BEC, o fraude de CEO, es el tipo de phishing que más rápido crece

Comprometer correos electrónicos corporativos (BEC, por sus siglas en inglés) es el tipo de ataque de phising más lucrativo y de mayor crecimiento actualmente: 45% de los ataques de phishing son de este tipo, de acuerdo con el Índice de Inteligencia de Amenazas X-Force de IBM 2019.

Juan Francisco García, líder de la Unidad de negocio de Seguridad en IBM de México, indicó que los ataques BEC están dirigidos a ejecutivos top level de las organizaciones. “Como tienen la capacidad de ejecutar transacciones económicas muy grandes y acceso a información privilegiada dentro de las compañías, los hackers apuntan a estas personas para obtener mayores beneficios que si lo hicieran contra cualquier empleado de una empresa”.

Para generar este reporte anual, el ejecutivo dijo que los equipos de investigadores X-Force de IBM monitorean diariamente datos de 70 mil millones de incidentes de seguridad al día en más de 130 países. Mediante sensores de spam y redes, detectan decenas de millones de ataques spam y phishing luego de analizar millones de páginas web e imágenes para detectar actividades fraudulentas.

BEC, ingeniería social y falta de sentido común

Los ataques tipo BEC, también conocidos como ‘fraude de CEO’ se hacen mediante un supuesto correo electrónico de altos ejecutivos de las compañías que se envía a quienes controlan las cuentas bancarias y les indican que hagan una transferencia confidencial. Puede darse el caso de que esté en trámite la firma de un contrato; llega el coreo que solicita que se haga un depósito urgente para proceder con el trámite.

Aquí, García subraya que ante una situación como esta debería prevalecer el sentido común y tratar de contactar directamente a la persona para corroborar lo que está pasando: “Si hay una cultura en la organización y proceso establecidos, es posible contener ese tipo de estafa. Quienes trabajan alrededor de estos ejecutivos tienen que estar atentos para identificar señales que pudieran ser alarmas y aunque parezca reiterativo, verificar antes de proceder”.

El reporte señala que el FBI ha detectado costos 12,500 millones de dólares  a las empresas afectadas por este tipo de fraude. Por su impacto económico, BEC es una de las vulneraciones con mayor crecimiento, tanto en Estados Unidos, como a nivel mundial.

Respuesta a incidentes, clave en un plan de ciberseguridad

En conferencia de prensa previa al IBM Security Summit, que se llevó a cabo la tarde del jueves en la Ciudad de México, García se refirió también al cuarto Estudio de Ciber Resiliencia 2019. En este, se detectó que 77% de las organizaciones no cuenta con un plan de respuesta a incidentes de ciberseguridad.

De las compañías que sí tienen uno, 54% no realiza pruebas de manera regular. Para el estudio se hizo un sondeo para saber si las compañías habían sufrido al menos una vulneración a sus datos o un incidente de ciberseguridad en los últimos dos años. 60% reconoció que sí; 35% dijo que no, pero 5% indicó que no estaba seguro.

El directivo consideró que “para estar protegidas, las empresas tienen que prepararse, saber qué hacer cuando suceda un ataque y cómo reaccionar ante este, eso las hace ciber resilientes e incluso les puede permitir acortar el tiempo para reaccionar ante incidentes”.

Por último, el ejecutivo también citó que las empresas afectadas por una vulneración de datos pierden en promedio $3.92 millones de dólares, como señala el reporte Costo de una vulneración de datos 2019, realizado por el Instituto Ponemon e IBM.

Maricela Ochoa

Reportera de tecnología. Suele buscar temas de innovación, nuevas aplicaciones IT y seguridad de la información. Periodista por la UNAM; estudió Marketing en el ITAM y Branding en la Universidad de Bogotá Jorge Tadeo Lozano. Storyteller apasionada por la astronomía.

Related posts

Deja un comentario