Una empresa ubicada en Costa Rica se convirtió recientemente en el objetivo de una sofisticada estafa, que se especializa en el análisis del correo electrónico de los altos funcionarios y el personal financiero de las empresas. El objetivo de este crimen es nada menos que robar cantidades millonarias, lo que desgraciadamente se está volviendo una práctica cada vez más común en el ámbito empresarial de la región.
Este tipo de fraude es conocido como BEC, que es un acrónimo en inglés para «Business Email Compromise», o compromiso de correo electrónico comercial en español. Esta modalidad representa un desafío significativo para las organizaciones, ya que los estafadores utilizan tácticas ingeniosas para infiltrarse en los procesos de comunicación internos de las empresas.
Según lo informado por Erick Lewis, jefe del departamento de cibernética de la Agencia de Investigación Judicial (OIJ) de Costa Rica, se han reportado alrededor de diez casos al año en el país, cada uno de ellos con pérdidas que ascienden a millones. Este tipo de fraude ha evolucionado notablemente en el último año, afectando a numerosas empresas costarricenses, lo que ha hecho que las autoridades tomen medidas más rigurosas para detectar y combatir estos crímenes.
Investigaciones realizadas por la policía revelan que las empresas de Costa Rica han experimentado pérdidas que varían desde 15 mil dólares hasta 1.5 millones. «Esta es una de las estafas más comunes en el entorno empresarial. Generalmente, se desarrolla al afectar el correo electrónico de alguien dentro de la compañía, lo que les permite tomar control de las comunicaciones, por ejemplo, de un gerente o de la persona encargada de los pagos», explicó Lewis.
Un proceso mensual
El jefe del crimen cibernético de la OIJ, Erick Lewis, enfatizó que esta modalidad de fraude puede tardar varios meses en ejecutarse, ya que los ciberdelincuentes se dedican a estudiar la compañía y los procesos operativos que tiene. Además, en algunos de los casos más complejos, este método implica la interacción entre correos electrónicos de dos organizaciones que mantienen una relación comercial.
La estafa BEC
- ¿Qué es?: El compromiso de correo electrónico comercial (BEC) es un tipo de ataque cibernético en el que los estafadores se hacen pasar por alguien de confianza (como un CEO o gerente) para engañar a los empleados y obtener transferencias de dinero.
- La clave: Este tipo de fraude crea un sentido de urgencia (‘necesito esto ya’) utilizando la autoridad de la empresa para que la víctima actúe rápidamente y transfiera fondos.
Paso 1: Investigación y selección de objetivos
- El estafador identifica una empresa o entidad como objetivo.
- Realiza una investigación exhaustiva sobre la organización: nombres de los empleados y sus cargos (CEO, Gerentes de Finanzas, Recursos Humanos), estructura jerárquica, socios comerciales y proveedores comunes, y, en ocasiones, detalles sobre proyectos en curso.
Paso 2: Poshacking
- Por ejemplo, el atacante elige a quién reemplazará, ya sea el CEO o un proveedor.
- Compromete la dirección electrónica:
- Compromiso de la cuenta (EAC): Consigue acceso directamente a la cuenta de correo electrónico del ejecutivo o empleado que desea suplantar, lo cual es el método más peligroso porque los correos electrónicos provienen realmente de la cuenta legítima.
- También pueden crear direcciones que parecen legítimas, generando confusión visual.
Paso 3: Ataque
- El estafador envía un correo electrónico cuidadosamente elaborado que imita el tono y el estilo del ejecutivo que suplantan.
- El contenido del correo utiliza tácticas de ingeniería social, incluyendo estrategias como:
- Urgencia: «Necesito que realices esta transferencia ahora.
- Autoridad: «Soy el CEO, necesito tu ayuda de inmediato».
- Confidencialidad: «Este asunto es muy delicado, no lo comentes con nadie».
- Contexto falso: Hace referencia a un negocio presunto, una adquisición secreta o una deuda urgente.
Paso 4: Interacción
- Si la víctima plantea preguntas, el estafador continuará la conversación, manteniendo la farsa y reforzando la urgencia o la confidencialidad de la situación.
- Intentará evitar que la víctima verifique la solicitud de otras maneras, como realizar una llamada telefónica o consultar con colegas.
Paso 5: Acción fraudulenta
- La víctima, convencida por la aparente legitimidad y la presión ejercida a través del correo electrónico, realiza la acción solicitada:
- Inicia una transferencia bancaria a una cuenta controlada por los estafadores.
- Envía información confidencial.
La empresa ha recibido piedras
En otro caso que ha llamado la atención de las autoridades, un grupo de empresarios que solía comprar productos principalmente en el mercado asiático terminó perdiendo grandes sumas de dinero.
«Los delincuentes les indicaron que habían enviado la mercancía, y que una caja en particular realmente había subido a bordo, pero cuando el barco llegó a Costa Rica, contenía bolsas de basura llenas de piedras», explicó Lewis.
Las investigaciones indican que los sospechosos tras estos esquemas de BEC no están operando dentro de Costa Rica, lo que complica aún más la tarea de las autoridades locales.
¿Cómo prevenir la estafa?
Para reducir el riesgo de ser víctima de este tipo de fraude, aquí hay algunos pasos recomendados:
Verificación obligatoria: Siempre confirme las solicitudes de transferencia de dinero, cuentas bancarias o datos confidenciales utilizando otro medio de comunicación diferente al correo electrónico.
Desconfianza ante la urgencia y el secreto: Las tácticas que generan extrema urgencia o que piden confidencialidad son señales de advertencia clásicas. Tómese un momento para validar la situación.
Doble aprobación: Implemente políticas que requieran la aprobación de al menos dos personas autorizadas para llevar a cabo transferencias bancarias.
Capacitación: Entrene al personal para identificar correos electrónicos sospechosos (como direcciones de remitente inusuales, sutiles errores o dominios similares) y la importancia de seguir los protocolos de verificación.
Tecnología: Utilice filtros de correo electrónico eficaces y soluciones anti-phishing. Además, implemente métodos de verificación para los correos electrónicos recibidos.
