Las estafas BEC (Business Email Compromise) son un problema muy presente en el mundo empresarial. El fraude consiste en hacerse pasar por un alto cargo o responsable de una organización y así engañar al empleado para que realice una transferencia bancaria fraudulenta. Según la Financial Crimes Enforcement Network (FinCEN), estas estafas generan unos 301 millones de dólares cada mes, o lo que es lo mismo, 3,6 mil millones de dólares al año.
Aunque el objetivo de esta estafa suele ser el robo de dinero, también vemos casos en los que los cibercriminales tienen otros fines en la mente. El último caso de este tipo se ha visto en Nueva York.
Un centro médico en Nueva York: víctima de una estafa BEC
El 30 de diciembre del año pasado, un centro médico en Nueva York informó de que había sufrido un ataque BEC. La víctima, que trabaja en el VillageCare Rehabilitation and Nursing Center (VCRN), recibió el email que parecía ser de un alto cargo de la institución solicitando información sobre pacientes del VCRN.
Según el aviso de incidencia que se publicó en la web del centro, “El actor no autorizado solicitó cierta información relacionada con pacientes del VCRN. Creyendo que la solicitud era legítima, el empleado proporcionó la información.”
A través de este engaño, el atacante exfiltró información de 674 pacientes que incluía nombres y apellidos; fechas de nacimiento; e información sobre el seguro médico incluido el nombre del proveedor y el número de identificación.
VCRN explica que “Una vez que se hizo evidente que el email que recibió el empleado no era una solicitud legítima, lanzamos una investigación con la ayuda de especialistas forenses de terceros para determinar el alcance completo de este evento.”
El centro médico ha afirmado que no tiene constancia de que la información de los pacientes se había utilizado en ninguna actividad maliciosa después del incidente. Ahora, el VCRN ha dicho que va a llevar a cabo una revisión de su ciberseguridad.
El centro ha tomado medidas para notificar a todos los pacientes que potencialmente hayan sido afectados, y les ha aconsejado “vigilar por incidentes de fraude y suplantación de identidad, y revisar los extractos bancarios e informes de crédito” por si detectan alguna actividad sospechosa.
Sanidad: un sector vulnerable a las brechas de datos
La sanidad es uno de los sectores que más sufre las consecuencias de una brecha de datos. Según el Cost of a Data Breach Report de Ponemon Institute, la sanidad es el sector en el que los costes de una brecha de datos son más altos: 6,45 millones de dólares de promedio por brecha. Es más, el coste por archivo en una brecha en el sector sanitario es también el más alto : 429$ por archivo, un 60% más alto que el coste medio.
En el sector, las consecuencias de una brecha de datos también van más allá de lo meramente financiero: la rotación anormal de clientes tras un incidente de este tipo es la más alta: el 7% de los clientes se pierden.
Es posible protegerse de las estafas BEC
Las estafas BEC, como hemos visto, pueden tener repercusiones muy graves para la empresa que la sufre, aunque no haya robo de dinero. Además de las pérdidas financieras o robo de información, un cibercrimen de este tipo puede tener un impacto negativo sobre la reputación de una organización.
Lo más importante para evitar las estafas BEC es partir de una postura de confianza cero. Esto implica no fiarse de ningún correo electrónico que parezca fuera de lo ordinario. Si tienes la más mínima duda sobre la legitimidad de algo, no lo abras, no lo contestes y no abras ningún archivo adjunto.
Aunque la fase final de una estafa BEC es un acto de ingeniería social, muchas veces el malware también se emplea en el ataque. Los mensajes tienen que parecer provenir de direcciones de correo creíbles; por este motivo, los ciberatacantes emplean el spyware para robar credenciales. Esta información es utilizada posteriormente para crear emails creíbles en su forma y contenido, para convencer a las víctimas de que se trata de una petición legítima.
Este uso de spyware, u otros tipos de malware, significa que es imprescindible el uso de una solución de ciberseguridad avanzada. Panda Adaptive Defense monitoriza de manera constante toda la actividad dentro del parque informático. De esta manera puedes estar seguro de que ni el spyware ni ningún otro tipo de amenaza avanzada llegará a tu organización.
Las estafas BEC son una tendencia que no deja de crecer. Es más, los cibercriminales innovan cada vez más para seguir vulnerando los sistemas de organizaciones en todo el mundo. Asegúrate de que tu empresa no sea la siguiente víctima.