El compromiso del correo electrónico empresarial es un tipo de ciberdelincuencia cada vez más frecuente, que causa importantes pérdidas financieras a empresas de todo el mundo. Esta sofisticada estafa puede ser difícil de detectar y está diseñada específicamente para explotar las debilidades de los procesos internos y la tecnología de una empresa.

Entender qué es el compromiso del correo electrónico empresarial, cómo funciona y cuáles son algunas señales de advertencia le ayudará a evitar que su empresa sea víctima de este tipo de ataque. 

¿Qué es el Business Email Compromise (BEC)?  

El BEC es un tipo de ciberdelincuencia en el que un pirata informático tiene como objetivo a un alto ejecutivo u otro empleado de la empresa para obligarle a transferir fondos a una cuenta controlada por el pirata o para que revele información sensible.  

¿Cómo funciona??

Para obtener el control de un alto ejecutivo o de un empleado de una empresa, el pirata informático envía un correo electrónico a un alto directivo que dirige al usuario a "sitios web falsos" de aspecto muy similar a los sitios web de entidades legítimas para robar información del correo electrónico. En algunas circunstancias, el hacker enviará archivos adjuntos al correo electrónico del alto directivo que contienen un virus que se activará cuando se acceda a él. 

Una vez que el hacker obtiene acceso al correo electrónico, puede llevar a cabo varias actividades maliciosas, entre ellas: 

• Envío de solicitudes al departamento financiero desde la dirección de correo electrónico del alto ejecutivo, solicitando que los pagos se realicen a una cuenta controlada por el pirata informático. 
  

• Hacerse pasar por un proveedor o vendedor de confianza, solicitar un cambio en el método de pago o en los datos de la cuenta bancaria y facilitar un nuevo número de cuenta bancaria controlado por el pirata informático. El correo electrónico también puede incluir una sensación de urgencia o una razón convincente para el cambio de método de pago. 
  

• Se hacen falsas ofertas de trabajo a los solicitantes potenciales, solicitando información personal como números de la Seguridad Social, detalles de cuentas bancarias e información del pasaporte a través de un correo electrónico de un empleado de recursos humanos. El pirata informático puede explotar esta información para robar la identidad o realizar transacciones no autorizadas desde las cuentas de las personas.

 Estos son sólo algunos ejemplos de las muchas formas en que un hacker puede explotar un BEC. 

¿Por qué deben preocuparse las empresas?

Los ataques BEC pueden provocar importantes pérdidas financieras a las empresas. En algunos casos, el pirata informático puede solicitar la transferencia de grandes sumas de dinero y, si el departamento financiero de la empresa no detecta el fraude, los fondos pueden enviarse a la cuenta del pirata. 

Además de las pérdidas económicas, los ataques BEC también pueden dañar la reputación de una empresa y su resolución puede resultar costosa. Las empresas también pueden enfrentarse a consecuencias legales si se descubre que han ignorado las señales de alarma y han transferido fondos a una parte no autorizada. 

Banderas rojas de BEC  

Es esencial que las empresas sean conscientes de las señales de alarma que pueden indicar un ataque BEC. Estas son algunas de las señales de alarma más comunes:  

• Correos electrónicos de organizaciones o personas con las que la empresa no suele hacer negocios 
• Correos electrónicos que parecen proceder de un alto directivo que solicita un pago a una persona u organización desconocida o con una dirección de correo electrónico inusual. 
• Correos electrónicos que solicitan una acción inmediata para el pago 
• Correos electrónicos que indiquen cambios en un número de cuenta e información bancaria por cualquier motivo 

Cómo proteger su empresa?

Para proteger a su empresa de los ataques BEC, es importante aplicar medidas y procedimientos de seguridad que ayuden a prevenir el fraude y proteger la información confidencial. Estos son algunos pasos que puede dar para proteger su empresa:  

• Utilizar canales secundarios para verificar las solicitudes de cambio de número de cuenta 
• Compruebe la URL incluida en los correos electrónicos para confirmar que está asociada a la empresa de la que dice proceder 
• Evite hacer clic en hipervínculos enviados por correo electrónico y utilice en su lugar el enlace oficial del cliente. 
• Garantizar que los ordenadores de los empleados cuentan con las normas de seguridad adecuadas. 

En conclusión, el compromiso del correo electrónico empresarial es una amenaza sofisticada y creciente para las empresas de todo el mundo. Al comprender qué es el BEC, cómo funciona y qué señales de alarma hay que tener en cuenta, las empresas pueden tomar medidas proactivas para protegerse de este tipo de ciberdelincuencia.