Correo empresarial comprometido: ¿cómo evitar ser víctima?
29 de Abril de 2021
Alejandro Hristodulopulos
Director Senior de FTI Consulting para América Latina
Práctica de Riesgos e Investigaciones
¿Qué tan probable es que usted responda rápidamente a un correo electrónico que parece provenir directamente de una persona de nivel ejecutivo en su organización, un correo electrónico de un proveedor externo de confianza o un correo electrónico marcado como de alta importancia por un “socio comercial”?
¡Muy probable! Los estafadores confían, consistentemente, en que las personas toman medidas inmediatas, ya sea por la fuente del correo electrónico (es decir, el CEO de la empresa), la urgencia descrita en el mensaje, o ambos. Los correos electrónicos que se hacen pasar por personas legítimas con fines nefastos son una amenaza de rápido crecimiento en nuestra región y el objetivo no es otro que cometer fraude financiero mediante la obtención de información que permite hacer transferencias bancarias engañosas.
El correo electrónico de un estafador puede parecerse al siguiente:
“Carlos,”
“Estamos llevando a cabo una adquisición fuera de Colombia. Espera una llamada de Pablo Morales de ABC Lawyers para discutir cómo lo ejecutamos. Quiero que sigas por favor las instrucciones de pago y cumplamos con los requerimientos que nos hacen. Como estamos en una fase de exclusividad y debido la sensibilidad de la oportunidad, no se le puede mencionar a nadie más esta transacción”.
“Mil Gracias”,
“Jorge Presidente | Enviado desde mi iPhone”
Este tipo de estafa se denomina fraude mediante correo electrónico empresarial comprometido (BEC, por su sigla en inglés: business email compromise). Aunque en un principio puede parecer fácil de identificar, en realidad es un problema en expansión que está costando miles de millones de dólares en fondos perdidos o secretos comerciales extraídos de las empresas.
Un verdadero desafío
El BEC es problemático, porque implica ingeniería social sofisticada y algorítmica que elude la seguridad informática tradicional, aprovechándose de la tendencia natural de los empleados a “querer colaborar”. Es probable que los dos socios del ejemplo se conozcan bien, que las instrucciones que Jorge le da a Carlos siguen los procedimientos normales de la empresa y que el correo electrónico parezca completamente normal sin una sola modificación a las letras, como si lo hubiera enviado el verdadero CEO.
Del mismo modo, el BEC pone a prueba la solidez de los departamentos de finanzas y contabilidad de una empresa, así como los controles internos; lleva la seguridad general del correo electrónico empresarial a algo que va más allá de la confianza en el sentido común de la mayoría de los empleados. Simplemente, el algoritmo de fraude es más innovador que la razón humana. Incluso, las empresas que tienen una excelente seguridad informática pueden ser potencialmente vulnerables.
Se trata de una estafa compleja que ha sido perfeccionada con el tiempo. Manifiesta su estrategia en cuentas de correo electrónico empresariales genuinas, pero vulneradas, y utiliza técnicas de intrusión informática e ingeniería social para obtener transferencias de fondos no autorizados. La ingeniería social se define como el hecho de persuadir, amenazar o simplemente engañar a las personas para que suministren información o realicen una acción que ayude al estafador en su actividad delictiva.
¿Cómo opera?
El BEC se produce con mayor frecuencia en empresas que suelen realizar transferencias de fondos a escala global, aunque también puede hacerse mediante cheques, códigos de gastos administrativos u otros medios. Los estafadores utilizan métodos consistentes con las prácticas habituales de una empresa. Los ataques BEC generalmente funcionan de dos maneras:
(i) Las cuentas de correo electrónico de los objetivos son falsificadas por los ciberdelincuentes para que parezca que se han originado en una fuente diferente. Por ejemplo, el mensaje está diseñado para que parezca enviado desde CEO@CompanyX.com, cuando la dirección real es BadGuy1@BEC.com. Solo una persona técnicamente sofisticada podría darse cuenta de esto.
Otro intento de suplantación de identidad es cuando las direcciones de correo electrónico se crean con solo un ligero cambio para que parezcan legítimas. Esto podría ser algo tan simple como usar un guion bajo, en lugar de un guion en la dirección de correo electrónico.
(ii) El segundo método es a través de cuentas comprometidas. Esto implica que los ciberdelincuentes obtienen credenciales para las cuentas de correo electrónico de las personas por las que quieren hacerse pasar, y distribuyen mensajes ilegítimos. Las credenciales se pueden recopilar de varias formas, tales como violaciones de bases de datos, estafas de phishing, intromisiones al equipo a través de herramientas como Team Viewer o ataques de “fuerza bruta”. En este caso, la cuenta de correo electrónico es legítima, pero el mensaje no lo es.
Los estafadores hacen su tarea. Verifican la información disponible públicamente, como páginas web, comunicados de prensa y redes sociales para obtener información sobre los detalles operativos relevantes de la empresa, tales como:
- Dónde opera la empresa y con quién.
