El multimillonario fraude de los correos electrónicos corporativos comprometidos

Al menos 3.100 millones de dólares (más de 2.800 millones de euros) en más de 22.000 empresas de todo el mundo. Según el FBI, esta es la escandalosa cifra que se han embolsado los ciberdelincuentes en los dos últimos años con una táctica conocida como los Correos Electrónicos Corporativos Comprometidos (Business Email Compromise, BEC), tal y como ha analizado Trend Micro, compañía experta en seguridad.

El origen de esta estafa es muy simple. Basta con falsificar la cuenta del director de una compañía determinada para que el ciberdelincuente, suplantando la identidad de dicho responsable, envíe un email a algún empleado indicándole que debe realizar una transferencia a una cuenta. ¿Qué empleado va a poner en duda el email que recibe de su jefe? Dicho y hecho.

Según el informe difundido por Trend Micro, desde enero de 2015 se ha registrado un aumento del 1.300% en pérdidas expuestas identificadas, que asciende a una pérdida media de 140.000 dólares por estafa en cada caso. EE.UU. Canadá, Bélgica, Reino Unido y Australia son los países más afectados.

Según el FBI, los BEC son una estafa de correo electrónico sofisticada que ataca a empresas que trabajan con socios extranjeros, y que regularmente realizan pagos a través de transferencias electrónicas. Es lo que antes se conocía como Man-in-the-Email.

Una vez que el email del ejecutivo se ve comprometido y falsificado, el «hacker» envía correos electrónicos a los empleados que, desprevenidos, acatan la orden de su superior y transfieren grandes sumas de dinero a cuentas ubicadas en el extranjero.

Trend Micro asegura que esta práctica se ejecuta de tres maneras diferentes: con la táctica de la factura falsa, cuando el CEO es el protagonista (la táctica más utilizada) o con cuentas comprometidas.

El primer caso es cuando el cibercriminal ataca a una empresa que trabaja con un proveedor extranjero. Así, le envía un aparente «indefenso» email en el que le pide cambiar el número de cuenta.

Cuando el fraude lo comete el CEO es porque los estafadores han falsificado su cuenta de correo electrónico. Así, el directivo «envía» a un subordinado un email en el que le solicita hacer una transferencia a una cuenta que controla el estafador.

En último lugar se encuentran las cuentas comprometidas, una versión del fraude del BEC en la que se «hackea», en vez de falsificar, el correo del empleado y, desde ahí, se envían solicitudes de los pagos de las facturas a varios proveedores que se encuentran en su lista de contactos.

Normalmente, los cibercriminales envían este tipo de emails a los empleados del departamento financiero. De hecho, el CFO es el cargo que más se ha visto afectado a lo largo del estudio de Trend Micro.

La mayoría del «malware» que se utiliza en las tácticas BEC se adquieren en el mercado por un bajo coste o incluso gratuitas. Por tanto, los ciberdelincuentes no tienen problemas para extender sus ataques, por lo que las compañías deben estar prevenidas.

La compañía experta en seguridad insiste en la importancia de analizar cuidadosamente todos los correos electrónicos, aumentar la concienciación entre los empleados o verificar los cambios del lugar de pago de los proveedores haciendo, por ejemplo, una simple llamada.

Hay que estar al día con los hábitos de los clientes, comprobar las solicitudes e informar, recalca Trend Micro, de cualquier incidente a las autoridades o presentar una denuncia ante el organismo o entidad policial que corresponda.