Skip to content
B�squeda
Busca
  1. Dinero
 

CENTRO DE RECURSOS CONTRA EL FRAUDE

Correos electrónicos empresariales fraudulentos

AARP

In English | Las estafas BEC (business email compromise o correos electrónicos empresariales fraudulentos) son un tipo cada vez más común (en inglés) de estafas de suplantación de identidad (phishing) mediante las cuales los estafadores se hacen pasar por propietarios o ejecutivos de una empresa para engañar a los empleados a fin de que transfieran dinero o entreguen información confidencial. También conocidos como "fraude del director ejecutivo", "phishing de W-2", "cuentas de correo electrónico fraudulentas" y "spoofing de correo electrónico empresarial", estos ataques se presentan en dos variedades básicas:

  • Un empleado con acceso a las cuentas de la empresa recibe una solicitud urgente por correo electrónico, supuestamente de un alto ejecutivo, en la que se le pide transferir una gran suma de dinero para lo que parece ser un propósito legítimo, como una adquisición o el pago de un proveedor. El mensaje incluye información de ruta de una cuenta bancaria que, en realidad, está controlada por los estafadores, a menudo en un banco extranjero. En una variación de esta estafa, el correo electrónico presuntamente proviene de un proveedor que busca un cambio en su cuenta de pago.
  • El ejecutivo falso envía correos electrónicos a alguien en la oficina de nómina o de recursos humanos para conseguir una lista de empleados y copias de sus formularios W-2. Esto pone una gran cantidad de información personal y financiera de los trabajadores (números de Seguro Social, domicilios, salarios y retención impositiva) en manos de los estafadores, lo que prepara el terreno para el fraude de identificación fiscal a gran escala y otras formas de robo de identidad.

Las autoridades del orden público han vinculado las estafas BEC a organizaciones de crimen organizado internacionales, con frecuencia con sede en Nigeria. La estafa se basa en técnicas sofisticadas de "spoofing" (hacer que los correos electrónicos y documentos comerciales falsos parezcan convincentes) y de "spear phishing" (investigar una marca para lanzar ataques altamente focalizados). Los estafadores también pueden utilizar programas maliciosos para infiltrarse en la red informática de una empresa y acceder a intercambios de correo electrónico sobre asuntos financieros.

¿Has visto este fraude?

Inscríbete para recibir alertas de vigilancia gratuitas que ofrecen más consejos para evitar fraudes

Esta forma de fraude puede rendir ganancias: en el 2020, las víctimas de las estafas BEC reportaron $1,870 millones ($1.87 billion) en pérdidas al centro de quejas de crímenes cibernéticos del FBI (Internet Crime Complaint CEnter o IC3). Esta cifra representa el 45% de todas las pérdidas por el cibercrimen registradas por el buró ese año y un aumento de un 44% en comparación con solo dos años antes.

El FBI dice que los estafadores están explotando las interrupciones en las operaciones comerciales causadas por el brote de coronavirus para perpetrar nuevas variaciones en la estafa, en algunos casos secuestrando préstamos del Paycheck Protection Program (PPP, Programa de protección de cheques de pago) a pequeñas empresas.

Cualquier empresa u organización, grande o pequeña, puede ser un objetivo. En el 2021, más de 3 de cada 4 organizaciones recibieron correos electrónicos sospechosos de BEC y casi la mitad fueron atacados más de 10 veces, según una encuesta realizada por Proofpoint, una compañía de ciberseguridad, entre adultos trabajadores en EE.UU. y otros seis países.

Estos fraudes no solo abusan de las empresas: según el FBI, muchas pandillas que llevan a cabo los ataques BEC también perpetran estafas de romance y de trabajo en el hogar para reclutar “mulas de dinero” involuntarias; manipulan a las víctimas para que abran cuentas bancarias con el fin de ocultar o lavar las ganancias de los fraudes.

