
Señales de alerta de Business Email Compromise que todo empleado debe conocer
Escuchar este artículo
Loading...- ¿Qué es el Business Email Compromise y por qué debería importarle?
- Señales de advertencia de estafas BEC: las alertas que deberían detenerlo en seco
- 1. Urgencia y tácticas de presión
- 2. Suplantación de dominio y direcciones parecidas
- 3. Incongruencias en Reply-To
- 4. Solicitudes de pago inusuales o cambios
- 5. Suplantación del CEO y abuso de autoridad
- 6. Solicitudes para omitir procedimientos normales
- 7. Tono o lenguaje ligeramente fuera de lo normal
- Fraude por correo en transferencias bancarias: los pasos de verificación que realmente funcionan
- Concientización de seguridad del correo para empleados: construir un firewall humano
- Qué hacer si su empresa es víctima de una estafa BEC
- La conclusión para las empresas del condado de Palm Beach
- ¿Le preocupa la seguridad del correo empresarial?
TL;DR: Las estafas de business email compromise (BEC) están dejando a las pequeñas empresas en números rojos: hablamos de pérdidas de seis cifras por un solo correo fraudulento. Cada empleado de su empresa debe saber cómo se ven estas estafas antes de hacer clic, responder o (Dios nos ampare) transferir dinero a un delincuente que se hace pasar por el CEO. Aquí tiene qué debe vigilar y qué hacer al respecto.
Mire, llevo reparando computadoras y limpiando desastres digitales en el condado de Palm Beach desde hace más tiempo del que algunos de sus empleados llevan vivos. He visto virus, ransomware y todo tipo de malware que se pueda imaginar. Pero lo que me quita el sueño no es un exploit sofisticado de día cero. Es un correo aparentemente normal que dice: "Hola, ¿puedes transferir $47,000 a esta nueva cuenta de proveedor? Estoy en una reunión, no me llames". Y alguien lo hace. Porque parecía que venía del jefe.
Eso es business email compromise, y es la amenaza cibernética más costosa a la que se enfrentará la mayoría de las pequeñas empresas. El Centro de Quejas de Delitos en Internet del FBI ha clasificado de forma constante el BEC como una de las categorías de ciberdelito más costosas, y las cifras siguen aumentando. No estamos hablando de un chico en un sótano. Son criminales organizados y pacientes que estudian su empresa antes de atacar.
Así que hablemos de las señales de alerta. Todas y cada una de las personas en su oficina deben conocerlas: desde la recepcionista hasta el CFO. Especialmente el CFO, de hecho.
¿Qué es el Business Email Compromise y por qué debería importarle?
La prevención del business email compromise comienza por entender a qué se enfrenta. Una estafa BEC es un tipo de ataque de ingeniería social por correo electrónico en el que un delincuente suplanta a alguien en quien sus empleados confían (por lo general, un ejecutivo, un proveedor o un socio comercial) para engañarlos y lograr que envíen dinero, datos sensibles o credenciales de inicio de sesión.
Esto no es el correo del príncipe nigeriano de 2003. (Aunque, sinceramente, algunas personas todavía caen en eso. Lo he visto.) Las estafas BEC modernas son dirigidas, investigadas y preocupantemente convincentes. El estafador puede conocer el nombre de su CEO, los proveedores de su empresa, su calendario de pagos e incluso el tono que usa su jefe en los correos. Hacen la tarea.
Y aquí viene lo peor: a menudo no hay malware involucrado. No hay virus que detectar. No hay adjunto que escanear. Es simplemente una mentira bien elaborada en un correo. Por eso el software antivirus por sí solo no lo salvará en este caso. Necesita personas que sepan qué buscar.
Señales de advertencia de estafas BEC: las alertas que deberían detenerlo en seco
Voy a explicarle las señales específicas de advertencia para la detección de fraude por correo electrónico en las que se debe capacitar a los empleados. Imprima esto. Péguelo en la pared junto a la impresora. No me importa si se ve feo: podría salvar su empresa.
1. Urgencia y tácticas de presión
"Necesito que esto se haga YA". "Esto es urgente, no lo comentes con nadie". "Perderemos este trato si la transferencia no sale hoy".
¿Le suena? Los estafadores fabrican urgencia porque no quieren que usted piense. Quieren que reaccione. En mis tiempos, a esto le llamábamos un "hustle". La tecnología cambió; el engaño no.
Si un correo lo presiona para saltarse los procedimientos normales, especialmente cuando se trata de dinero, esa es la señal de alerta número uno. Un jefe real preferiría que usted verifique dos veces antes que perder $80,000.
2. Suplantación de dominio y direcciones parecidas
Esta es traicionera. El correo parece venir de john@yourcompany.com, pero si mira con atención, en realidad viene de john@yourcompanny.com. ¿Ve esa "n" extra? La mayoría no la ve. Ese es el punto.
