Las estafas de compromiso de correo electrónico comercial (BEC) y de cuentas de correo electrónico (EAC) están causando unas pérdidas económicas superiores a las de cualquier otra actividad del cibercrimen al estar afectando a empresas de todos los tamaños y sectores.
Según ha informado la compañía Proofpoint, en 2019 solo las estafas BEC concentraron más de la mitad de los daños financieros a empresas por delitos en ciberseguridad: unos 1.770 millones de dólares en total, con un promedio de unos 74.723 dólares por cada incidente.
"Son ataques que eluden eficazmente las defensas tradicionales del correo electrónico, ya que no utilizan métodos basados en malware como es lo habitual. De aquí a 2023, Gartner apunta que estas amenazas se duplicarán cada año hasta superar los 5.000 millones de dólares", señala la firma de ciberseguridad y cumplimiento normativo en un comunicado.
Expertos de Proofpoint afirman que cada día detectan, analizan y bloquean más de 15.000 mensajes BEC, lo que supone cerca de cuatro millones de amenazas al año.
Entre los diferentes ataques BEC, destaca la creciente incidencia de estafas que tienen como objetivo desviar nóminas para que lleguen finalmente a manos de los ciberdelincuentes, así como de otras en las que se suplanta a directivos de la empresa para engañar a la posible víctima y que les envíe dinero de manera fraudulenta usando tarjetas regalo de conocidas empresas de venta minorista.
"En lo que coinciden todas estas estafas BEC es que los atacantes se sirven de la suplantación de identidad y la ingeniería social para su propio beneficio económico", advierte la compañía de ciberseguridad.
Los pagos a empleados, uno de los ataques BEC más lucrativos
Proofpoint afirma que uno de los ataques BEC más lucrativos está indudablemente relacionado con los pagos de nóminas en las empresas. De hecho, la compañía calcula que, durante la primera mitad de 2020, ha llegado a detectar y detener más de 35.000 estafas de este tipo, impidiendo que unos 2,2 millones de euros terminaran en manos de los ciberdelincuentes.
"En estas amenazas se intenta redirigir los pagos de una empresa de las cuentas bancarias de destino legítimas a otras bajo el control de los ciberdelincuentes. Estos ataques no tienen por qué tener en el punto de mira a empleados VIP de la organización, por lo que, para protegerse mejor contra este tipo de estafas, es fundamental que las soluciones de seguridad de la compañía sean capaces de detectar cualquier correo electrónico fraudulento. Si quieren tener éxito, los autores de estas amenazas deben saber también identificar correctamente a la persona de recursos humanos o de otro departamento de la empresa encargada de las nóminas para dirigirse a ella y conseguir que haga los cambios oportunos en los datos sobre el depósito de este dinero", explica la compañía tecnológica.
Además, ha señalado que los ciberdelincuentes suelen perpetrar estos ataques BEC los lunes y los martes, así como la segunda y última semana del mes, y que suelen emplear como cebo asuntos del tipo "ingreso directo" en sus mensajes de correo electrónico.
Compra de tarjetas regalo en lugar de hacer transferencias
Según advierte Proofpoint, los pagos de nóminas no son el único interés de los ciberdelincuentes, ya que también llevan a cabo otras tácticas que pueden pasar desapercibidas para las víctimas.
Una de ellas son los fraudes en los que se insta al usuario a enviar dinero mediante tarjetas de regalo de alguna tienda conocida, en lugar de realizar una transferencia bancaria.
Para los atacantes esta es una táctica muy rápida y fácil, en la que el empleado no tiene que seguir instrucciones complicadas y, al no conocerse tanto este método relacionado con el cibercrimen, es más posible que el usuario confíe en lo que se le dice y, de ahí, que finalmente el ataque surta efecto.
Normalmente, la petición parte supuestamente del CEO u otro directivo de la compañía a la que pertenece la víctima. El hecho de tratarse de personas con autoridad, sumado al carácter de urgencia que se expresa en los mensajes, provoca que el usuario termine accediendo y desvelando los detalles de la compra al estafador.
En Proofpoint señalan que desde marzo de 2020 los ciberdelincuentes han suplantado la identidad de más de 7.000 directivos. Más del 50% de sus clientes corporativos ha tenido algún caso de este tipo en lo que va de año. Teniendo en cuenta estos datos, se calcula que en los últimos 90 días un CEO puede haber sido objeto de suplantación unas 102 veces de media.