Los ataques phishing existen desde hace décadas y los piratas informáticos desarrollan formas más elaboradas de llevar a cabo sus ataques con una precisión sofisticada. Los fraudes a directores ejecutivos es una estafa phishing que afecta de forma rampante a las empresas y negocios con mayor frecuencia. Un informe del año 2020 afirma que la estafas por correo a CEOs tuvo un aumento del 48% solo en el segundo trimestre del año 2020.
Este delito está dirigido a los directores ejecutivos porque tiene la capacidad de ser increíblemente beneficioso para el atacante, contándole a una empresa miles de millones de dólares en pérdidas y la ruina absoluta de su reputación. Aclarado este punto, es importante que las empresas y organizaciones estén conscientes de la existencia de este tipo de delitos e implementar las medidas de prevención necesarias contra el fraude a directores ejecutivos.
En este artículo vamos a analizar los tipos de fraudes por correo a directores ejecutivos y analizaremos algunas opciones que permiten prevenirlos.
Vamos a definir, primeramente: ¿qué es el fraude a directores ejecutivos?
¿Qué es el fraude a los directores ejecutivos?
Uno de los nombres más comunes ofrecidos a los fraudes que tiene como blanco a un director ejecutivo es el whaling. Es un tipo de acceso a correos electrónicos empresarial (BEC), en el que los piratas informáticos usan la dirección de correo electrónico y las credenciales del director ejecutivo o de un ejecutivo de alto nivel de la empresa para acceder a la plataforma de la compañía y hacer estragos. Este tipo de ataque phishing siempre tiene un objetivo específico y se vale de tácticas sofisticadas de ingeniería social para convencer a los empleados de llevar a cabo acciones fraudulentas.
Los análisis a las tendencias de phishing realizadas por el grupo de trabajo antiphishing del 2021 reportaron que los ataques de accesos a correos electrónicos empresariales (BEC) son cada vez más costosos para las empresas. Un ataque exitoso le resta a la compañía entre 48.000 a 106.000 dólares, o más del doble que el año previo. Con este tipo de cifras, no es de sorprender que el FBI haya identificado los ataques BEC como una estafa con un valor neto de 26 mil millones de dólares al año. Los estafadores ponen la mira en el personal de alto nivel porque tienen la autoridad para solicitar grandes transferencias financieras o tienen acceso a datos confidenciales de los empleados.
Ejemplos de correos de fraude a directores ejecutivos
Estudiar y conocer algunos ejemplos de fraude por correo a directores ejecutivos te ayudará a comprender este tipo de estafa mucho mejor, así como el impacto adverso que puede tener en tu empresa.
En el año 2019, Toyota Boshoku Corporation en Japón fue víctima de un ataque BEC que les costó 37 millones de dólares. El estafador que defraudo al CEO de la compañía, convenció a un empleado de Toyota para que transfiriera 37 millones de dólares de la subsidiaria europea a una cuenta extranjera.
Los ataques de acceso a correos electrónicos empresariales van en aumento, y esta estafa fue el tercer ataque reportado por Toyota ese año; todos los expertos en seguridad coincidieron que la compañía ya debería haber tomado cartas en el asunto referente a su seguridad desde el primer ataque.
Otro ejemplo de estafa por correo dirigida a un director ejecutivo fue el esquema BEC aplicado a la empresa Obinwanne Okeke en febrero del 2021; este ataque generó pérdidas de al menos 11 millones de dólares para sus víctimas. El estafador usó correos de phishing para asegurar las credenciales de inicio de sesión de los principales funcionarios comerciales de la compañía, incluido el director ejecutivo de Unatrac Holdings Limited, la oficina encargada de las ventas y exportación de equipos agrícolas e industriales Caterpillar.
A principios del año 2020, el gobierno de Puerto Rico fue víctima de una estafa BEC que desvió más de 2.6 millones de dólares; por lo que el director ejecutivo de la empresa suspendió a 3 empleados, alegando que no siguieron los rigurosos procedimientos de verificación.
Señales y tácticas de fraude por correo electrónico contra los directores ejecutivos
Los piratas informáticos emplean diversas tácticas para llevar a cabo sus fraudes por correo electrónico a directores ejecutivos, por lo que es imperativo que las organizaciones sepan identificar las señales de estos para implementar medidas de prevención ante tales ataques.
Atento a las señales
Teniendo claro el impacto negativo de estos ataques en la continuidad y operatividad de tu negocio, es necesario identificar las señales comunes en estos tipos de ataques para detener los ataques de fraudes a directores ejecutivos. Ten presente que, durante estos ataques, los estafadores hacen uso de técnicas avanzadas de ingeniería social para presionar a sus víctimas y entrar en estado de urgencia para que cumplan sus instrucciones.
El estafador también puede enviar correos desde un dispositivo móvil fácilmente para hacerle creer al empleado que el director ejecutivo está fuera de la oficina. Es de especial importancia prestar atención a la estructura del mensaje que se nos envía, buscando errores de ortografía, oraciones pobremente estructuradas y sentido gramatical.
Tácticas de fraude por correo del director ejecutivo
El fraude del CEO comienza cuando un estafador falsifica la dirección de correo real de un directivo y envía correos de phishing a los empleados, si el empleado muerde el anzuelo, puede desviar fondos a las cuentas que indique el pirata informático, o divulgar información confidencial de la empresa, o incluso dar acceso no autorizado a activos de la compañía.