Los delincuentes registran dominios que difieren por una sola letra del dominio real de su empresa. A veces cambian una "m" por "rn" (que se ve casi igual en la mayoría de las fuentes), o agregan un guion, o usan un dominio de nivel superior diferente como .net en lugar de .com.
Revise siempre la dirección de correo completa. No solo el nombre para mostrar. El nombre para mostrar puede decir "Abraham Lincoln" y al sistema de correo no le importa: lo que importa es la dirección real.
3. Incongruencias en Reply-To
Aquí va un truco clásico: el campo "From" muestra el correo de su CEO, pero el campo "Reply-To" apunta a una dirección completamente diferente, a menudo de un servicio gratuito como Gmail u Outlook.com. Si usted solo presiona responder sin revisar, su respuesta va directo al estafador.
Es como recibir una carta con la dirección de devolución de su vecino en el sobre, pero por dentro dice: "envíe su respuesta a este apartado postal en otro estado". Usted sospecharía, ¿verdad? El mismo principio.
4. Solicitudes de pago inusuales o cambios
"Necesitamos actualizar nuestra información bancaria para pagos futuros". "Por favor, transfiera a una cuenta nueva: la habitual está siendo auditada". "¿Puede comprar tarjetas de regalo para un evento de agradecimiento a clientes? Envíeme los códigos".
Ese último caso, la estafa de tarjetas de regalo, lo veo varias veces al mes con empresas alrededor de West Palm Beach. Ningún ejecutivo legítimo le va a pedir que compre $2,000 en tarjetas de regalo de Apple y le envíe por correo los códigos de canje. Nunca. Si ocurre, es una estafa. Punto.
Cualquier solicitud para cambiar métodos de pago, cuentas bancarias o detalles de transferencias bancarias debe activar un proceso de verificación inmediato. Llame a la persona directamente usando un número de teléfono que ya tenga registrado, no uno proporcionado en el correo.
5. Suplantación del CEO y abuso de autoridad
La protección contra estafas de suplantación del CEO es crítica porque estos ataques explotan algo muy arraigado en la mayoría de los empleados: el deseo de responder rápido al jefe. Los estafadores saben que si el correo parece venir del CEO o del propietario, la mayoría no lo cuestionará. Simplemente hará lo que se le pide.
Los correos suelen ser cortos e informales: "Hola, ¿estás en tu escritorio? Necesito que me resuelvas algo"; porque así es como los ejecutivos realmente escriben. (Créame, he visto suficientes bandejas de entrada de ejecutivos como para saber que la brevedad es la norma allá arriba.)
Cree una cultura empresarial en la que esté bien (incluso se fomente) verificar solicitudes de la dirección. Si su CEO se molesta porque alguien verificó antes de transferir $50,000, tiene un problema de gestión, no un problema de seguridad.
6. Solicitudes para omitir procedimientos normales
"No lo pases por el proceso normal de aprobación". "Mantengámoslo entre nosotros por ahora". "Luego te explico, solo hazlo".
Los procedimientos existen por una razón. Son aburridos. Son lentos. Funcionan. (Algo así como esa computadora de escritorio beige de 2004 que se negaba a morir.) Cualquier correo que le pida saltarse pasos de verificación es una señal de alerta del tamaño de una valla publicitaria.
7. Tono o lenguaje ligeramente fuera de lo normal
A veces el correo simplemente se siente... raro. Tal vez su jefe nunca dice "kindly" pero el correo sí. Tal vez la gramática está un poco mal, o el bloque de firma es diferente. Confíe en ese instinto. Su cerebro está detectando algo que su mente consciente aún no ha identificado.
Fraude por correo en transferencias bancarias: los pasos de verificación que realmente funcionan
Bien, detectó una señal de alerta. ¿Y ahora qué? Aquí tiene el proceso de verificación (aburrido, pero efectivo) que todo empleado debe seguir antes de actuar ante cualquier solicitud sensible por correo:
Paso 1: No responda al correo. Si es una estafa, solo está hablando con el estafador. Eso no ayuda.
Paso 2: Contacte al remitente por un canal separado y verificado. Llámelo a un número que usted ya tenga. Camine hasta su oficina. Envíe un correo nuevo a su dirección conocida. Use el sistema interno de mensajería de su empresa. Cualquier cosa excepto responder al correo sospechoso.
Paso 3: Verifique los detalles exactos. No pregunte solo "¿me enviaste un correo?". Pídale que confirme el monto específico, la cuenta específica y la solicitud específica. Un estafador astuto que haya comprometido el correo real de la persona podría decir "sí" ante una pregunta vaga.
