<< REGRESAR
Ciberseguridad

La acción no tiene nada de sofisticada: el responsable financiero de una compañía recibe un correo electrónico en el que su director ejecutivo o CEO le pide que transfiera una suma de dinero a un socio comercial.

En el mensaje no hay nada raro. Nada hace saltar las alarmas. Es tu jefe dándote una orden. Y como esto entra en el plan de trabajo de la persona que ocupa de las finanzas, no habría nada que verificar.

Sin embargo, horas o días después, cuando la otra parte en el negocio reclama que no le ha llegado la transferencia, en la oficina se dan cuenta de que hubo un error, y que la situación es grave.

El dinero ha sido enviado a una trama de cuentas bancarias que se diversifican incluso fuera del país, por lo que se hace muy difícil la tarea de advertirles a los bancos para que frenen la operación. A veces se recupera una parte de los fondos, pero en otras ocasiones los ciberdelincuentes ya se han esfumado con lo que no es suyo después de haber imitado el correo del CEO y haber engañado a un empleado.

Se trata del conocido como Business Email Compromise (BEC), que en castellano conocemos como Email Corporativo Comprometido, una de las modalidades del ciberataque a la caja contadora de las empresas.

Una estafa mundial con muchos ceros

De acuerdo con cifras aportadas por el FBI, este hackeo ha generado pérdidas mundiales de al menos 26.000 millones de dólares desde 2016. Y todo mediante un ataque relativamente poco sofisticado, según un reporte de BBC, que depende más de la ingeniería social y del engaño que del hackeo tradicional.

La conclusión aportada por los expertos en ciberseguridad es que no se puede confiar en los emails, cuando se trata de temas delicados, vinculados a las finanzas, por muy poderosa que sea una empresa.

De acuerdo con la nota, a inicios de septiembre fueron arrestados 281 supuestos hackers en 10 países diferentes como parte de una operación masiva contra redes cibercriminales globales vinculadas a este tipo de estafas.

“El email corporativo comprometido es el problema más costoso en toda la seguridad cibernética —asegura Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, una empresa de seguridad cibernética radicada en California—. No hay ninguna otra forma de crimen cibernético con el mismo grado de alcance en términos de pérdidas monetarias”.

Para Kalember, durante el último año las tácticas han ido evolucionando de diversa manera. Primero los hackers se enfocaban en los personajes de más alto nivel ejecutivo de las grandes compañías, ya sea presidentes ejecutivos o directores de finanzas, quienes no disponen de mucho tiempo para llevar a cabo verificaciones previas a una orden de transferencia.

Pero también el foco se ha dirigido a cuadros de menor jerarquía.

Hackeos de menor envergadura, pero igualmente perniciosos, logran imitar el email de un empleado común, y desde ahí le solicitan a la empresa que le destine su salario mensual a una nueva cuenta bancaria, es decir, la que pertenece a los delincuentes.

La forma de actuar

Otra peculiaridad es que, según Proofpoint, más del 30% de los emails estilo BEC llegan los lunes, cuando los hackers intentan capitalizar los trabajos pendientes del fin de semana.

“Los atacantes saben cómo funcionan las personas y las oficinas —apunta Kalember—. Dependen de que la gente cometa errores y tienen mucha experiencia con lo que funciona. No se trata de una vulnerabilidad técnica, se trata de error humano”.

Los atacantes también suelen colocarle un “Re:” o un “Fwd:” al inicio del asunto de sus emails, para que parezca parte de una conversación previa y así aportarle credibilidad a su mensaje.

Los intentos fraudulentos que usan esta técnica, según los investigadores, se han incrementado en más de 50% año tras año.

“Una de las razones por las que este problema es particularmente difícil de erradicar es que este depende del riesgo sistemático de que todos nosotros confiamos en los emails como medio de comunicación”, afirma Kalemeber.

De acuerdo con Pindrop Security, una compañía de seguridad de la información con sede en Atlanta, Georgia, las empresas en Estados Unidos perdieron en 2015 más de 246 millones de dólares por culpa del fraude del CEO, superando las pérdidas generadas por otros ataques como el phishing, el vishing, el ransomware y el fraude con tarjetas de crédito.

Ese año, el FBI habría recibido más de 7,800 quejas sobre estafas BEC.

Las pérdidas por fraude con tarjetas de crédito totalizaron unos 41 millones de dólares, mientras que las pérdidas por violación de datos corporativos sobrepasaron los 39 millones de dólares.

FUENTE: https://es-us.finanzas.yahoo.com