Información comercial

Fraudes por email: Guía de supervivencia

A continuación, le presentamos algunas formas de identificar las señales de alerta de un correo electrónico fraudulento y qué debe hacer una empresa si se convierte en víctima de una estafa.

En el entorno tecnológico actual, el correo electrónico es esencial para hacer negocios de manera rápida y eficiente. Sin embargo, como ocurre con cualquier tecnología, los malhechores pueden aprovechar la dependencia de las empresas de esta herramienta para cometer fraude.

Por eso es fundamental estar siempre alerta ante el posible compromiso del correo electrónico empresarial (Business Email Compromise [BEC]. Aunque a las pequeñas empresas les resulte fácil pensar que no son un objetivo probable, la realidad es diferente. El fraude por correo electrónico afecta a organizaciones de todo tipo y tamaño, desde distritos escolares hasta corporaciones multinacionales. Ninguna empresa está exenta.

"Es absolutamente imprescindible que todas las empresas se informen sobre las posibles amenazas que pueden llegar a través de un simple correo elecrónico", afirmó Jeff Taylor, director de Forense de Fraude Comercial de Regions Bank. Existen dos formas comunes en que el correo electrónico empresarial puede verse comprometido.

software malicioso por correo electrónico

El malware (software malicioso) utiliza distintos tipos de código para infiltrarse en las computadoras de una empresa o incluso en toda su red. Como un caballo de Troya, según explicó Taylor, los ciberdelincuentes envían un correo aparentemente inofensivo para introducir software malicioso mediante un enlace o un archivo adjunto. Una vez que se hace clic en el enlace o se abre el archivo, el malware puede infectar tanto el equipo del destinatario como otros dispositivos o servidores de la red.

​​​​​​​El tipo de malware empleado puede variar según el objetivo del ataque. Por ejemplo, puede tratarse de un programa que registre cada pulsación de tecla del usuario, lo que permitiría a los delincuentes obtener información bancaria, nombres de usuario y contraseñas.

Correo electrónico falso

Los estafadores también pueden atacar a una empresa infiltrándose en los sistemas de un proveedor de confianza o haciéndose pasar por él. Al obtener acceso previo, pueden hackear cuentas de correo electrónico o crear direcciones muy similares a las legítimas.

Esto les permite enviar mensajes que parecen auténticos a empleados o clientes. Por ejemplo, un correo titulado "Cambio de términos del proveedor" enviado al departamento de Cuentas por Pagar podría solicitar que los pagos se transfieran a una nueva cuenta bancaria fraudulenta con un número de ruta distinto. Una vez que el dinero se envía a esa cuenta, suele ser muy difícil recuperarlo.

Taylor señaló otra táctica cada vez más frecuente: "Los estafadores se han vuelto expertos en hacerse pasar por ejecutivos de una empresa y solicitar la emisión de un pago, con la esperanza de que los empleados cumplan sin verificar. También pueden fingir ser un empleado y pedir un cambio en la información de depósito directo de la nómina".

¿Sospecha de un ataque?

La primera y más importante línea de defensa es crear una cultura de concientización sobre el fraude en toda la organización. Es fundamental capacitar al personal sobre las posibles amenazas cibernéticas, qué señales detectar y qué pasos seguir.

"Una forma eficaz de frustrar muchos ciberataques es tomarse el tiempo para confirmar solicitudes inusuales. Un método muy efectivo es usar DETENERSE-LLAMAR-CONFIRMAR. Esto significa que, antes de procesar un pago, debe DETENER el proceso, LLAMAR al solicitante a un número conocido (no al número incluido en el mensaje) y CONFIRMAR que la solicitud es legítima", comentó Taylor.

Si sospecha que el ataque fue exitoso, el primer paso es comunicarse de inmediato tanto con las autoridades como con el banco comercial de su empresa. Aunque es importante presentar una denuncia ante la policía local, tenga en cuenta que muchos ciberdelitos están bajo la jurisdicción del FBI. Para presentar un reclamo en línea, puede visitar el Centro de Denuncias de Delitos en Internet en ic3.gov.

"¿Qué más es importante hacer?", agregó Taylor. "Documentar todo lo ocurrido. Aprender del incidente ayudará a evitar que el mismo ataque vuelva a suceder".

Una buena preparación, con procedimientos y capacitación en seguridad informática, es la mejor manera de prevenir estos ataques.

Estamos listos para ayudarlo

Para conocer más recursos que ayuden a proteger a las empresas de pérdidas innecesarias, visite regions.com/fraudprevention.