user_mobilelogo
  • Banner_Taller_Hablar_Online_2020_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_Taller_Hablar_Online_2020_Viveinternet.jpg
  • Banner_Taller_RV_2020_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_Taller_RV_2020_Viveinternet.jpg
  • Banner_Taller_RA_2020_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_Taller_RA_2020_Viveinternet.jpg
  • Banner_Taller_Videojuegos_2020_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_Taller_Videojuegos_2020_Viveinternet.jpg
  • Banner_Taller_Que_No_Te_Engaen_2020_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_Taller_Que_No_Te_Engaen_2020_Viveinternet.jpg
  • Banner_Charla_Uso_Resp_TIC_2020_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_Charla_Uso_Resp_TIC_2020_Viveinternet.jpg
  • Banner_GIF_desde_casa_Viveinternet.jpg
    https://www.viveinternet.es/images/headers/Banner_GIF_desde_casa_Viveinternet.jpg
  • 028_header_OCTSI.jpg
    https://www.viveinternet.es/images/headers/028_header_OCTSI.jpg
  • Copy-of-ViveInternet-.jpg
    https://www.viveinternet.es/images/headers/Copy-of-ViveInternet-.jpg
Pin It

Foto Noticia Estafas BEC

 

En este artículo abordamos una de las ciberestafas más empleadas en los últimos tiempos en el ámbito corporativo. Ningún empleado que reciba un correo electrónico de su Director General o su Presidente pondrá en duda lo que en él le solicita. En este simple razonamiento se basan las estafas por correo electrónico corporativo comprometido, estafas BEC en sus siglas en inglés.

El mecanismo es bien sencillo. El ciberestafador, haciéndose pasar por un alto ejecutivo de la empresa, solicita a un empleado que realice una transferencia urgente a un proveedor o que pague una factura. Partiendo de esta premisa común, se han tipificado tres versiones de estafas BEC:

  1. Esquema de Factura Falsa. El estafador contacta con el cliente por teléfono, fax o correo electrónico solicitándole que una factura se abone en una cuenta de banco diferente a la prevista. Obviamente una cuenta falsa controlada por el estafador.
  2. Fraude del CEO. En este caso, el estafador falsifica la cuenta de correo electrónico de un director ejecutivo de la empresa (CEO, en sus siglas en inglés) y, haciéndose pasar por él, envía un email a un empleado donde solicita a este que realice una transferencia a una cuenta controlada por él
  3. Cuentas comprometidas. Se hackea, que no falsifica, el correo electrónico de un empleado de la empresa con capacidad para realizar transferencias y se envían desde este correo electrónico solicitudes de pagos de facturas a varios proveedores que se encuentran en la lista de contactos del empleado, normalmente involucrando solicitudes de pagos enviados a las cuentas controladas por los estafadores

Las empresas objetivo de estas ciberestafas suelen ser empresas con clientes en el extranjero y habituadas a ordenar transferencias electrónicas. Los puestos de estas empresas que normalmente se suplantan son los de altos directivos, como Presidente, Gerente y Directores Ejecutivos. Por su parte, la víctima, o mejor dicho, el cómplice, involuntario en este caso, que recibe la falsa orden para realizar el pago, son empleados de los departamentos financieros con capacidad para realizar transferencias.

La herramienta que habitualmente usa el estafador para realizar este tipo de actividad es un simple malware que puede comprarse por tan solo 50 dólares, o incluso adquirirlo de forma gratuita, la mayoría de ellos keyloggers, capaces de enviar la información que escribimos desde el teclado a una cuenta controlada por los estafadores.

En cuanto a los mecanismos de prevención, al tratarse de una estafa basada en el error humano, la forma más eficaz es formar y concienciar al personal del departamento de finanzas de las empresas sobre este riesgo, además de establecer procedimientos internos de seguridad para transferencias electrónicas, como por ejemplo la necesidad de una doble firma para la autorización de la misma. Como complemento a estos mecanismos, también es conveniente tener actualizada la protección de acceso a las cuentas de correo electrónico de los empleados y directivos de la empresa.

 
ViveInternet
 
 

Licencia de Creative Commons
Este obra está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional