Business Email Compromise (BEC), también conocido como Email Account Compromise (EAC), es un tipo de ciberdelito que involucra el uso de técnicas de ingeniería social y phishing para engañar a los empleados y llevarlos a realizar transferencias de fondos fraudulentas o divulgar información confidencial. Este tipo de ataque se caracteriza por su sofisticación y por el hecho de que los delincuentes suelen hacerse pasar por ejecutivos de alto nivel, socios comerciales o clientes. Aquí se describen algunos de los tipos más comunes de estafas BEC:
1. El CEO Fraud (Fraude del CEO)
En este escenario, un ciberdelincuente se hace pasar por un alto ejecutivo de la empresa, a menudo el CEO, y envía un correo electrónico a un empleado, generalmente del departamento financiero, solicitando una transferencia urgente de fondos a una cuenta controlada por el atacante. La urgencia y autoridad aparente suelen presionar al empleado para que actúe rápidamente, sin verificar la solicitud.
2. Estafas de Facturas Falsas
Los atacantes se hacen pasar por proveedores o socios comerciales y envían facturas fraudulentas al departamento de contabilidad. Estas facturas son casi idénticas a las legítimas y solicitan el pago a cuentas bancarias controladas por los delincuentes. A menudo, esto se logra comprometiendo primero el correo electrónico del proveedor real o imitándolo de manera convincente.
3. Cambio de Cuenta Bancaria
Similar a las estafas de facturas falsas, en este tipo de BEC, el atacante informa a la empresa víctima sobre un supuesto cambio en la información de la cuenta bancaria de un proveedor conocido. Como resultado, los pagos futuros son redirigidos a una cuenta controlada por el ciberdelincuente.
4. Compromiso de la Cuenta de Correo Electrónico del Empleado
En este caso, el atacante logra acceso a la cuenta de correo electrónico de un empleado a través de phishing o malware. Luego, monitorea la comunicación para identificar oportunidades de fraude, como solicitudes de pago pendientes, y envía instrucciones de pago a una cuenta fraudulenta o interviene en hilos de correo electrónico para desviar fondos.
5. Estafas de Datos Confidenciales
Además de solicitar transferencias de dinero, algunos ataques BEC se centran en la extracción de información sensible de la empresa, como datos personales de empleados, información financiera o propiedad intelectual. Los atacantes pueden usar esta información para cometer fraude, robo de identidad o para lanzar ataques más dirigidos en el futuro.
Prevención y Respuesta ante Business Email Compromise
Las empresas pueden protegerse contra las estafas BEC implementando una combinación de medidas técnicas, como la autenticación de dos factores (2FA) y filtros de correo electrónico avanzados, y capacitación en conciencia de seguridad para los empleados.
Es crucial establecer procesos de verificación para solicitudes de transferencias de fondos y cambios en la información de pago, como confirmaciones por teléfono o en persona, especialmente para solicitudes inusuales o urgentes.