Ten cuidado con estos 5 tipos de estafas BEC

Septiembre 29 2022
Kaseya
Compromiso del correo electrónico empresarial

¿Cuál es la mayor amenaza cibernética a la que se enfrentan las empresas? No es el ransomware, aunque este suele acaparar todos los titulares. Se trata del «business email compromise» (BEC). A veces denominado «compromiso de cuentas de correo electrónico» (EAC), el BEC puede provocar pérdidas empresariales potencialmente devastadoras. Por desgracia, la naturaleza camaleónica del BEC hace que sea difícil de detectar para la mayoría de las víctimas. Se trata de un problema grave, ya que este ataque puede causar rápidamente un daño enorme a los ingresos, la reputación y la productividad de una empresa. Esta mirada al complicado mundo del BEC le ayudará a desarrollar y mantener una sólida postura defensiva frente a la amenaza cibernética más costosa de la actualidad.   

Pago urgente requerido o estafas con facturas  

La variante más habitual de los ataques de BEC es la estafa de la factura o del pago urgente. En este caso, los delincuentes se hacen pasar por representantes de una empresa o de un organismo público y le dicen a la víctima que debe pagar una factura de inmediato para evitar consecuencias negativas, como la interrupción de su servicio telefónico. Por lo general, solicitan una transferencia bancaria a una cuenta fraudulenta, pero en ocasiones los delincuentes piden que el pago se realice mediante una tarjeta regalo o una tarjeta de prepago.  

Ejemplos

  • El FBI recibió muchos informes de fraudes de facturas BEC relacionados con COVID-19 dirigidos a grandes organizaciones sanitarias. Las víctimas recibían mensajes en los que se afirmaba que una factura falsa debía pagarse inmediatamente para que la organización recibiera un envío de suministros médicos o vacunas muy necesarios. Se indicaba a las víctimas que pagaran mediante transferencia bancaria. Por supuesto, los suministros nunca llegaron a manos de los desafortunados profesionales sanitarios.  
  • Tanto Facebook como Google fueron víctimas de estafas con facturas perpetradas por los mismos ciberdelincuentes, lo que provocó unas pérdidas totales de unos 121 millones de dólares. El lituano Evaldas Rimasauskas y sus cómplices crearon una empresa falsa que utilizaba el nombre de un proveedor de hardware real, «Quanta Computer». A continuación, el grupo presentó a Facebook y Google facturas fraudulentas, que estas empresas pagaron de inmediato, directamente a cuentas bancarias controladas por los delincuentes. 

Estafas de suplantación de ejecutivos  

Los delincuentes pueden hacerse pasar por un directivo de la empresa de la víctima o de otra organización para convencerla de que descargue un documento malicioso, les envíe dinero, les facilite información confidencial —como datos financieros— o les ayude a acceder a sistemas y datos restringidos.  

Ejemplos

  • En la empresa fabricante de juguetes Mattel, unos ciberdelincuentes que se hacían pasar por directivos de una empresa china engañaron a un ejecutivo para que autorizara un pago al extranjero de 3 millones de dólares a su falsa empresa en China. El ejecutivo pronto se dio cuenta de que la empresa china no existía y de que había transferido ese dinero a los ciberdelincuentes.  
  • Pathé, una empresa cinematográfica francesa, sufrió un ataque de tipo BEC en el que los ciberdelincuentes se hicieron pasar por el director general de la empresa. Los delincuentes se hicieron pasar por ejecutivos de la división holandesa de la empresa utilizando una dirección de correo electrónico similar al dominio legítimo de la empresa, pathe.com. Los estafadores convencieron a los ejecutivos para que transfirieran fondos a una «nueva» (falsa) cuenta bancaria para pagar la supuesta adquisición de una empresa en Dubái, lo que supuso una pérdida de 21 millones de dólares.  

Estafas por falsedad 

 En un escenario de tergiversación, los malos actores se dirigen a los empleados de determinados departamentos con la intención de engañarlos para que faciliten información sensible o pagos. Pueden hacerse pasar por funcionarios del gobierno o incluso por ejecutivos y colegas de la organización objetivo.  

Ejemplos

  • La organización benéfica Save the Children perdió un millón de dólares a manos de BEC. En esa estafa, el atacante consiguió acceder a la cuenta de correo electrónico de un empleado, y luego la utilizó para enviar facturas falsas y otros documentos al departamento de contabilidad de la organización benéfica alegando que el dinero era necesario para pagar unos paneles solares inexistentes para una clínica en Pakistán. El departamento de contabilidad no sospechó nada porque las facturas procedían de una dirección de confianza. 
  • En un incidente ocurrido en Snapchat, unos delincuentes se pusieron en contacto con un empleado con acceso privilegiado del departamento de recursos humanos de la empresa. Al hacerse pasar por el director general y solicitar información con fines comerciales rutinarios, los ciberdelincuentes lograron engañar al empleado para que les enviara datos financieros confidenciales, incluidos detalles de las nóminas de empleados actuales y antiguos. El gigante tecnológico Ubiquiti Networks fue víctima de un ataque BEC y sufrió pérdidas por valor de 46 millones de dólares en 2015 después de que unos estafadores, haciéndose pasar por empleados, convencieran a otros empleados del departamento financiero para que les enviaran dinero con pretextos que parecían legítimos.  

