En los últimos años, el correo electrónico se ha convertido en una parte esencial de nuestra vida cotidiana. Muchas personas lo utilizan para diversos fines, incluidas las transacciones comerciales. Con la creciente dependencia de la tecnología digital, la ciberdelincuencia ha crecido. Una importante amenaza cibernética a la que se enfrentan las empresas hoy en día es el Business Email Compromise (BEC).
¿Por qué es importante prestar especial atención a los ataques BEC? Porque han ido en aumento. Los ataques BEC aumentaron un 81% en 2022, y hasta un 98% de los empleados no informan de la amenaza.
¿Qué es el Business Email Compromise (BEC)?
Business Email Compromise (BEC) es un tipo de estafa en la que los delincuentes utilizan el fraude por correo electrónico para atacar a las víctimas. Estas víctimas son tanto empresas como particulares. Se dirigen especialmente a quienes realizan pagos por transferencia bancaria.
El estafador se hace pasar por un ejecutivo de alto nivel o un socio comercial. Los estafadores envían correos electrónicos a empleados, clientes o proveedores. Estos correos electrónicos les piden que realicen pagos o transfieran fondos de alguna forma.
Según el FBI, las estafas BEC costaron a las empresas alrededor de 1.800 millones de dólares en 2020. Esa cifra aumentó a 2.400 millones de dólares en 2021. Estas estafas pueden causar graves perjuicios económicos a empresas y particulares. También pueden dañar su reputación.
¿Cómo funciona el BEC?
Los ataques BEC suelen estar bien elaborados y ser sofisticados, lo que dificulta su identificación. En primer lugar, el atacante investiga la organización objetivo y a sus empleados. Adquieren conocimientos sobre las operaciones de la empresa, los proveedores, los clientes y los socios comerciales.
Gran parte de esta información está disponible gratuitamente en Internet. Los estafadores pueden encontrarlo en sitios como LinkedIn, Facebook y sitios web de organizaciones. Una vez que el atacante tiene suficiente información, puede elaborar un correo electrónico convincente. Está diseñado para que parezca que procede de un ejecutivo de alto nivel o de un socio comercial.
El correo electrónico solicitará al destinatario que realice un pago o una transferencia de fondos. Suele hacer hincapié en que la solicitud se refiere a un asunto urgente y confidencial. Por ejemplo, una nueva oportunidad de negocio, un pago a un proveedor o un pago de impuestos en el extranjero.
A menudo, el mensaje contiene un mensaje de urgencia que obliga al destinatario a actuar con rapidez. El atacante también puede utilizar tácticas de ingeniería social. Por ejemplo, haciéndose pasar por un contacto de confianza o creando un sitio web falso que imite el de la empresa. Estas tácticas hacen que el correo electrónico parezca más legítimo.
Si el destinatario cae en la estafa y realiza el pago, el atacante se hará con los fondos. A su paso, dejan a la víctima con pérdidas económicas.
Cómo luchar contra los correos electrónicos comprometidos
Las estafas BEC pueden ser difíciles de prevenir. Pero hay medidas que las empresas y los particulares pueden adoptar para reducir el riesgo de ser víctimas de ellas.
Educar a los empleados
Las organizaciones deben educar a sus empleados sobre los riesgos de BEC. Esto incluye proporcionar formación sobre cómo identificar y evitar estas estafas. Los empleados deben conocer las tácticas utilizadas por los estafadores. Por ejemplo, solicitudes urgentes, ingeniería social y sitios web falsos.
La formación también debe incluir la seguridad de las cuentas de correo electrónico, entre otras cosas:
- Comprobación periódica de la carpeta de mensajes enviados en busca de mensajes extraños.
- Utilizar una contraseña de correo electrónico segura con al menos 12 caracteres
- Cambiar regularmente la contraseña de su correo electrónico
- Guardar su contraseña de correo electrónico de forma segura
- Notificar a un contacto de TI si sospechan que se trata de un correo electrónico de phishing
Activar la autenticación de correo electrónico
Las organizaciones deben implantar protocolos de autenticación del correo electrónico.
Esto incluye:
- Autenticación, notificación y conformidad de mensajes basados en dominios (DMARC)
- Marco de la política de remitentes (SPF)
- Correo identificado con claves de dominio (DKIM)
Estos protocolos ayudan a verificar la autenticidad de la dirección de correo electrónico del remitente. También reducen el riesgo de suplantación del correo electrónico. Otra ventaja es evitar que tus correos acaben en las carpetas de correo no deseado.
Implantar un proceso de verificación de pagos
Las organizaciones deben implantar procesos de verificación de pagos, como la autenticación de dos factores. Otro protocolo es la confirmación de varias partes. Esto garantiza que todas las solicitudes de transferencia sean legítimas. Siempre es mejor que más de una persona verifique una solicitud de pago financiero.
Comprobar transacciones financieras
Las organizaciones deben comprobar todas las transacciones financieras. Busque irregularidades, como transferencias inesperadas o cambios en las instrucciones de pago.
Si no las realiza de acuerdo con un calendario, es fácil que se olviden. Establezca un elemento del calendario para la revisión de las transacciones financieras. Utilice un calendario que tenga sentido para su negocio y volumen de transacciones.
Establecer un plan de respuesta
Las organizaciones deben establecer un plan de respuesta para incidentes BEC. Esto incluye los procedimientos para notificar el incidente. Así como congelar la transferencia y notificarlo a las fuerzas del orden.
Utilice software antiphishing
Las empresas y los particulares pueden utilizar software antiphishing para detectar y bloquear correos electrónicos fraudulentos. A medida que se generaliza el uso de la IA y el aprendizaje automático, estas herramientas se vuelven más eficaces.
El uso de la IA en la tecnología de phishing sigue aumentando. Las empresas deben estar atentas y tomar medidas para protegerse.
¿Necesita ayuda con las soluciones de seguridad del correo electrónico?
Basta un momento para que el dinero salga de su cuenta y sea irrecuperable. No deje desprotegidos los correos electrónicos de su empresa. Llámenos hoy mismo para hablar de nuestras soluciones de seguridad para el correo electrónico.
Este artículo ha sido publicado con permiso de The Technology Press.