El Business Email Compromise, conocido como fraude BEC, es uno de los fraudes que más dinero le cuesta a las empresas en el mundo. No porque sea técnicamente sofisticado, sino porque es difícil de detectar a simple vista.
¿Cómo funciona el fraude BEC?
El fraude BEC no implica necesariamente el hackeo los sistemas de tu empresa. En muchos casos, ni siquiera se compromete ninguna cuenta de correo. Lo que hacen los delincuentes es más sencillo y más efectivo que eso:
1. Estudian a su víctima. Investigan quiénes son los proveedores de la empresa, cómo se llaman las personas que autorizan pagos, cuál es el tono de comunicación que usan. Esa información está disponible en LinkedIn, en el sitio web de la empresa y en correos que a veces quedan expuestos en filtraciones de datos.
2. Crean una cuenta de correo casi idéntica a la de un proveedor real. Por ejemplo, si el proveedor usa contacto@proveedorreal.com, el atacante crea contacto@proveedor-real.com o contacto@proveedorrreal.com. La diferencia es de un carácter.
3. Envían el correo en el momento correcto. Justo cuando hay una factura pendiente, cuando está por vencer un plazo de pago o cuando el proveedor real acaba de hacer contacto.
4. Esperan. El empleado que recibe el correo no tiene motivos para dudar. Sigue el proceso normal y transfiere el dinero. En algunos casos más avanzados, los delincuentes sí logran acceder a la cuenta de correo real del proveedor y responden desde ahí. En esos casos, detectarlo es aún más difícil porque el correo es genuino.
¿Por qué es tan difícil detectar un fraude BEC?
Porque va en contra de lo que normalmente hacemos bien: seguir procesos establecidos y responder rápido a los correos.
El empleado que cae en este fraude no cometió un error grave de juicio. Recibió un correo que parecía legítimo, de alguien conocido, sobre un tema esperado, y actuó como lo haría en cualquier otra ocasión.
Algunos factores que hacen más difícil detectarlo:
➥Los correos están bien redactados, sin faltas de ortografía ni errores obvios.
➥Mencionan detalles reales: nombres, montos, referencias de facturas anteriores.
➥Llegan en momentos donde hay presión de tiempo o volumen alto de trabajo.
➥La diferencia en la dirección de correo es de uno o dos caracteres que casi nadie revisa con detenimiento.
➥En empresas donde los pagos los autoriza una sola persona, no hay un segundo par de ojos que pueda detectar algo raro.
¿Quiénes suelen ser víctimas de ataques BEC?
Las empresas de todos los tamaños. Pero hay perfiles que son objetivo más frecuente:
➥Empresas que trabajan con proveedores recurrentes y pagos programados. El atacante sabe cuándo esperar el pago y puede calcular el momento exacto para enviar el correo.
➥Empresas con procesos de pago centralizados en una persona. Si una sola persona autoriza y ejecuta los pagos sin validación adicional, el fraude puede completarse sin que nadie más lo vea.
➥Empresas en crecimiento. Cuando hay mucha actividad, nuevos proveedores y equipos que todavía están estableciendo procesos, es más fácil que algo pase desapercibido.
Según el FBI, el fraude BEC generó pérdidas de más de 2,900 millones de dólares solo en Estados Unidos en 2023. En México y América Latina el subregistro es alto, pero los casos son frecuentes y crecientes.
5 tips para evitar que tu empresa sea víctima de fraudes BEC
La buena noticia es que este fraude se puede prevenir con controles que no requieren tecnología costosa. Lo que sí requieren es disciplina y consistencia:
1. Verifica cualquier cambio de datos bancarios por teléfono. Siempre, sin excepción, si un proveedor te pide que deposites a una cuenta diferente, llama al número que ya tienes registrado, no al que aparece en el correo. Este paso por sí solo detiene la mayoría de los casos.
2. Implementa doble autorización en pagos. Que una sola persona no pueda autorizar y ejecutar una transferencia sin que alguien más la valide. No tiene que ser complejo: puede ser tan sencillo como que dos personas confirmen antes de ejecutar pagos mayores a cierto monto.
3. Capacita a tu equipo para revisar la dirección de correo completa. No solo el nombre del remitente, sino la dirección exacta.
A veces un solo caracter hace la diferencia. Por ejemplo una letra "r" extra en medio en un dominio legítimo como: bancomer.com y uno falso: bancorner.com
4. Establece un protocolo claro para cambios en datos de proveedores. Cualquier actualización de cuenta bancaria debería requerir confirmación directa con el proveedor, no solo por correo.
5. Desconfía de la urgencia. "Es urgente, necesitamos el pago hoy" es una señal de alerta, no una razón para saltarse el proceso de validación.
En resumen, el fraude BEC no explota necesariamente una vulnerabilidad técnica, explota la confianza, la rutina y la presión del día a día. Por eso es efectivo y por eso sigue creciendo.
La diferencia entre una empresa que cae y una que no, casi siempre, es si tiene o no un proceso establecido para validar pagos. No hace falta que sea complicado. Solo tiene que existir y cumplirse.
:background_color(white)/hotmart/product_contents/2725f7a4-d76a-46d7-aade-d11796bfd47c/EASYSECPLANDECIBERSEGURIDADDESCARGA.png)
.png)
?){kind=link}
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.