con el supuesto remitente no siempre es una opción. En ese caso hay algunos pasos adicionales que puedes dar para detectar si un correo electrónico es real o falso.
El primero: comprueba la dirección de correo electrónico y asegúrate de que procede de un dominio de la empresa. A veces será obvio; es poco probable que un director general envíe correos electrónicos desde una cuenta de Gmail.
Otras veces será más sutil. Algunos estafadores compran dominios similares a los de la empresa a la que intentan estafar, con la esperanza de que pasen por legítimos. También merece la pena comprobar si la firma del correo electrónico coincide con la dirección de la que procede el mensaje.
Implantar protocolos seguros y fomentar la comunicación
Si en tu empresa hay un proceso establecido para cuestiones como grandes compras o intercambio de información bancaria -cosas que son objetivo potencial de criminales- es menos probable que un empleado caiga en una de esas estafas.
Una empresa con una organización adecuada no usará el correo electrónico como canal de comunicación para cuestiones importantes. Además, los especialistas subrayan que otro elemento importante es asegurarse de que se intenta fomentar una cultura de comunicación abierta y de transparencia sobre las actividades.