Señales de advertencia

  • Recibes un correo electrónico de un superior que te ordena procesar rápidamente una factura, cambiar el destinatario de un pago o proporcionar documentos confidenciales.
  • El mensaje es breve, urgente y te presiona para que evites las políticas y los procedimientos normales.
  • El remitente dice que está de viaje y la firma indica que el correo electrónico proviene de un dispositivo móvil.
  • El correo electrónico proviene de una cuenta de Gmail, Hotmail u otra cuenta personal en lugar de una cuenta de la organización.
  • Alguien con quien te has acercado por internet te pide que abras una cuenta bancaria para que recibas o le envíes dinero.

Qué hacer

  • Verifica con un ejecutivo por teléfono o en persona una solicitud de envío de dinero o de proporcionar los registros del personal.
  • Confirma verbalmente las instrucciones que recibas por correo electrónico de un vendedor o proveedor de cambiar los métodos de pago o la información bancaria. Llámalos a un número de contacto conocido. 
  • Revisa con cuidado la dirección de correo electrónico del remitente. Los estafadores pueden variar ligeramente una dirección auténtica mediante una letra adicional o cambios en la puntuación para que parezca legítima a primera vista.
  • Capacita al personal sobre la amenaza de los BEC y sobre cómo detectar correos electrónicos falsificados y de suplantación de identidad focalizada.
  • Comunícate de inmediato con tu institución financiera si descubres una transferencia fraudulenta. Tal vez puedas recuperar los fondos.
  • Si una persona involucrada en una transacción de propiedad solicita cambiar el tipo de pago (por ejemplo, de cheque a transferencia bancaria) o los datos bancarios, verifícalo con la misma antes de hacerlo. Hazlo en persona o por teléfono, no por correo electrónico.
  • Guarda todos los correos electrónicos y otras pruebas de un ataque BEC para proporcionárselos a las autoridades.

Qué no

  • No actúes ante una solicitud de envío de dinero o información confidencial de empleados sin confirmar que es auténtica. 
  • No respondas a un correo electrónico sospechoso. Habla directamente con la persona que el remitente afirma ser, o reenvía el correo a una dirección electrónica conocida de esa persona.
  • No llames a un número de teléfono que aparezca en el correo electrónico sospechoso. Ponte en contacto con la persona mediante un número que sepas que es legítimo.
  • No hagas clic en enlaces ni abras archivos adjuntos en un correo electrónico empresarial sospechoso. Podría desencadenar programas maliciosos.
  • No abras una nueva cuenta bancaria si te lo pide alguien con quien hayas forjado una relación en internet o como parte de una supuesta oportunidad de trabajar en el hogar.

Más recursos

  • Si has sido víctima de una estafa BEC, repórtala al Internet Crime Complaint Center (IC3; Centro de Quejas de Crímenes en Internet —en inglés—) del FBI.
  • Reenvía los correos electrónicos de estafas W-2 al IRS (Servicio de Impuestos Internos), a phishing@irs.gov.
  • Si el ataque BEC resultó en una pérdida de datos, sigue las instrucciones del IRS para denunciar el robo y proteger a los empleados. Comunícate con la Federación de Administradores de Impuestos al StateAlert@taxadmin.org para obtener información sobre cómo reportar una pérdida a las autoridades estatales.
  • El IC3 recomienda políticas de oficina y estrategias de tecnología de la información (en inglés) para reducir la amenaza de los BEC, al igual que el Financial Services Information and Analysis Center (Centro de información y análisis de servicios financieros), un grupo de la industria financiera que supervisa la ciberseguridad y otras amenazas.

Actualizado el 15 de marzo de 2022.

Acerca de la Red contra el Fraude

Ya sea que te hayas visto afectado por estafas o fraudes o estás interesado en obtener más información, la Red contra el Fraude, de AARPaboga por ti y te prepara con el conocimiento que necesitas para sentirte más informado y poder detectar y evitar estafas con firmeza.

Más del Centro de Recursos contra el Fraude