Paso 4: Repórtelo. Incluso si resulta ser legítimo, reporte el correo sospechoso a su equipo de TI o a su proveedor de ciberseguridad. Si fue un ataque real, necesitan saberlo. Si no lo fue, no pasa nada.
Paso 5: Nunca, nunca cambie datos de pago basándose únicamente en un correo. Esto debería estar grabado en piedra sobre cada escritorio de cuentas por pagar en el condado de Palm Beach.
Concientización de seguridad del correo para empleados: construir un firewall humano
Esto es lo que le digo a cada dueño de pequeña empresa que llega a Fix My PC Store preocupado por la ciberseguridad: su mejor defensa no es una pieza de software. Son sus personas. Pero solo si están capacitadas.
Un gateway de seguridad de correo electrónico sofisticado es excelente. La autenticación multifactor (MFA) es esencial. Pero al final del día, un empleado bien entrenado que se detiene y piensa "esto no se siente bien" antes de transferir dinero vale más que cualquier herramienta que pueda comprar.
Esto es lo que su programa de concientización de seguridad del correo electrónico para empleados debería incluir:
- Capacitación regular: no una vez al año, ni solo durante la incorporación. Trimestral como mínimo. Las tácticas de BEC evolucionan constantemente.
- Pruebas simuladas de phishing: envíe correos de phishing falsos a su propio personal y vea quién hace clic. No para castigar a nadie, sino para identificar quién necesita más capacitación.
- Procedimientos claros de reporte: los empleados deben saber exactamente a quién contactar y cómo cuando detecten algo sospechoso.
- Una cultura sin culpas: si alguien cae en una estafa, gritarle garantiza que la próxima persona no lo reportará. Atiéndalo, capacite y siga adelante.
- Políticas de verificación por escrito: documente sus procedimientos para solicitudes financieras para que no haya ambigüedades.
Y por el amor a todo lo digital, asegúrese de contar con copias de seguridad de datos adecuadas. Las estafas BEC a veces vienen acompañadas de otros ataques, y si un delincuente tiene suficiente acceso como para suplantar a su CEO de forma convincente, también podría tener suficiente acceso como para causar daños reales a sus sistemas.
Qué hacer si su empresa es víctima de una estafa BEC
No voy a endulzarlo. Si el dinero ya se envió, el tiempo lo es todo.
- Contacte a su banco de inmediato. Si la transferencia aún está en proceso, podrían revertirla. Cuanto más rápido actúe, mejores serán sus posibilidades.
- Presente un reporte ante el IC3 del FBI (Internet Crime Complaint Center) en ic3.gov.
- Contacte a las autoridades locales.
- Notifique a su equipo de TI o proveedor de ciberseguridad para investigar cómo ocurrió el compromiso y si sus sistemas de correo han sido vulnerados.
- Si se comprometieron cuentas de correo, cambie todas las contraseñas de inmediato y habilite la autenticación multifactor. Considere que un profesional revise si quedó acceso persistente: a veces los atacantes configuran reglas de reenvío que sobreviven a un cambio de contraseña. Nuestro equipo de recuperación de datos y análisis forense puede ayudar a evaluar el daño.
Según el Blog de Seguridad de Microsoft, los ataques BEC con frecuencia implican cuentas de correo comprometidas en las que los atacantes permanecen ocultos durante semanas o meses, estudiando patrones de comunicación antes de atacar. Por eso, una investigación exhaustiva después de un incidente es fundamental.
La conclusión para las empresas del condado de Palm Beach
El business email compromise no va a desaparecer. Los estafadores están mejorando, y las herramientas de IA están haciendo que sus correos falsos sean aún más convincentes. (Genial. Justo lo que nos faltaba.)
Pero aquí está la buena noticia: las señales de alerta no han cambiado mucho. Urgencia. Presión. Solicitudes inusuales. Direcciones de correo que no coinciden. Peticiones para saltarse procedimientos. Estos son los mismos trucos de ingeniería social que los estafadores han usado desde antes de que existiera el correo electrónico; ahora solo tienen un envoltorio digital.
Capacite a su personal. Establezca procedimientos de verificación. Y si necesita ayuda para construir una defensa de ciberseguridad para su empresa como se debe, bueno, eso es precisamente lo que hacemos aquí en Fix My PC Store en West Palm Beach. Llevamos años ayudando a empresas en todo el condado de Palm Beach, Boca Raton, Delray Beach y Jupiter a mantenerse seguras.
Sus empleados son su defensa más fuerte o su eslabón más débil. La diferencia es la capacitación. No espere a que la transferencia se complete para descubrir cuál de las dos cosas son.
¿Le preocupa la seguridad del correo empresarial?
Obtenga evaluaciones profesionales de ciberseguridad, capacitación de seguridad para empleados y protección de correo electrónico de los expertos en TI de confianza del condado de Palm Beach en Fix My PC Store.
Proteja su empresa ahora