BEC (Business Email Compromise), una modalidad de estafa informática que ataca a las empresas

Para el año 2016, el FBI reportó que el BEC, era un estafa informática que para entonces, había afectado a más de 22 mil empresas en Estados Unidos y más de 15 mil en otros países, lo total defraudado a ese año, rondaban los 3.1 mil millones de dólares.

Las empresas costarricenses no escapan a este tipo de delitos informáticos, hace pocos días, Erick Lewis, Jefe de la Sección de Delitos Informáticos del OIJ, informaba en el I Simposio Internacional de Derecho Informático, que en promedio, lo defraudado a empresas nacionales a través del BEC, alcanza los $40 mil dólares, siendo el monto más alto $240 mil dólares, a una sola empresa.

¿Qué es el BEC?

El Business E-mail Compromise o BEC, es definido por el FBI como una estafa sofisticada dirigida a las empresas que trabajan con proveedores extranjeros y que por lo tanto, realizan de manera regular pagos a través de transferencias bancarias internacionales.

La estafa se ejecuta comprometiendo las cuentas de correos electrónicos de los directivos de la empresa, de manera concreta, los ciberdelincuentes ubican y atacan las cuentas de los responsables de autorizar y realizar los pagos a los proveedores.

Las principales técnicas utilizadas para estos ataques de intrusión son la ingeniería social, el mail spoofing (suplantación de identidad), el phishing, los keylogger y el malware.

¿Cómo se realiza el BEC?

Este tipo de ataques complejos son realizados por grupos de cibercriminales organizados alrededor del mundo, los cuales estudian a sus víctimas en el día a día laboral durante semanas o incluso meses.

1. El primer paso es lograr ganar acceso a sus comunicaciones internas, a sus correos electrónicos y equipos de cómputo, para esto, utilizan técnicas como las siguientes:
   1. Ingeniería Social: A través de técnicas de engaño, logran manipular a empleados de la empresa, así obtienen información y datos confidenciales que luego podrán utilizar para identificar a las personas claves a las cuales deberán dirigir el ataque.
   2. Mail Spoofing: Conociendo ciertos datos de importancia de la empresa, utilizan técnicas de suplantación de identidad, enviando correos electrónicos haciéndose pasar por alguien de confianza: un cliente, proveedor, un compañero de trabajo, etc. Por lo general este correo tendrá un archivo adjunto o un link dirigido a una página, la victima abre el archivo o visita la página y es infectada con un malware, también podría dejar datos confidenciales en algún formulario a través de técnicas de phishing.
   3. Malware: una vez lograda la infección de malware en la red de la compañía, los ciberatacantes logran acceso a los correos electrónicos y computadoras de las víctimas.
   4. Keylogger: también a través de herramientas de Keylogger como HawkEye o Predator Pain and Limitless, los atacantes recopilan valiosos datos como claves de acceso y otra información confidencial de las de la empresa en general.
   5. Otras técnicas: dentro de otro tipo de ataques está el aprovechamiento de vulnerabilidades dentro del sistema informático de la empresa, así podrán lograr atacar y tener acceso a la red wifi, a los enrutadores o directamente al servidor.
2. Una vez que los ciberdelincuentes han logrado penetrar y permanecer desapercibidos en la red de comunicaciones de la compañía, inician una etapa de inteligencia en la cual aprenden de sus víctimas y sus funciones diarias, estudian sus rutinas de compras y pagos, su estilo de lenguaje a través de los correos electrónicos, la documentación utilizada para los procesos de compras, las cuentas bancarias, etc.
3. Después de conocer suficientemente la operación financiera de la empresa, lanzan el ataque enviando un email al encargado de los pagos, ya sea el gerente general, el gerente de finanzas o el de contabilidad, en este email, los ciberdelincuentes se hacen pasar por el proveedor o por el mismo gerente o director de la empresa, autorizando y solicitando el pago y enviando documentos iguales a los originales que siempre utilizan para los giros internacionales, pero con el número de cuenta bancaria de los cibercriminales.