Estafas con tarjetas regalo  

La urgencia es una característica distintiva de las estafas con tarjetas regalo relacionadas con el BEC. Los estafadores asustan a sus víctimas, por ejemplo, diciéndoles que se les cortará el suministro eléctrico a su empresa por impago, a menos que paguen la factura inmediatamente con una tarjeta regalo. La Comisión Federal de Comercio de EE. UU. ofrece varios ejemplos de situaciones de estafa con tarjetas regalo con las que se ha encontrado.  

  • La víctima recibe un correo electrónico que parece proceder de un organismo gubernamental, a menudo del Servicio de Impuestos Internos de EE. UU. o de la Administración del Seguro Social.  
  • Afirman que la víctima o la empresa de la víctima debe pagar impuestos o una multa y que, si no lo hace de inmediato, se enfrentará a graves consecuencias.  
  • Un ciberdelincuente envía un mensaje haciéndose pasar por el servicio técnico de Apple o Microsoft, en el que afirma que hay un problema con los sistemas o servicios de la empresa y que la víctima debe pagar para solucionarlo.  
  • En una estafa habitual y alarmante relacionada con las tarjetas regalo, los estafadores se hacen pasar por representantes de una empresa de servicios públicos, como una compañía eléctrica, y amenazan con cortar el servicio si la víctima no paga de inmediato.  
  • Los ciberdelincuentes se hacen pasar por clientes que afirman haber enviado un pago incorrecto y que se les debe dinero, y a veces amenazan con emprender acciones legales si no se devuelve rápidamente el "pago en exceso". 

Fraude de credenciales o de información  

Una estafa BEC de compromiso de credenciales comienza con actores maliciosos que piden a la víctima que proporcione credenciales con el pretexto de que han extraviado credenciales que ya se les habían dado o que no se les dieron las correctas para completar una tarea. Ambas variantes conducen al mismo resultado: un malhechor engaña a un empleado para que le dé acceso a sistemas, cuentas y datos que no debería tener.  

Ejemplos

  • Twitter fue víctima de un ataque BEC. En este incidente, los malhechores se hicieron pasar por contratistas de reparaciones y se pusieron en contacto con empleados de Twitter. Convencieron a un empleado de Twitter de que había habido una confusión y no habían recibido las credenciales correctas para acceder a un sistema que requería reparaciones. Tras obtener las credenciales de acceso del crédulo empleado, los ciberdelincuentes pudieron hacerse con el control de cuentas pertenecientes a celebridades, entre ellas Donald Trump y Elon Musk, y utilizarlas con fines nefastos.  
  • En febrero de 2021, el conocido empresario Obinwanne Okeke fue condenado a 10 años de prisión por su participación en una estafa de BEC que causó pérdidas por valor de al menos 11 millones de dólares a sus víctimas. Mediante el uso de correos electrónicos de phishing para obtener las credenciales de acceso de ejecutivos de empresas (entre ellos, el director financiero de la empresa británica Unatrac Holding), se hizo con una vía directa para llevar a cabo un ataque de BEC. 

Graphus a las empresas del peligro del BEC

La seguridad del correo electrónico basada en IA Graphusconstituye una potente defensa contra amenazas de BEC como estas y otros ataques relacionados con el phishing. En comparación con la protección integrada del correo electrónico o un SEG, las soluciones de seguridad del correo electrónico automatizadas y basadas en API, como Graphus queun 40 % más de mensajes de spear phishinglleguen a la bandeja de entrada de los empleados. A continuación te explicamos cómo:    

  • TrustGraph es un poderoso escudo entre las bandejas de entrada de los empleados y los mensajes maliciosos. Esta tecnología patentada utiliza más de 50 puntos de datos distintos para descubrir sofisticados mensajes de phishing, incluso ataques de día cero.     
  • EmployeeShield muestra un recuadro brillante y destacado en los mensajes sospechosos, recordándoles que sean precavidos. Los empleados pueden designar un mensaje como auténtico o malicioso con un solo clic.     
  • Phish911 facilita a los empleados la denuncia de cualquier mensaje que no consideren seguro. Cuando un empleado denuncia un correo electrónico potencialmente malicioso, el mensaje se elimina inmediatamente de las bandejas de entrada de todos.      
  • Despliegue sencillo e integración sin esfuerzo mediante API con Microsoft 365 y Google Workspace. 
  • La mitad de precio que la competencia 

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 es la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Los clientes de Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Compromiso del correo electrónico empresarial (BEC): ¿Qué es y por qué es peligroso?

El correo electrónico comercial comprometido (BEC) es una estafa relacionada con el phishing que puede provocar pérdidas de reputación y financieras para su organización. Aprenda cómo.

Leer la entrada del blog