Kaspersky ha analizado ataques que son ejemplos de lo que se conoce como “business email compromise” (BEC), o compromiso del correo electrónico empresarial. Por lo general, estos ataques se realizan en nombre de un representante directivo de la empresa comprometida. Es importante destacar que, en todos los casos analizados, los remitentes eran falsos: las direcciones reales desde las que se enviaban los correos no tenían ninguna relación con los nombres de remitente que aparecían visualmente. Estas técnicas se utilizaban para convencer a las víctimas de que los correos eran legítimos.
Algunos de los incidentes involucraban correos que imitaban la correspondencia entre el CEO de la empresa y un supuesto bufete de abogados contratista, instando al departamento financiero a pagar una factura falsa adjunta. La correspondencia falsa con el CEO de la empresa víctima se utilizaba como “prueba” de que la solicitud de pago era legítima. En este ataque, el nombre de la empresa ficticia aparecía únicamente en el campo del nombre del remitente, mientras que la dirección de correo real era distinta y variaba de un correo a otro.
Otros incidentes mostraban correos similares que imitaban la comunicación entre el CEO y empresas contratistas para solicitar el pago urgente de una factura falsa, aunque en este caso la factura no estaba adjunta.
Incidentes relacionados
Este tipo de fraude no es aislado. En 2024, el Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 21.500 incidentes relacionados con phishing por correo electrónico en España, muchos de los cuales respondían a campañas de suplantación de identidad como las descritas. Dentro de estas, los ataques de tipo BEC o whaling, en los que los delincuentes se hacen pasar por altos ejecutivos como el CEO, representan una modalidad cada vez más común, especialmente contra departamentos financieros y administrativos de empresas. El fraude por correo está ya entre las principales ciberamenazas registradas, con más de 38.000 casos de fraude online reportados oficialmente en el último año según INCIBE.
Para evitar convertirse en víctima de mensajes fraudulentos y, en particular, de ataques de business email compromise, los expertos recomiendan lo siguiente:
- Revisa la dirección de correo del remitente y no confíes únicamente en el nombre que se muestra, ya que la dirección real puede no tener relación alguna con la persona o empresa que supuestamente envía el mensaje.
- Abre correos electrónicos y haz clic en enlaces solo si tienes la certeza de que el remitente es de confianza; verifica que la dirección de correo sea legítima.
- Si el remitente es legítimo, pero el contenido del mensaje resulta extraño, conviene verificarlo mediante otro canal de comunicación.
- Revisa cuidadosamente las letras de la URL si se sospecha que se trata de una página de phishing. Podría contener errores difíciles de notar a simple vista, como un 1 en lugar de una I o un 0 en lugar de una O.
