Guía de San Pedro Alcántara
Comentarios
La Policía Nacional alerta sobre el repunte en Galicia, en las últimas semanas de fraudes digitales basados en la suplantación de identidad, que están afectando tanto al tejido empresarial como a los trabajadores de forma individual. Los ataques, que utilizan técnicas de ingeniería social avanzada, se centran en el desvío de fondos mediante la manipulación de procesos administrativos cotidianos.
Auge del fraude BEC: Nóminas y Proveedores en el punto de mira
El fraude de compromiso de correo electrónico corporativo (BEC, por sus siglas en inglés) se ha convertido en una importante amenaza financiera para las empresas.
En esta modalidad, los atacantes logran acceso a cuentas de correo de la empresa o las suplantan visualmente para intervenir en dos áreas principalmente:
Desvío de nóminas: El atacante se hace pasar por un empleado de la propia empresa y envía un correo al departamento de Recursos Humanos solicitando un cambio urgente en su cuenta bancaria para el ingreso de la próxima nómina. De este modo la empresa transfiere la nómina de un empleado directamente a las cuentas de los estafadores.
Fraude de proveedores: Los delincuentes interceptan facturas reales y las reenvían desde una dirección casi idéntica a la del proveedor, indicando que han cambiado sus datos bancarios y solicitando que los pagos pendientes se realicen a una nueva cuenta controlada por la organización criminal.
- Es con esta última modalidad con la que se han venido estafando mayores cantidades de dinero en las últimas semanas en Galicia, teniendo en cuentas que cada una de las estafas realizadas supone la pérdida de miles de euros.
La "Estafa del CEO" y el "Falso Repartidor"
Otra amenaza importante es la Estafa del CEO. En ésta los delincuentes suplantan a un alto directivo para presionar a empleados, y bajo una supuesta urgencia o confidencialidad extrema, solicitan transferencias bancarias inmediatas.
En la comunidad gallega, se ha detectado una modalidad de esta estafa, enfocada a todo tipo de empresas, independientemente de su tamaño: la estafa del repartidor de mercancía.
En ella, la empresa recibe un aviso falso del ciberestafador, que suplanta a una empresa de mensajería o de un proveedor, sobre un paquete o mercancía bloqueada por un supuesto pago pendiente.
Este aviso llega normalmente mediante una llamada o un email a un empleado, demandando un pago inmediato para recibir una mercancía supuestamente importante. Utilizarán diferentes técnicas de ingeniería social, entre ellas suelen alegar que el jefe o superior de la empresa ya se ha puesto en contacto con ellos y está al corriente de la necesidad de realizar el pago de forma inminente.
Su objetivo es conseguir que el empleado haga alguna transferencia o utilice el dinero de la caja, o el suyo propio, para comprar tarjetas de prepago en algún establecimiento. Posteriormente el delincuente le pedirá los códigos de cada tarjeta para poder vaciarlas.
Recomendaciones de Seguridad para Empresas y Empleados
Para mitigar estos riesgos, se insta a las organizaciones a implementar protocolos de verificación de doble factor:
- Validación por canal secundario: Nunca realizar cambios en datos de pago (nóminas o proveedores) basándose exclusivamente en un correo electrónico. Se debe confirmar la solicitud mediante una llamada telefónica a un número verificado previamente.
- Examen de dominios de correo: Revisar minuciosamente la dirección del remitente. Los estafadores suelen cambiar una sola letra o caracter del dominio original , o bien variar su orden
- Protocolos de autorización: Establecer que cualquier transferencia de alta cuantía o cambio de cuenta bancaria requiera la firma o autorización de al menos dos personas.
- Cultura de la sospecha: Desconfiar de correos que soliciten acciones rápidas o que apelen al miedo y la urgencia extrema, así como de todo aquel que solicite una acción que se salga de lo habitual.
Comentarios
Aviso
