
Las autoridades y especialistas en protección cibernética alertan que en lo que llevamos de año, los ciberdelincuentes podrían haber suplantado la identidad de más de 7.000 directivos de empresas, con el objetivo de llevar a cabo el conocido como BEC (por sus siglas en inglés, Business Email Compromise). Las autoridades de ciberseguridad europeas aseguran que, con la cercanía de la Navidad, crece el número de estafas a empresas que tienen como objetivo desviar los pagos de nóminas para que lleguen a manos de los ciberdelincuentes. Para lograr este objetivo, los cibercriminales suplantan la identidad de altos directivos de la empresa para engañar al responsable del departamento de recursos humanos, o a la gestoría que lleva estos asuntos, y alterar el destino de esos fondos.
Esta práctica se ha convertido en una de las modalidades de fraude cibernético que mayor eficacia e impacto está teniendo en empresas de todos los tamaños y sectores, hasta el punto de que las pérdidas económicas que provoca superan a cualquier otro de los ciberdelitos.
En la primera mitad de 2020, la empresa norteamericana de ciberseguridad Proofpoint ha llegado a detectar más de 35.000 estafas de este tipo, lo que supondría que unos 2,2 millones de dólares diarios podrían acabar en manos de ciberdelincuentes.
Para estas estafas, el cibercriminal primero se infiltra en los sistemas de correo de una empresa, normalmente a través del robo de credenciales de un usuario, y tras suplantar la identidad de esa persona, normalmente un directivo, logra mediante engaños que alguno de los empleados que tiene permisos de acceso a los fondos de la organización, ordene una transferencia a una cuenta bancaria, controlada por el ciberdelincuente.
Francisco Pérez Bes, socio de Derecho Digital en Ecix y antiguo Secretario General del instituto Nacional de Ciberseguridad de España (Incibe), subraya que "para reducir este riesgo, resulta fundamental una buena concienciación entre todos los miembros de la plantilla, y la implantación de protocolos claros que incluyan procedimientos detallados sobre cómo ordenar y ejecutar cualquier traspaso de fondos desde la empresa hacia un tercero, incluyendo factores adicionales de verificación de la orden dada". Francisco Pérez Bes añade en este sentido que "todo ello sin perjuicio de que nuestra entidad financiera pueda alertarnos en el caso de detectar algún movimiento sospechoso o poco habitual, como pueda ser el cambio de la cuenta corriente de destino habitual, un pago a países asiáticos, una discrepancia entre el verdadero titular de la cuenta y el número de la cuenta de destino, etc".
2,2 millones de euros
La empresa norteamericana de ciberseguridad Proofpoint ha llegado a detectar más de 35.000 estafas de este tipo, y estima que unos 2,2 millones de dólares diarios podrían acabar en manos de ciberdelincuentes. En ocasiones, y aprovechando la situación de teletrabajo, el ciberdelincuente, suplantando la identidad de un responsable de la compañía, puede llegar a solicitar el envío de tarjetas regalo, que nunca llegarán a manos de los empleados.