Las modalidades utilizadas en esta estafa informática pueden ser varias, el FBI a identificado 5 diferentes versiones de BEC:

1. Empresas que trabajan con un proveedor extranjero: A través de una llamada telefónica o correo electrónica, se solicita a una empresa que transfiera fondos a un proveedor con el que ha tenido una larga relación comercial, los delincuentes falsifican la información de la solicitud y así obtienen los fondos. Este tipo de estafa también se conoce como, “esquema de facturas falsas”, “estafa de proveedores” o “esquema de modificación de facturas”.
2. Empresa o directivo que recibe o inicia una solicitud de transferencia bancaria: A través de una cuenta de correo falsa o pirateada, los delincuentes se hacen pasar por el gerente financiero o cualquier otro directivo con autoridad para solicitar o aprobar transferencias, a través de este medio envían una solicitud al empleado a cargo de procesar los pagos. En algunos casos la solicitud es realizada directamente a los bancos desde la cuenta de correo electrónica comprometida.
3. Cuenta de empleado comprometida: a un empleado le han hackeado su email, a través de éste se envían solicitudes de pago de facturas a los clientes, de acuerdo con los registros encontrados en el equipo comprometido del empleado, se les solicita el pago a cuentas bancarias fraudulentas controladas por los ciberdelincuentes.
4. Suplantación de abogado: los cibercriminales contactan por email o teléfono al director financiero, al gerente o al empleado encargado de los pagos, se identifican como abogados en representación de algún prestigioso bufete, indicando que son asuntos confidenciales y urgentes, de esta forma presionan a la persona contactada para que actúe rápido, de acuerdo al FBI, este tipo de engaño se da al final de la jornada laboral o la semana laboral, cuando los empleados son más vulnerables al pánico y al sentido de urgencia.
5. El robo de datos: a través de un email comprometido (hackeado) de algún funcionario de Recursos Humanos, los ciberdelincuentes solicitan a otros empleados, no transferencia de fondos, sino datos personales de otros empleados y ejecutivos, con esta información planean otros ataques dentro de la compañía.

De acuerdo con datos de la empresa Tren Micro, las posiciones más suplantadas para solicitar trasferencias de fondos son: el CEO (31%), el Presidente (17%) y el Director General(15%). Por otra parte, los perfiles más atacados dentro de las empresas para ser engañados por este tipo de estafas y solicitar la realización de trasnferencias son: el Gerente Financiero (40.38%), el Director Financiero (9.62%) y el Contralor Financiero (5.77%).

¿Cómo prevenir el BEC en su empresa?

El Business Email Compromise como lo indica su nombre, implica atacar tanto la infraestructura informática de la empresa, como el engaño al personal, por lo tanto su prevención debe cubrir aspectos técnicos y humanos:

1. Mantenga todos sus routers, servidores, antivirus y sistemas operativos actualizados, evite vulnerabilidades en la red, tenga en cuenta que los ciberdelincuentes mantienen escaneando los servidores, routers y sitios Web, para tratar de encontrar vulnerabilidades y realizar los ataques a través de éstas.
2. Proteja su servidor de correo con herramientas de defensa contra el BEC, en el mercado se consiguen algunas plataformas para cumplir con esta función.
3. Educación, educación y educación a los empleados, cree una conciencia de seguridad de la información, los empleados, son la parte más vulnerable. Hay que capacitarlos para que desconfíen de cualquier email sospechoso o algún cambio inesperado de última hora en la información financiera de un proveedor o de la misma empresa.
4. Crear unas políticas de seguridad fuertes que comprometan al empleado a seguir las normas y procedimientos.
5. Incluir protocolos de verificación de dos pasos en materia de autorización de pagos o accesos de usuarios a la red informática de la empresa.
6. Evite las cuentas de correo gratuitas para las operaciones laborales de la empresa.
7. Tenga cuidado con lo que publica en redes sociales y sitios web de la empresa, especialmente información relacionada a las funciones laborales de algunas personas, la información jerárquica u otra información operativa que otorgue más información de la necesaria. Redacte Políticas de uso de Redes Sociales y evite fugas de información.
8. Confirmar con el proveedor vía teléfono cualquier solicitud de cambio en la información financiera.
9. Confirmar con el director/empleado cualquier solicitud o autorización de pago de última hora.

Si su empresa ha sido víctima de BEC

• Contacte a su banco para tratar de reversar la transferencia o el pago.
• Contacte a un abogado con conocimiento en estos temas.
• No altere los correos o los equipos comprometidos, un perito informático forense podría recuperar valiosa información de esos equipos.
• Ponga la denuncia y contacte a la sección de delitos informáticos del OIJ.