El Business Email Compromise/Email Account Compromise (BEC/EAC) - Fraude por Correo Electrónico – 26 billones de dólares de impacto

Montevideo, 02 de diciembre de 2019

 

Como es evidente por las noticias a nivel local y global, los incidentes de ciberseguridad son cada vez más importantes y masivos, con múltiples ramificaciones. En virtud de esto entendemos que es especialmente pertinente insistir en el empoderamiento de las personas, difundiendo datos estadísticos para visualizar la dimensión del escenario que enfrentamos.

El 10 de setiembre de este año el FBI emitió una nueva alerta titulada: El fraude de los 26 billones de dólares, actualizando la evolución que los casos de Business Email Compromise han tenido en el último año.

La publicación emitida por el http://www.ic3.gov - Centro de Denuncias de Delitos en Internet, contiene estadísticas actualizadas desde octubre de 2013 hasta julio de 2019. El IC3 es una oficina dentro del FBI al cual puede recurrir cualquier ciudadano o empresa de los Estados Unidos de América, en cualquier país del mundo.

El Business Email Compromise/Email Account Compromise (BEC/EAC) es una estafa sofisticada que se dirige tanto a empresas como a individuos que realizan solicitudes legítimas de transferencia de fondos. La estafa se lleva a cabo con frecuencia cuando un atacante compromete cuentas de correo electrónico comerciales o personales legítimas, a través de la ingeniería social o la intrusión de computadoras, crea cuentas de correos con dominios similares al de las personas o instituciones afectadas, o enmascara su cuenta de correo como legitima, para lograr realizar transferencias de fondos no autorizadas. No siempre está asociada con una solicitud de transferencia de fondos. Una variación implica comprometer las cuentas de correo electrónico comerciales legítimas y solicitar otro tipo de información sensible, datos personales, como elementos previos para este u otro tipo de ataques.

Entre mayo de 2018 y julio de 2019, hubo un aumento del 100 por ciento en la exposición a pérdidas globales identificadas. Por “exposición” se incluyen las perdidas reales y potenciales en las que podrían haber incurrido los afectados. Existen diversos casos en los que las víctimas cayeron en la estafa, pero por diversas razones, en algunos casos el azar la operación no se concretó. El aumento también se debe en parte a una mayor conciencia de la estafa, que fomenta la presentación de denuncias, y a los vínculos internacionales y financieros que el FBI ha fortalecido.

Si bien se han enviado transferencias fraudulentas a por lo menos 140 países, los bancos situados en China y Hong Kong son los principales destinos de los fondos fraudulentos. Recientemente se ha visto también un aumento de las transferencias fraudulentas enviadas al Reino Unido, México y Turquía.

Las estadísticas de BEC/EAC reportadas por el IC3, derivadas de múltiples fuentes, incluyendo el IC3 y los datos de denuncias de las fuerzas de seguridad internacionales y las de las instituciones financieras. Se destacan en los datos que las denuncias entre junio de 2016 y julio de 2019 brindaron los siguientes datos:

  • Incidentes nacionales e internacionales: 166.349
  • Exposición total a Pérdidas en dólares: $26.201.775.589

El informe anual del 2018 del IC3, indica que durante el año pasado se recibieron 20.374 denuncias por BEC/EAC, que generan perdidas reales por 1,297,803,489 dólares. Aproximadamente 64.0000 dólares como valor promedio por transacción. El informe del IC3 destaca a su vez el creciente impacto de variaciones del BEC/EAC dirigido a los departamentos de recursos humanos o de proveedores de una empresa que recibe correos electrónicos falsificados que solicitan un cambio en su cuenta de depósito directo.

Entre el 1 de enero de 2018 y el 30 de junio de 2019 se presentaron ante el IC3 un total de 1.053 reclamaciones que informaban de la evolución de este esquema de desvío de pagos de sueldos, con una pérdida total reportada de 8.323.354 dólares.

Es interesante considerar que si bien la realidad presentada por estos informes se basa mayormente en datos de ciudadanos y empresas de Estados Unidos, tiene un alcance global, y muestra claramente el escenario que observamos con mayor frecuencia en América Latina.

Las empresa, instituciones y personas deben ser adecuadamente educadas sobre este escenario. La capacitación y medidas deben incluir estrategias preventivas y medidas reactivas en caso de que sean víctimas. Entre otros pasos, se debe destacar la pertinencia de:

  • Usar canales secundarios o autenticación de dos factores para verificar las solicitudes de:
    • Cambios en la información de la cuenta de destino de operaciones habituales o con terceras partes validadas.
    • Nuevas operaciones o transacciones sensibles (tanto en datos como en dinero).
  • Asegúrese de que la URL en los correos electrónicos esté asociada con la empresa de la que dice ser.
  • Incorporar rotulado especial para los correos entrantes recibidos desde fuera de la empresa/dominio de correo.
  • Esté atento a los hipervínculos que pueden contener errores ortográficos del nombre de dominio real.
  • Abstenerse de proporcionar credenciales de inicio de sesión o datos personales en respuesta a cualquier correo electrónico.
  • Monitoree sus cuentas financieras personales de manera regular para detectar irregularidades, como depósitos faltantes.
  • Mantenga todos los parches de software y todos los sistemas actualizados.
  • Verifique la dirección de correo electrónico utilizada para enviar correos electrónicos, especialmente cuando utilice un dispositivo móvil asegurándose de que la dirección de correo electrónico de la dirección del remitente parece coincidir con la persona de quien proviene.
  • Asegúrese de que la configuración de la computadora esté habilitada para permitir que se vean las extensiones completas de correo electrónico.
  • Asegúrese de que la configuración y herramientas de filtro del correo electrónico (de correo basura, malicioso, carente de confianza, etc) están adecuadamente implementadas.

 

El reporte completo que analiza todas las denuncias del año 2018 se encuentra disponible en: https://www.ic3.gov/media/annualreport/2018_IC3Report.pdf

La alerta de setiembre del 2019 se encuentra disponible en: https://www.ic3.gov/media/2019/190910.aspx#fn2

 

Contáctenos

Con gusto los profesionales certificados de Datasec atenderán sus consultas.

Contacto >

Somos una firma presente en el mercado internacional desde 1987, pionera en el área del buen gobierno, aseguramiento, gestión de riesgos, calidad y seguridad en sistemas de la información (TI).

Más sobre Datasec >

ISO27001

Social