Business email compromise (BEC) sigue siendo la mayor fuente de fraude y pérdidas financieras. Llegando a totalizar $2.4 mil millones en 2021, frente a un estimado de $1.8 mil millones en 2020, de acuerdo con el Centro de Delitos en Internet (IC3) de la Oficina Federal de Investigaciones (FBI).
En su informe anual de 2021, el FBI dice que los estadounidenses perdieron $6.9 mil millones a manos de estafadores y ciberdelincuentes el año pasado. Y ello ocurrió a través del ransomware, BEC y robo de criptomonedas. En 2020, esa cifra se situó en 4.200 millones de dólares .
El año pasado, el Centro de Quejas de Delitos en Internet (IC3) del FBI recibió 847.376 quejas sobre pérdidas por delitos cibernéticos, un 7 % más que las 791.790 quejas de 2020. Un claro incremento de actividades delictivas cibernéticas. Y, por las cifras, parece que ello jamás parará.
El BEC, la mayor fuente de fraude
En los titulares no han parado de resaltar los ataques de ransomware, pero debemos decirles que la mayor fuente de fraude de estos años ha sido el BEC. Ello lo confirma Paul Abbate, subdirector del FBI, en una introducción al informe: “En 2021, los esquemas de BEC dieron como resultado 19.954 quejas con una pérdida ajustada de casi 2.400 millones de dólares”.
Debemos señalar que las estadísticas de IC3 en sus informes anuales se basan en la información que el público envía a su sitio web www.ic3.gov. Desde el año 2017, el IC3 ha recibido 2.76 millones de quejas. Lo que nos indica que los consumidores y las empresas de EE. UU. han perdido $18.700 millones.
¿Cómo evolucionaron las estafas de BEC?
Lo que ha hecho a las estafas de BEC seguir vigentes y fuertes ha sido su capacidad para adaptarse a la evolución de la tecnología. De ese modo, han podido realizar falsificaciones profundas de audio y video creadas por IA, gracias a que la pandemia obligó a muchas empresas a realizar reuniones de video en línea a través de Zoom o Microsoft Teams.
Pero antes de hablar sobre lo que hacen hoy en día, recordemos un poco cómo eran originalmente. En el pasado, las estafas de BEC se basaban en falsificar una cuenta de correo electrónico comercial de un CEO o funcionario relevante. Luego de ello, procedían a instruir a un subordinado para que transfiriera fondos a la cuenta bancaria del ciberdelincuente. Los correos electrónicos solían dirigirse a empresas de bienes raíces.
Y para ilustrar lo que hacen hoy en día, citaremos parte del reporte del FBI: “Ahora, los estafadores están utilizando plataformas de reuniones virtuales para piratear correos electrónicos. Y falsificar las credenciales de los líderes empresariales para iniciar las transferencias electrónicas fraudulentas. Estas transferencias electrónicas fraudulentas a menudo se transfieren de inmediato a billeteras de criptomonedas y se dispersan rápidamente, lo que dificulta los esfuerzos de recuperación”.
Para ser más específicos, así suelen ejecutar sus estafas: durante las reuniones, el estafador inserta una imagen fija del CEO sin audio o un audio “falso”. Y el ciberdelincuente, durante su actuación como ejecutivo de negocios, nunca deja de afirmar que su audio/video no funciona correctamente. Luego, el estafador usa un video para indicarle a los empleados que completen una transferencia bancaria. Aunque también puede usar el correo electrónico comprometido de un ejecutivo para entregar instrucciones de transferencia.
¿Qué hará Estados Unidos para evitar estar estafas?
Es cierto que el año pasado el BEC no fue el único tipo de estafa que azotó a los estadounidenses, pues también hubo muchos lavados de criptomonedas, así como ataques de ransomware. Sin embargo, el aumento de estos cibercrímenes es igual de preocupante.
Por ello, Estados Unidos está reorganizando la forma en que los operadores de infraestructuras críticas informan sobre ataques importantes. La legislación, recientemente aprobada, requiere que los operadores informen estos ataques y pagos de rescate a la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) frente al FBI. CISA se ha comprometido a compartir inmediatamente los informes que recibe con el FBI .