Truora Blog

Business Email Compromise (BEC): ¿es y como evitarlo en tu empresa?

Escrito por Rocio Navarro | May 11, 2021 4:00:00 AM

El BEC (Business Email Compromise) es un tipo de phishing en el que el público objetivo son los empleados de empresas de cualquier sector, e implica 2 prácticas delictivas muy comunes: la ingeniería social (social engineering) o el malware. 

Hay diferentes maneras de hacer BEC, pero la metodología de ataque es siempre similar: mediante la ingeniería social, un estelionario estudia detalladamente el perfil de la víctima, su posición en la empresa, su personalidad y cuáles son sus funciones diarias, para poder acceder a la información interna - que en algunas ocasiones puede ser a través de un malware instalado en el ordenador - tras enviar un correo electrónico lo suficientemente atractivo para que el empleado lo abra. 

¿Qué es el Business Email Compromise (BEC)?

El Business Email Compromise (BEC) es una forma dañina de ciberdelincuencia que puede causar grandes pérdidas económicas a las empresas y sus clientes.

También conocido como compromiso del correo electrónico empresarial, este tipo de estafas son llevadas a cabo por ciberdelincuentes y suelen apuntar a empresas que realizan transferencias electrónicas y mantienen relaciones comerciales con proveedores en el extranjero.

El BEC consiste en que un actor malicioso se hace pasar por un ejecutivo de alto nivel u otra figura relevante de la empresa con el objetivo de engañar a los empleados para que realicen transferencias de dinero o compartan información confidencial.

El propósito principal de un ataque BEC es robar dinero de la organización objetivo, aunque también pueden filtrarse datos confidenciales como parte del fraude.

Es esencial que las empresas estén alerta y tomen medidas preventivas para protegerse contra este tipo de estafa en línea. Capacitar a los empleados sobre las prácticas de seguridad en el correo electrónico y establecer protocolos de autenticación son medidas importantes para prevenir y mitigar el riesgo de Business Email Compromise.

La concienciación y vigilancia continua son fundamentales para evitar ser víctima de este tipo de fraude que puede tener consecuencias financieras devastadoras para una empresa.

Lee también estos artículos relacionados:

¿Cuáles son las áreas más vulnerables de la empresa?

Finanzas: Después de averiguar los proveedores de la empresa, el criminal exigirá presión para pagar las facturas falsas, por lo general en los que trabajan en los niveles 1 y 2.

Legal: Los abogados que pueden o no ser verdaderos amenazan con demandar a la empresa por información confidencial de la empresa.

TI: Parece imposible que el área que se ocupa de la seguridad de los sistemas de la empresa pueda ser víctima de un fraude, pero desde el comienzo de la pandemia, esta práctica ha aumentado un 108% en Brasil, y sí, la cifra incluye principalmente a las empresas del sector del comercio electrónico. 

Soluciones

  1. Creación de modelos de aprendizaje automático que puedan comprender una anomalía, por ejemplo, una entrada sospechosa de correo electrónico, evitará el sesgo económico. 
  2. Validación de datos de la empresa, que verifica la identidad de una persona, además de ofrecer la lista de estelares activos en una región. 
  3. Capacitar a los empleados desde el embarque, centrándose en aumentar la conciencia de la importancia de la autenticación múltiple en cualquier situación, ya sea con un cliente, un proveedor o incluso un colega.

El BEC es, por desgracia, muy eficaz, y todos somos vulnerables a caer en estos trucos. 

Pero, ¿por qué sucede? Porque es humano contra humano, porque se adapta más rápido a nuestras reacciones, y porque tiene algo que la máquina (aún) no tiene, sentimientos. El Informe Global sobre Fraude y Riesgo 2019/20 publicado por Kroll lo demostró: el 55% de las empresas brasileñas que participaron en la encuesta se vieron significativamente afectadas por la fuga de información interna, aunque el 71% respondió que lo consideraba una prioridad, es decir, más de la mitad de los encuestados se vieron perjudicados a pesar de sus esfuerzos por mantener la seguridad de las empresas. 

Esto es una señal de que el sector privado todavía necesita fortalecer sus inversiones en la capacitación de los interesados, además de adaptar permanentemente sus estrategias de protección de datos, a medida que las organizaciones delictivas evolucionan.