La información obtenida por los ciberdelincuentes durante un ataque de phishing a veces se utiliza para realizar costosas transferencias electrónicas fraudulentas. Aprenda cómo prevenir las estafas iniciales de phishing.

    El phishing es muy popular entre los ciberdelincuentes. El phishing es un método mediante el cual los ciberdelincuentes defraudan digitalmente a los usuarios; algo de lo que no se habla a menudo es de lo que los estafadores digitales hacen con la información que obtienen. Uno de los delitos digitales más lucrativos son las transferencias electrónicas fraudulentas.

    ¿Qué son las transferencias electrónicas?

    Una transferencia bancaria, según MySecurityAwareness.com, es una transacción casi en tiempo real de banco a banco que permite a una persona transferir dinero de su cuenta directamente a la cuenta de otra persona. «Cuando se realiza una transferencia bancaria, se verifica a ambos titulares de la cuenta, así como la cantidad de dinero en cada cuenta», agrega el sitio web de My Security Awareness.

    VER: Paquete de seguridad para PYMES: Políticas para proteger su negocio (Tech Pro Research)

    ¿Qué es el fraude por transferencia bancaria?

    El fraude de transferencia bancaria ocurre cuando los empleados de la compañía son engañados por los estafadores para transferir dinero a una cuenta bancaria controlada por los estafadores. «Ellos (los estafadores digitales) utilizan un lenguaje que podría ser específico para la persona o la compañía a la que se dirigen y luego solicitan una transferencia bancaria fraudulenta utilizando montos en euros que no se saldrían de lo normal según el cliente», explica este aviso de seguridad de United Bank. «Los ciberdelincuentes usan correos electrónicos de phishing y luego aprovechan las relaciones de confianza entre los individuos que autorizan las transferencias electrónicas y los que las envían.»

    El artículo de seguridad advierte que el fraude por transferencia electrónica no es específico de las empresas u organizaciones que realizan pagos por transferencia electrónica; más bien, cualquier persona puede ser víctima de este tipo de delito cibernético y debe tomar todas las precauciones para protegerse contra él.

    VER: Phishing y spearphishing: Una hoja de trucos para profesionales de negocios (ConsejoTecnologico.com)

    Un ejemplo lucrativo

    En las circunstancias adecuadas, la información capturada sólo por phish puede ser suficiente para permitir a los estafadores digitales fingir ser una empresa contratada por la empresa atacada. Si no lo es, los atacantes usarán la información estafada para acceder a los ordenadores de la empresa y luego robar los datos financieros confidenciales apropiados. Una vez que los atacantes están familiarizados con la forma en que la empresa paga las facturas, a quién paga regularmente y si hay saldos pendientes, pueden falsificar una factura con nuevas instrucciones de pago, incluida la forma de transferir dinero a la cuenta bancaria de los estafadores.

    Más información sobre ciberseguridad

    Puede parecer un gran esfuerzo para hacer dinero, pero es lo suficientemente exitoso como para que el FBI se involucre en la Operación WireWire. «La operación dio lugar a la incautación de casi 2,4 millones de euros y a la interrupción y recuperación de aproximadamente 14 millones de euros en transferencias electrónicas fraudulentas», según este comunicado de prensa del FBI de junio de 2019. «Los impactos devastadores que estos casos tienen en las víctimas y las compañías de víctimas afectan no sólo a las empresas individuales sino también a la economía global. Desde que el Internet Crime Complaint Center (IC3) comenzó a hacer un seguimiento formal de BEC (Business Email Compromises) y su variante, e-mail account compromise (EAC), ha habido una pérdida de más de 3.700 millones de euros reportados al IC3».

    El impacto de las transferencias electrónicas fraudulentas

    Los expertos en seguridad de Wells Fargo señalan que las transferencias electrónicas son una forma inmediata de pago; una vez que los estafadores han obtenido los fondos, la transferencia electrónica no puede ser revertida. Los autores del aviso de seguridad de United Bank sugieren que hay otras pérdidas además de las monetarias:

    • El potencial de daño a la reputación de una compañía; y
    • El tiempo que el empleado necesita para reparar el daño e informar a las autoridades sobre la actividad fraudulenta.

    Consejos sobre cómo prevenir el fraude de transferencias electrónicas

    Los autores de la notificación de seguridad de United Bank ofrecen los siguientes consejos que el personal de la compañía debe seguir para protegerse a sí mismo y a su empleador de ser víctimas de solicitudes de transferencias electrónicas fraudulentas:

    • Confirme las solicitudes de correo electrónico de una persona conocida por teléfono o en persona en caso de que su correo electrónico haya sido pirateado;
    • Desconfíe de las solicitudes de transferencias electrónicas por correo electrónico y de las solicitudes que impliquen urgencia;
    • Controlar diariamente las cuentas bancarias de la empresa;
    • Comunicarse inmediatamente con la institución bancaria y la policía local involucradas si existe alguna sospecha de fraude de transferencia electrónica; y
    • Compruebe la información incluida en una transferencia bancaria: un error tipográfico podría enviar el dinero a la persona o empresa equivocada.

    A continuación se presentan consejos específicos para las empresas:

    • Asegurarse de que los empleados comprendan y practiquen las políticas y procedimientos de la compañía con respecto a las transferencias electrónicas y otras actividades bancarias;
    • Establezca un programa de concientización para los empleados;
    • Las empresas deben establecer procedimientos para la entrada y salida de pagos;
    • Si es posible, solicite un segundo autentificador dentro de su empresa para todas las solicitudes de transferencia bancaria;
    • Asegúrese de que sus empleados sepan cuándo ocurre una estafa, cómo se perpetró y motívelos a permanecer vigilantes; y
    • Las empresas deben invertir en una revisión detallada de su infraestructura de TI y seguridad que refleje el tamaño de sus respectivos negocios.

    VER: Política de sensibilización y formación en materia de seguridad (Tech Pro Research)

    Consideraciones finales

    Es importante reiterar que las transferencias electrónicas son una forma inmediata de pago; una vez que el estafador ha obtenido los fondos transferidos, la transferencia no puede ser revertida, incluso si el cheque es fraudulento.

    Si se sospecha de actividad ilegal, además de las agencias locales de aplicación de la ley y las instituciones bancarias, informe el asunto a la Comisión Federal de Comercio en el Asistente de Quejas de la FTC o en el 1-877-FTC-HELP.

    Boletín informativo de consejotecnologico.com

    Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves