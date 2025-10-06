Los expertos en ciberseguridad y el FBI identifican seis tipos principales de ataques BEC.



Esquemas de facturación falsos



El atacante de BEC finge ser un proveedor con el que trabaja la empresa y envía al empleado objetivo un correo electrónico con una factura falsa adjunta; cuando la empresa paga la factura, el dinero va directamente al atacante.Para que estos ataques sean convincentes, el atacante puede interceptar facturas de proveedores reales y modificarlas para dirigir los pagos a sus propias cuentas bancarias.

Cabe destacar que los tribunales han dictaminado (el enlace se encuentra fuera de ibm.com) que las empresas que caen en la trampa de facturas falsas siguen teniendo que enfrentarse a sus homólogas reales.

Una de los mayores estafas de facturas falsas se llevó a cabo en Facebook y Google.De 2013 a 2015, un estafador se hizo pasar por Quanta Computer, un fabricante de hardware real con el que trabajan ambas empresas, y robó 98 millones de USD a Facebook y 23 millones de USD a Google.Aunque el estafador fue detenido y ambas empresas recuperaron la mayor parte de su dinero, este resultado es poco frecuente en las estafas BEC.



Fraude de CEO



Los estafadores se hacen pasar por un ejecutivo, normalmente un director general, y piden a un empleado que envíe dinero electrónicamente a algún sitio, a menudo con el pretexto de cerrar un trato, pagar una factura atrasada o incluso comprar tarjetas regalo para compañeros de trabajo.

Los esquemas de fraude de CEO suelen crear una sensación de urgencia, para que el objetivo actúe con rapidez y precipitación (por ejemplo, " Esta factura está vencida y vamos a perder el servicio si no la pagamos inmediatamente") o de secretismo, para que el objetivo no consulte a sus compañeros de trabajo (por ejemplo, " Este acuerdo es confidencial, así que no se lo digas a nadie").

En 2016, un estafador que fingía ser CEO del fabricante aeroespacial FACC utilizó una adquisición falsa para engañar a un empleado para que transfiriese 47 millones de USD (el enlace reside fuera de ibm.com).Como resultado de la estafa, la junta directiva de la empresa despidió tanto al director financiero como al director ejecutivo por "incumplir" sus deberes.



Compromiso de cuenta de correo electrónico (EAC)



Los estafadores se apoderan de la cuenta de correo electrónico de un empleado no ejecutivo.Pueden usarla para enviar facturas falsas a otras empresas o engañar a otros empleados para que compartan información confidencial.Los estafadores suelen utilizar EAC para suplantar las credenciales de cuentas de nivel superior, que pueden utilizar para cometer fraude a los directores ejecutivos.

Suplantación de abogado



Los estafadores se hacen pasar por un abogado y le piden a la víctima que pague una factura o comparta información confidencial.Las estafas de suplantación de abogados se apoyan en el hecho de que mucha gente coopera con los abogados, y no es extraño que un abogado pida confidencialidad.

Los miembros de la banda de BEC rusa Cosmic Lynx suelen fingir ser abogados como parte de un ataque de suplantación doble (el enlace reside fuera de ibm.com).En primer lugar, el CEO de la empresa objetivo recibe un correo electrónico en el que se presenta al CEO a un "abogado" que ayuda a la empresa con una adquisición u otro acuerdo comercial.Luego, el abogado falso envía un correo electrónico al CEO solicitando una transferencia bancaria para cerrar el acuerdo.En promedio, los ataques Cosmic Lynx roban 1,27 millones de USD de cada objetivo.



Robo de datos



Muchos ataques BEC instan a los empleados de RR. HH. y finanzas a robar información de identificación personal (PII) y otros datos confidenciales que pueden utilizar para cometer robo de identidad o llevar a cabo futuros ataques.

Por ejemplo, en 2017, el IRS advirtió (el enlace reside fuera de ibm.com) de una estafa BEC que robaba datos de empleados: los estafadores se hacían pasar por un ejecutivo de la empresa y pedían a un empleado de nóminas que enviara copias de los formularios W-2 de los empleados (que incluyen sus números de la Seguridad Social y otra información sensible).Algunos de estos mismos empleados de nómina recibieron correos electrónicos de "seguimiento" que solicitaron que se realicen transferencias bancarias a una cuenta fraudulenta.Los estafadores asumieron que los objetivos que consideraban creíble la solicitud de W2 eran objetivos excelentes para una solicitud de transferencia bancaria.



Robo de mercancías



A principios de 2023, el FBI advirtió (enlace reside fuera de ibm.com) de un nuevo tipo de ataque, en el que los estafadores se hacen pasar por clientes corporativos para robar productos de la empresa objetivo.Utilizando información financiera falsa y haciéndose pasar por empleados del departamento de compras de otra empresa, los estafadores negocian una gran compra a crédito.La empresa objetivo envía el pedido, normalmente materiales de construcción o hardware informático, pero los estafadores nunca pagan.