Los estafadores se toman su tiempo para comprender la estructura organizativa de la empresa y moldear el tono usado en las comunicaciones con el fin de parecer más legítimos cuando se hacen pasar por el director ejecutivo de la compañía.
En algunos casos, los estafadores que ganan acceso a correos electrónicos empresariales utilizan malware para infiltrarse en la red de la organización y acceder a hilos de correo legítimos que contienen datos de facturación. Esta información posteriormente es usada para enviar correos phishing haciéndose pasar por el director ejecutivo al departamento financiero correspondiente y hacer que la solicitud que hagan luzca legítima.
Cómo prevenir el fraude contra los directores ejecutivos
Al igual que otros ataques phishing, el fraude por correo a directores ejecutivos es difícil de detectar, pero con conciencia de usuario adecuada y medidas de seguridad apropiadas, puedes defender los activos de tu organización de las estafas BEC.
Aquí te presentamos algunas medidas de prevención contra el fraude a directores ejecutivos, con el fin de proteger tu organización contra los ataques BEC y otros ataques de phishing similares.
1. Proteja tu infraestructura de correo electrónico con DMARC
La debilidad principal de la mayoría de las empresas y organizaciones es su ignorancia de las más simples soluciones de seguridad para una infraestructura de correos electrónicos. La implementación de políticas DMARC cierra la puerta a la principal vulnerabilidad que da paso a los fraudes contra el director ejecutivo: la suplantación de identidad. Al iniciar el uso y aplicación de DMARC, recibes informes, monitorear tus flujos de correo y prohíben acceso a los remitentes ilegítimos de tu dominio.
2. ¿Reconoces la dirección de correo del remitente?
Cuando recibes un correo electrónico, la primera pregunta que debes hacerte es: «¿Reconozco la dirección de correo del remitente?» Los piratas informáticos usan tácticas de suplantación de dominio para hacerte creer que el mensaje que han enviado es legítimo.
Si el nombre de tu dominio es abcbank.com, los atacantes pueden usar abdbank.com. Un empleado que no preste atención o no sea observador, pensará que las dos direcciones de correo son iguales; por eso es esencial que tú y tus empleados verifiquen como mínimo dos veces la dirección de correo del remitente para confirmar su autenticidad.
3. ¿Hay algo inusual o el correo tiene un tono urgente?
Los atacantes de estafas por correo a directores ejecutivos usan tácticas de ingeniería social para crear sensación de urgencia. ¿El mensaje de correo le plantea solicitudes inusuales como transferencias de dinero urgente o información sobre los activos y clientes de la empresa? Si te enfrentas a este escenario es mejor prevenir que lamentar.
4. ¿Has verificado la solicitud recibida por teléfono o en persona?
Cuando recibes una solicitud de transferencia inusual o urgente vía correo electrónico, lo mejor que puedes hacer para verificar su veracidad es confirmar la solicitud por teléfono o en persona. Si el mensaje que has recibido se origina de la cuenta de correo del director ejecutivo de la empresa, tómate un tiempo y dirígete a su oficina o llámalo por teléfono para confirmar la solicitud antes de llevar a cabo cualquier acción.
5. ¿Tus empleados están capacitados para detectar fraudes?
¿Estás seguro que tus empleados tienen la suficiente capacitación técnica para detectar amenazas de seguridad en línea? Esta es una pregunta que toda empresa u organización debe plantearse. La seguridad de los activos de la compañía son responsabilidad de todos, por lo que no puedes asumir que tu red es segura solo porque cuentas con buenas herramientas.
Como ya es sabido, el ser humano es el eslabón más débil en todo lo relacionado a la seguridad cibernética y puede ser manipulado fácilmente. El fraude a los directores generales de grandes compañías se está volviendo cada vez más sofisticado, por lo que es necesario educar a tu personal para que sepan identificar estos fraudes y sepan qué hacer cuando los detectan.
6. ¿Tienes un software anti fraude instalado?
Además de la capacitación de tus empleados, las organizaciones necesitan un enfoque de defensa profundo (DID, según sus siglas en inglés) para fortalecer su seguridad en línea, así se reducen los riesgos de este tipo de ataques. Te recomendamos instalar y actualizar periódicamente software antifraude, ya que este te ayuda a evaluar los riesgos, prevenir y detectar este tipo de ataques.
Conclusiones
El fraude por correo a los directores ejecutivos y otras estafas phishing han evolucionado, haciéndose más sofisticadas y el impacto para las empresas puede ser devastador. Este tipo de ataque tiene más éxito en organizaciones con una estructura de gestión laxa que carece de controles y chequeos adecuados antes de aprobar solicitudes financieras.
La implementación de las mejores prácticas de seguridad en línea puede ayudarte a prevenir este tipo de ataques, empresas y organizaciones también deben llevar a cabo programas de concientización sobre la importancia de la seguridad en línea, así como capacitar a su personal sobre las nuevas tácticas usadas por los piratas informáticos para llevar a cabo sus planes.
Implementación BIMI: ¿Por qué es necesario personalizar BIMI?
¿Cómo crear, añadir y chequear registros DKIM?
DMARC y Microsoft: ¿Que sucede con ambas empresas?