“Después de que unos pintores me hicieran unos trabajos, en el momento del pago, hackearon el correo de la empresa de pinturas y me enviaron una factura idéntica con el número de cuenta bancaria cambiado”. Esto que relata un lector de Maldita.es se conoce como compromiso del email corporativo o fraude BEC (por su nombre en inglés, Business Email Compromise). Los ciberdelincuentes acceden a la cuenta de correo del empresario, buscan una factura y cambian el número de cuenta del destinatario de la transferencia.
Como explica en su web la Asociación de Usuarios Financieros (Asufin), con esta técnica los timadores se hacen con el dinero “pues los bancos aceptan transferencias aunque el nombre del titular y el número de cuenta no pertenezcan a la misma persona”. Se trata de un fraude muy frecuente que afecta en especial a la pequeña y mediana empresa (Pyme)en todo el mundo. Por ejemplo, en 2021, el FBI de Estados Unidos recibió más de 19.000 reclamaciones por fraude BEC, con pérdidas de hasta 2.4 mil millones de dólares, según refleja el informe anual del Centro de Delitos en Internet (IC3).
Cómo se produce el fraude
Existen numerosas técnicas mediante las cuales los ciberdelincuentes pueden acceder al correo electrónico para cambiar el número de cuenta en facturas. Según el Instituto Nacional de Ciberseguridad (INCIBE), pueden obtener las credenciales de la cuenta de correo utilizando técnicas de ingeniería social, como ataques de phishing en los que suplantan a entidades o shoulder surfing, visualizando las credenciales cuando las tecleamos. También es posible que nuestro dispositivo esté infectado con un malware que puede espiarnos y robarnos nuestra contraseña. Incluso pueden lanzar ataques automatizados contra el servidor de correo probando contraseñas de uso común hasta que consiguen entrar o usando claves filtradas por brechas de seguridad.
Esto último es lo que le ocurrió a José Manuel, contable en un comercio familiar que fue víctima de un fraude BEC con una factura de un proveedor. Como expone el INCIBE, el contable utilizaba la misma contraseña para todo, tanto para el correo corporativo como para sus redes sociales o plataformas de streaming. Tras consultar en la web Have I Been Pwned, comprobó que su contraseña aparecía en una filtración de datos reciente.
Al tener la contraseña, el ciberdelincuente entró en el correo electrónico corporativo y creó una regla por la cual todos los correos que llegaban de parte del proveedor de la empresa eran desviados a un buzón externo y, por lo tanto, no llegaban a aparecer en la bandeja de entrada. De este modo, cuando el proveedor de la empresa de José Manuel envió la factura, fue desviada y el timador la editó para cambiar la cuenta y mandársela desde una dirección de correo que suplantaba a la de su proveedor.
Qué hacer si hemos sido víctimas de este timo
Si nuestro correo electrónico está comprometido, debemos revisar si existen reglas o filtros no deseados configurados en nuestra cuenta y borrarlos. También debemos examinar los usuarios de correo “para localizar y desactivar los que se hayan creado recientemente” y también “los registros o logs de acceso a la cuenta afectada para detectar accesos ajenos o no controlados”, según recomienda el INCIBE. También aconsejan cambiar la contraseña por una más robusta y aplicar el doble factor de autenticación (2FA).
Si hemos sido víctimas de este fraude, el organismo recomienda que contactemos con nuestro banco para comunicar lo ocurrido e intentar revertir la transferencia y que denunciemos el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado. También podemos reportar el incidente adjuntando el correo y sus adjuntos al INCIBE-CERT.