Tuesday, 22 April 2025

Top Categories

Tecnología

Sucesos

Política

Otras

Popular News

La comisión que investiga las irregularidades en la...

Transportan a mujeres en estado crítico por accidentes...

Estos son los 12 proyectos que los delegados...

El daño en la puerta suscitó un reclamo...

  • Home  
  • Tica Company sufrió una pérdida de $1.5 millones en el caso de la estafa Bec: Ataques al volante
Sucesos

Tica Company sufrió una pérdida de $1.5 millones en el caso de la estafa Bec: Ataques al volante

  • RedacciónPor Redacción
  • abril 22, 2025
  • 0 Comentarios
  • 9 Vistas
  • Read in 5 Minutes

Recientemente, una empresa costarricense se convirtió en víctima de un sofisticado esquema de estafa que se especializa en el análisis del correo electrónico de gerentes y personal financiero de diversas organizaciones, con el fin de sustraer importantes sumas de dinero. Este tipo de fraude es comúnmente conocido como BEC, un acrónimo del inglés que significa «Business Email Compromise», o «Compromiso de Correo Electrónico Empresarial» en español.

De acuerdo con la información proporcionada por Erick Lewis, quien es el jefe del delito cibernético en la Agencia de Investigación Judicial (OIJ), cada año se reportan aproximadamente diez casos de este tipo en el país, con pérdidas que alcanzan cifras millonarias. El jefe de policía subrayó que este tipo de fraude informático ha evolucionado notablemente durante el último año, afectando severamente a las empresas costarricenses.

Las investigaciones realizadas hasta el momento revelan que las compañías nacionales han sufrido pérdidas que oscilan entre los $15,000 y $1.5 millones. «Este tipo de estafa es una de las más comunes a nivel empresarial. Se desarrolla de manera que primero compromete el correo electrónico de alguna persona dentro de la compañía; posteriormente, los estafadores toman control del correo, generalmente el de un gerente, dueño de la empresa o alguien encargado de realizar pagos», explicó Lewis.

Un proceso mensual

Erick Lewis, encargado del crimen cibernético en la OIJ, detalló que esta modalidad de fraude puede llevar varios meses para establecerse, durante los cuales los ciberdelincuentes investigan a fondo la compañía y su funcionamiento. Además, en los casos más complejos, el esquema incluye correos electrónicos intercambiados entre dos empresas que mantienen una relación comercial.

La estafa BEC

  • ¿Qué es?: El compromiso de correo electrónico empresarial es un ataque cibernético donde los estafadores se hacen pasar por alguien de confianza (como un CEO o gerente) para engañar a los empleados y conseguir transferencias de dinero.
  • La clave: Se crea un sentido de urgencia (‘lo necesito ya’) que proviene de una autoridad dentro de la empresa para que la víctima actúe rápidamente y realice la transferencia de fondos.

Paso 1: Investigación y selección de objetivos

  • El estafador selecciona una empresa u organización como su objetivo.
  • Realiza una investigación exhaustiva sobre el negocio, incluyendo nombres de empleados clave (como el CEO, gerentes financieros y otros) y detalles sobre la estructura jerárquica, además de socios comerciales o proveedores, incluso puede obtener información sobre proyectos en curso.

Paso 2: Poshacking

  • El atacante define a quién sustituirá, bien sea al CEO o a un proveedor.
  • Procede a hackear la dirección de correo electrónico:
    • Compromiso de la cuenta (EAC): Obtienen acceso directo a la cuenta de correo electrónico del ejecutivo o empleado que quieren suplantar. Este método es extremadamente peligroso ya que los correos electrónicos provienen legítimamente de la cuenta hackeada.
    • Asimismo, pueden enviar correos que aparentan ser de una dirección legítima, lo cual es muy engañoso.

Paso 3: El ataque

  • El estafador envía correos electrónicos cuidadosamente preparados, utilizando el tono y estilo de comunicación de la persona suplantada. Desde un contexto de urgencia hasta tácticas de ingeniería social, se incluyen elementos como:
    • Urgencia: «Necesito que realices esta transferencia ahora.
    • Autoridad: «Soy el CEO, necesito tu ayuda de inmediato».
    • Confidencialidad: «Este tema es altamente confidencial, no lo hables con nadie».
    • Contexto engañoso: Puede mencionar un negocio ficticio, una adquisición secreta o una deuda urgente.

Paso 4: Interacción

  • Si la víctima responde con preguntas, el estafador continúa la conversación, manteniendo la farsa y reforzando la urgencia o el secreto.
  • Tratará de evitar que la víctima verifique la solicitud por otros medios, como por ejemplo, llamando o consultando a colegas.

Paso 5: Acción fraudulenta

  • Convencida por la aparente legitimidad del mensaje y la presión del mismo, la víctima realiza la acción solicitada:
    • Realiza una transferencia bancaria a una cuenta controlada por los estafadores.
    • Proporciona información confidencial necesaria para el fraude.

La empresa ha recibido piedras

Uno de los casos que ha llamado la atención de las autoridades en relación a este tipo de fraude involucra a un grupo de empresarios que compraban productos principalmente en el mercado asiático y que terminaron perdiendo considerables sumas de dinero.

«Los delincuentes afirmaron que ya habían enviado la mercancía y que una bolsa en particular había sido subida al barco, pero al llegar el barco a Costa Rica, en lugar de mercancía, recibieron bolsas llenas de piedras», comentó Lewis.

Además, las investigaciones indican que la mayoría de los autores de las estafas BEC no operan desde Costa Rica, sino que son parte de redes internacionales de delincuencia.

https://www.youtube.com/watch?v=ru1qsgbtkf0

¿Cómo prevenir la estafa?

Para evitar ser víctima de este tipo de fraude, es recomendable llevar a cabo varias prácticas:

Verificación obligatoria: Siempre confirme las solicitudes de transferencias de dinero, datos bancarios o información confidencial utilizando un canal de comunicación diferente al correo electrónico.

Desconfianza ante la urgencia y el secreto: Tenga cuidado con tácticas que intenten crear sensación de urgencia o exigencias de confidencialidad extrema; estas son señales de advertencia que no deben pasarse por alto.

Aprobación doble: Establezca políticas que requieran la aprobación de al menos dos personas autorizadas antes de realizar transferencias bancarias.

Capacitación: Capacite a su personal para que identifique correos electrónicos sospechosos (observando direcciones extrañas, errores ortográficos sutiles o dominios similares) y para que siga estrictamente los protocolos de verificación establecidos.

Tecnología: Implemente filtros de correo electrónico robustos y soluciones anti-phishing, y considere la implementación de métodos adicionales de verificación para el correo electrónico.

Etiquetas:
Redacción

Redacción

About Author

También te puede interesar

Sucesos

Detienen a un individuo por intentar homicidio involuntario, agresión con armas y amenazas, acumulando menos de 15 años de prisión – Heredia hoy.

Sucesos

Gestión del agua y acción climática: Fundamentos de la estrategia ambiental de FIFCO – Heredia Today

Diario El Nacional  @2025. Todos los derechos reservados.