Los ladrones ya no entran a los negocios a través de una puerta abierta; Ahora, simplemente van directamente a su bandeja de entrada. Según el FBI, el compromiso de correo electrónico comercial (BEC) es uno de los La mayoría de los delitos en línea que dañan financieramente Porque los empleados dependen tanto del correo electrónico en nuestra vida diaria.
Así de rápido puede suceder: una empresa recibe un correo electrónico que parece ser de un proveedor con el que ha trabajado durante años. El correo electrónico va a los empleados con autoridad transaccional (cuentas por pagar, firmantes de cheques, personas autorizadas) que solicitan que se transfieran fondos para liquidar una factura pendiente. El correo electrónico incluso incluye un enlace a lo que parece una factura muy real. Cuando un empleado hace clic en el enlace para ver la factura, se transmite información confidencial a los atacantes o descarga malware en la computadora de la empresa. Un solo clic podría conducir a una pérdida significativa para la empresa.
BEC es una estafa sofisticada dirigida a empresas que regularmente realizan transferencias electrónicas o pagos ACH y / o trabajan con proveedores extranjeros. La estafa compromete cuentas de correo electrónico comerciales legítimas para realizar transferencias no autorizadas de fondos. Los estafadores pueden hacerse pasar por:
- Su proveedor, enviando una factura con la información actualizada de la cuenta bancaria para los pagos ACH.
- Un proveedor establecido, solicitando ser contactado en una dirección de correo electrónico diferente de toda la correspondencia oficial anterior.
- Su CEO o CFO, dando instrucciones para enviar una transferencia electrónica.
"Estas técnicas de estafa no son nuevas, pero se están volviendo cada vez más sofisticadas", dijo Scott Edwards, director de administración de riesgo de fraude de BOK Financial®. "Le instamos a permanecer alerta y recordar a sus empleados que presten atención a los detalles del correo electrónico para ayudar a su empresa a evitar el fraude".
Cómo proteger su empresa
Las empresas deben tener una variedad de controles manuales y del sistema para frustrar los esfuerzos de BEC si llegan a las bandejas de entrada de sus empleados.
- Establecer comunicación fuera de banda. Use una forma alternativa de comunicación que no sea el correo electrónico, como una llamada telefónica, para verificar las transacciones por un monto en dólares preestablecido. Configure este proceso de verificación al principio de la relación comercial utilizando un método que no sea el correo electrónico.
- Estandarice la validación de pagos y cambios de cuenta. Establezca con sus clientes y socios comerciales cómo se comunicarán y validarán los cambios en la información de la cuenta. Además, confirme cómo espera que validen los cambios en su información bancaria.
- Confirme cambios significativos o fuera de patrón. Tenga cuidado con los cambios repentinos en las prácticas comerciales. Tenga especial cuidado si el solicitante lo presiona para que actúe rápidamente.
- Verifique las solicitudes de pago y compra utilizando un segundo método. Verifique las solicitudes de pago y compra desde dentro de su empresa o de un proveedor en persona si es posible o llamando al solicitante para confirmar la legitimidad. También debe verificar cualquier cambio en el número de cuenta o los procedimientos de pago con la persona que realiza la solicitud. Siga los controles para la validación de la información de pago nueva o revisada.
- Esté atento a los cambios en la información de contacto. Si la ubicación de pago de un proveedor cambia, eso es una señal de alerta. Desconfíe mucho si un proveedor ofrece razones vagas para los cambios en una nueva cuenta, como auditorías fiscales o eventos actuales, por ejemplo, "Debido al COVID-19, necesitamos actualizar nuestra información de pago..."
"Nunca se puede ser demasiado cauteloso con el compromiso del correo electrónico comercial", dijo Abdullah Aliya, gerente de fraude en el Departamento de Delitos Financieros de BOK Financial. "Si algo parece estar mal, asume lo peor. No haga clic en nada que no le sea familiar ni siga las nuevas instrucciones sin aumentar su preocupación. Reducir la velocidad e investigar podría ahorrarle a su empresa mucha frustración en el futuro".
Qué hay que tener en cuenta
- Instrucciones de transacción enviadas por correo electrónico para dirigir el pago a un beneficiario conocido; Sin embargo, la información de la cuenta del beneficiario es diferente de la que se utilizó anteriormente.
- Instrucciones de transacción por correo electrónico con instrucciones para transferir fondos a una cuenta bancaria extranjera que se ha documentado en las quejas de los clientes como el destino de transacciones fraudulentas.
- Instrucciones para dirigir el pago a una cuenta sin una relación comercial establecida.
- Solicitud de pago que es un monto que no es consistente con los patrones de pago típicos de ese proveedor.
- Instrucciones de transacción enviadas por correo electrónico con marcas, afirmaciones o lenguaje que designe la solicitud de transacción como "urgente", "secreta" o "confidencial".
Protegiendo su negocio
"Todas las empresas deben tener un plan de respuesta BEC", dijo Edwards. "Los controles establecidos y la capacitación de los empleados y los informes rápidos podrían aumentar la probabilidad de detener a posibles estafadores o recuperar pérdidas".
Si sospecha de fraude, involucre rápidamente a sus equipos de TI y seguridad de la información para determinar si ha habido un compromiso de red o correo electrónico. Luego, notifique a su institución financiera inmediatamente.
Para transferencias electrónicas internacionales de más de $50,000, llame a su oficina regional del FBI y la policía local en 72 horas. El FBI ofrece un proceso de Cadena de Muerte por Fraude Financiero (FFKC, por sus siglas en inglés) para ayudar a recuperar grandes transferencias electrónicas internacionales robadas de los Estados Unidos.
Las transferencias electrónicas fuera de estos umbrales deben ser reportadas a la policía a través del Centro de Cumplimiento de Delitos en Internet (IC3) en el FBI, pero el FFKC no puede ser utilizado para devolver los fondos fraudulentos.
Aprenda más sobre Seguridad en línea de BOK Financial o llame al 844-517-3308 para reportar actividades sospechosas en las cuentas de BOK Financial. La Agencia de Ciberseguridad y Seguridad de la Infraestructura también mantiene una Lista actualizada de amenazas actuales.
. © 2025 BOKF, NA.