Así funcionan las estafas a los empleados por correo electrónico   

Las vulneraciones de correo electrónico empresarial (BEC) y de cuentas de correo electrónico (EAC) están afectando a empresas de todos los tamaños y sectores sin excepción, provocando unas pérdidas económicas superiores a las de cualquier otra actividad del cibercrimen. Según datos del FBI, estas amenazas han costado a las organizaciones unos 26.200 millones de dólares entre junio de 2016 y junio de 2019. El año pasado solo las estafas BEC concentraron más de la mitad de los daños financieros a empresas por delitos en ciberseguridad: unos 1.770 millones de dólares en total, con un promedio de unos 74.723 dólares por cada incidente. Son ataques que eluden eficazmente las defensas tradicionales del correo electrónico, ya que no utilizan métodos basados en malware como es lo habitual. De aquí a 2023, Gartner apunta que estas amenazas se duplicarán cada año hasta superar los 5.000 millones de dólares.

Expertos de la compañía de ciberseguridad y cumplimiento normativo Proofpoint informan que cada día detectan, analizan y bloquean más de 15.000 mensajes BEC, lo que supone cerca de cuatro millones de amenazas al año. Desde esta compañía se ofrece a organizaciones de todo el mundo el conocimiento necesario para entender mejor en qué consisten y cómo se producen estos ataques BEC/EAC, aportando soluciones avanzadas contra amenazas por correo electrónico, a fin de que puedan protegerse de manera adecuada. Entre los distintos ataques BEC que se dan en la actualidad, Proofpoint remarca la creciente incidencia de estafas que tienen como objetivo desviar nóminas para que lleguen finalmente a manos de los ciberdelincuentes, así como de otras en las que se suplanta al CEO o a algún otro directivo de la empresa para engañar a la posible víctima y que les envíe dinero de manera fraudulenta usando tarjetas regalo de conocidas empresas de venta minorista. En lo que coinciden todas estas estafas BEC es que los atacantes se sirven de la suplantación de identidad y la ingeniería social para su propio beneficio económico.

 

Las nóminas, una estafa habitual

 

Sin duda, uno de los ataques BEC más lucrativos tiene que ver con los pagos de nóminas en empresas. Durante la primera mitad de 2020, Proofpoint calcula que ha llegado a detectar y detener más de 35.000 estafas de este tipo, evitando que unos 2,2 millones de dólares diarios acabasen en manos de los ciberdelincuentes.

En estas amenazas se intenta redirigir los pagos de una empresa de las cuentas bancarias de destino legítimas a otras bajo el control de los ciberdelincuentes. Estos ataques no tienen por qué tener en el punto de mira a empleados VIP de la organización, por lo que, para protegerse mejor contra este tipo de estafas, es fundamental que las soluciones de seguridad de la compañía sean capaces de detectar cualquier correo electrónico fraudulento. Si quieren tener éxito, los autores de estas amenazas deben saber también identificar correctamente a la persona de recursos humanos o de otro departamento de la empresa encargada de las nóminas para dirigirse a ella y conseguir que haga los cambios oportunos en los datos sobre el depósito de este dinero.

Como no puede ser de otra manera, dada la vinculación de estas estafas con el mundo laboral, los lunes y los martes, así como la segunda y última semana del mes, son los momentos elegidos por los ciberdelincuentes para perpetrar estos ataques BEC. Proofpoint apunta además que estos suelen emplear como cebo asuntos del tipo “ingreso directo” en sus mensajes de correo electrónico.

 

De la transferencia bancaria a la compra de tarjetas regalo

 

Los ciberdelincuentes llevan a cabo también otras tácticas que pueden pasar inadvertidas para las víctimas. Tal es el caso de los fraudes en los que se insta al usuario a enviar dinero mediante tarjetas regalo de alguna tienda conocida, en lugar de realizar una transferencia bancaria. Es una táctica muy rápida y fácil para los atacantes, en las que el empleado no tiene que seguir instrucciones complicadas y, al no conocerse tanto este método relacionado con el cibercrimen, es más probable que el usuario confíe en lo que se le dice y, de ahí, que finalmente el ataque surta efecto.

La petición suele partir supuestamente del CEO u otro directivo de la compañía a la que pertenece la víctima. El hecho de tratarse de personas con autoridad, junto con el carácter de urgencia que se manifiesta en los mensajes, hace que el usuario termine accediendo y desvelando los detalles de la compra al estafador. En Proofpoint señalan que desde marzo de 2020 los ciberdelincuentes han suplantado la identidad de más de 7.000 directivos. Más del 50% de sus clientes corporativos ha tenido algún caso de este tipo en lo que va de año. Teniendo en cuenta estos datos, se calcula que en los últimos 90 días un CEO puede haber sido objeto de suplantación unas 102 veces de media.

“Los ataques BEC/EAC se han convertido rápidamente en una de las ciberamenazas más costosas para las organizaciones, de ahí que no resulte nada extraño su creciente uso entre los atacantes”, apunta Adenike Cosgrove, estratega de ciberseguridad para los mercados internacionales de Proofpoint. “A la hora de emplear estas tácticas, los ciberdelincuentes invierten mucho tiempo y esfuerzo para dirigirse exactamente a la persona adecuada en el momento adecuado, llegando a ser además muy convincentes. Pese a que se tenga la sensación de que los atacantes van a explorar todas las vías posibles, lo más importante en cualquier estafa BEC/EAC es que las organizaciones y sus empleados estén convenientemente preparados para reconocer estos correos y combatirlos”.

 


Observatorio de Recursos Humanos

Desde 2006 trabajamos para ofrecer contenidos e información de valor para el profesional de la gestión de RRHH, con el convencimiento de que el conocimiento, en sus vertientes de creatividad, innovación y aprendizaje continuo, es el principal valor de una dirección eficaz.



Suscríbete al boletín

* campos obligatorios
Acepto las condiciones de uso y la política de privacidad


Síguenos en Redes Sociales