- Nombres y cargos de los funcionarios de la empresa.
- Personas con responsabilidad en transferencias/transacciones monetarias.
- Estructura administrativa organizacional y líneas jerárquicas.
- Cambios en el personal directivo.
- Rondas de financiación.
- Nuevos productos y servicios o patentes.
A continuación, los estafadores proceden a preparar el correo electrónico. Suplantando una cuenta o generando nuevas cuentas con un error tipográfico deliberado o, inclusive, ocultándolo de la vista humana, hacen que el dominio del correo electrónico parezca legítimo. El correo electrónico se redacta en un tono familiar, pero urgente y utiliza una excusa como un viaje o una reunión para explicar la razón de la solicitud. Así mismo, indica una cantidad realista de dinero por transferir de acuerdo con los procedimientos estándar y se firma de manera informal o, incluso, con una firma real que ha sido jaqueada o de dispositivo predeterminada.
Variaciones
Existen numerosas variaciones de la metodología de fraude por BEC y, aunque se basan sistemáticamente en la ingeniería social, pueden adoptar varias formas.
Un tipo frecuente de fraude BEC es el de CEO “enmascarado”, en el que el ciberdelincuente se hace pasar por un alto ejecutivo de la empresa y envía correos electrónicos a una persona de finanzas. Según Trend Micro, las posiciones más imitadas por los estafadores son: director ejecutivo 31 %, presidente 17 %, residente y director ejecutivo 13 % y director general 15 %.
Otro tipo frecuente es la suplantación de abogados. El ciberdelincuente se hace pasar por abogado y envía correos electrónicos a una persona de finanzas.
Los estafadores se ponen en contacto con las víctimas por teléfono o correo electrónico, alegando que son representantes de bufetes de abogados o abogados independientes. A continuación, los estafadores suelen llevar a la víctima para que mantenga la confidencialidad de la solicitud y/o para que actúe con rapidez al transferir los fondos o a tomar una acción puntual. Para que esta técnica funcione, suelen ponerse en contacto con la persona encargada de finanzas justo antes del cierre del negocio, el cierre de facturación o al final de la semana laboral.
¿Cómo afrontarlo?
El BEC pone en tela de juicio el entorno del control interno en los departamentos de finanzas y contabilidad. Las empresas pueden enfrentarse a la amenaza del BEC o a las consecuencias de sus actividades, pero todo pasa por la mejora de los controles internos existentes y la madurez continua. Así mismo, hay que pensar en los controles de los terceros que interactúan con uno a nivel de sistemas de información. En los casos en los que hemos trabajado recientemente, la mayoría de los jaqueos ocurre de manera indirecta.
Hay tres actividades que pueden ayudar a reducir el riesgo de exposición al BEC: evaluar, identificar y corregir.
Es fundamental evaluar el entorno de control interno, las políticas y procedimientos contables, y los mapas de sistemas informáticos. También es necesario identificar las posibles segregaciones de funciones, deficiencias de los controles de ciberseguridad y los requisitos de divulgación reglamentaria. Posteriormente, hay que implementar controles, comunicarse con los reguladores y asegurar recursos para la gestión.
La evaluación de los controles y la identificación de las deficiencias no solo ayudarán a salvaguardar los activos de una empresa, sino también reducirán las posibilidades de que se produzcan errores en los resultados financieros como consecuencia de falencias en los controles internos de la información financiera. La creación de planes de acción detallados para corregir las deficiencias del control interno mitigará la probabilidad de un evento de BEC (o de que se repita). Sin embargo, siempre es importante hacer pruebas de recorrido para corroborar que las deficiencias fueron abordadas.
Si usted o un cliente es víctimas de un evento de BEC, es esencial que un equipo independiente de expertos se movilice rápidamente para investigar el incidente a fondo, salvaguardar la evidencia para futuros litigios y diseñar tácticas de recuperación que perduren en el futuro.
En un escenario posterior a un evento de BEC, el resultado dependerá, en gran medida, de una solución forense global integral. Responder rápidamente para investigar el origen del fraude BEC es imperante. Si bien siempre se solicitan respuestas a nivel interno, es necesario que expertos ayuden a identificar a los autores, cuantifiquen el alcance de las pérdidas y los daños, brinden apoyo a las acciones de recuperación y colaboren con los abogados para abordar los riesgos regulatorios y litigiosos. Igualmente, es fundamental pensar en estrategias de gestión crisis y comunicación en caso de que el evento se haga público y se piense en la reputación como el activo número uno a proteger. Sin embargo, si bien hay que reaccionar adecuadamente, la mejor línea de defensa será la prevención. Por eso, a final de cuentas, crear conciencia es la mejor manera de prevenir el fraude BEC. Entrenar a sus empleados sobre lo descrito debe ser su primer plan de acción.
Opina, Comenta