Sherry Williams, directora ejecutiva de One Treasure Island, posa para una foto en su oficina el martes 5 de abril de 2022 en San Francisco. Las estafas de Compromiso de correo electrónico comercial son un tipo de delito en el que los delincuentes piratean cuentas de correo electrónico, fingen ser alguien que no son y engañan a las víctimas para que envíen dinero a lugares donde se supone que no deben hacerlo. En el caso de Williams, el director de una organización sin fines de lucro de San Francisco, los ladrones piratearon la cuenta de correo electrónico del contador de la organización sin fines de lucro y luego se insertaron en un largo hilo de correo electrónico, enviaron mensajes solicitando cambiar las instrucciones de pago por transferencia bancaria para un beneficiario de la subvención y se llevaron $ 650,000. Crédito: Foto AP/Eric Risberg
Es un crimen que desvía incontables miles de millones de la economía, pero mucha gente nunca ha oído hablar de él.
Las estafas de Compromiso de correo electrónico comercial involucran a delincuentes que piratean cuentas de correo electrónico, fingiendo ser alguien que no son y engañando a las víctimas para que envíen dinero a donde no pertenece.
Aunque reciben mucha menos atención que los ataques masivos de ransomware que han desencadenado una poderosa respuesta del gobierno, las estafas BEC han sido, con mucho, el tipo de delito cibernético más costoso en los EE. UU. durante años, según el FBI.
Los enormes beneficios y los bajos riesgos asociados con las estafas BEC han atraído a delincuentes de todo el mundo. Algunos hacen alarde de sus riquezas mal habidas en las redes sociales, posando en fotografías junto a Ferraris, Bentleys y montones de dinero en efectivo.
Casi todas las empresas son vulnerables a las estafas de BEC, desde las empresas Fortune 500 hasta las pequeñas ciudades. Incluso el Departamento de Estado de EE. UU. fue engañado para que enviara a los estafadores de BEC más de $ 200,000 en fondos de subvenciones destinados a ayudar a los agricultores tunecinos, según muestran los registros judiciales.
«Los estafadores están extremadamente bien organizados y las fuerzas del orden no», dijo Sherry Williams, directora de una organización sin fines de lucro de San Francisco que recientemente fue víctima de una estafa de BEC.
Las pérdidas en los EE. UU. debido a las estafas de BEC en 2021 fueron de casi $ 2.4 mil millones, según un nuevo informe del FBI. Eso es un aumento del 33% desde 2020 y más de diez veces más que hace solo siete años.
Y los expertos dicen que muchas víctimas nunca denuncian y que las cifras del FBI solo muestran una pequeña fracción de cuánto dinero se roba cada año.
Los estafadores de BEC utilizan una variedad de técnicas para piratear cuentas de correo electrónico comerciales legítimas y engañar a los empleados para que envíen pagos electrónicos o realicen compras que no deberían. Los correos electrónicos de phishing dirigidos son un tipo común de ataque, pero los expertos dicen que los estafadores han adoptado rápidamente nuevas tecnologías, como audio «falso profundo» generado por inteligencia artificial para pretender ser ejecutivos de una empresa y engañar a los subordinados para que envíen dinero.
En el caso de Williams, el director sin fines de lucro de San Francisco, los ladrones piratearon la cuenta de correo electrónico del contador de la organización sin fines de lucro, luego se insertaron en un largo hilo de correo electrónico, enviaron mensajes solicitando cambiar las instrucciones de pago por transferencia bancaria para un beneficiario de la subvención y se llevaron $ 650,000. .
Después de que descubrió lo que sucedió, dijo Williams, sus llamadas a la policía no llegaron a ninguna parte.
El FBI le dijo que la oficina del fiscal federal local no tomará su caso. Voló a Odessa, Texas, donde se encontraba el banco que inicialmente recibió el dinero robado. Para entonces, el dinero se había ido hacía mucho tiempo y el detective local no podía ayudar. Williams pidió ayuda a sus senadores estadounidenses y luego se enteró de que el Servicio Secreto estaba investigando, pero dijo que no le ha dado ninguna actualización.
Crane Hassold, un experto en estafas de BEC y exanalista cibernético del FBI, ha oído hablar de fiscales federales que se niegan a tomar casos de BEC a menos que se roben varios millones de dólares, un umbral mínimo que habla de cuán fuera de control está el problema.
“Hay tantos de ellos que posiblemente no puedan trabajar con todos”, dijo Hassold, ahora director de inteligencia de amenazas en Abnormal Security.
El Departamento de Justicia ha lanzado operaciones de meses de duración en los últimos años que han generado cientos de arrestos en todo el mundo.
«Nuestro mensaje para los delincuentes involucrados en este tipo de esquemas BEC seguirá siendo claro: la memoria y el alcance del FBI son extensos y de amplio alcance, lo perseguiremos sin descanso sin importar dónde se encuentre», dijo Brian Turner, director adjunto ejecutivo de la Rama Criminal, Cibernética, de Respuesta y de Servicios del FBI.
Pero los expertos en seguridad dicen que la ola de arrestos ha tenido poco impacto, y los propios números del FBI muestran que las estafas BEC continúan creciendo a un ritmo rápido.
Las estafas BEC sofisticadas dirigidas a empresas y otras organizaciones comenzaron a despegar a mediados de la década de 2010. También fue en ese momento cuando los ataques de ransomware, en los que los piratas informáticos ingresan a las redes y cifran los datos, comenzaron a crecer en frecuencia y gravedad.
Durante años, tanto las estafas BEC como los ataques de ransomware se trataron en gran medida como un problema de aplicación de la ley. Eso sigue siendo cierto para los ataques BEC, pero el ransomware ahora es una preocupación clave de seguridad nacional después de una serie de ataques disruptivos en infraestructura crítica como el año pasado contra la tubería de combustible más grande de los EE. UU. que provocó escasez de gas en la costa este.
Los piratas informáticos de la Agencia de Seguridad Nacional han tomado medidas para interrumpir las redes de los operadores de ransomware. El Departamento de Justicia creó un grupo de trabajo especial contra el ransomware para organizar mejor la respuesta de las fuerzas del orden. Y el presidente de EE. UU., Joe Biden, ha presionado el tema directamente con el presidente Vladimir Putin de Rusia, donde se encuentran muchos operadores de ransomware.
No se ha desplegado nada parecido a esos esfuerzos contra el fraude de BEC a pesar de las enormes pérdidas financieras.
Si EE. UU. lanzara una respuesta de todo el gobierno al fraude de BEC, es casi seguro que se centraría en gran medida en Nigeria. En ninguna parte los estafadores de BEC son más activos que en la nación más poblada de África, donde los estafadores han podido operar casi sin control durante décadas.
Ramón Abbas, un conocido influencer nigeriano de las redes sociales que se hacía llamar Hushpuppi, tenía más de 2 millones de seguidores en Instagram antes de ser arrestado en Dubái. Las publicaciones de Abbas en las redes sociales lo mostraron viviendo una vida de lujo total, completa con jets privados, autos ultra caros y ropa y relojes de alta gama.
«Espero algún día inspirar a más jóvenes a unirse a mí en este camino», se lee en una publicación de Instagram de Abbas, quien se declaró culpable en EE. UU. de lavado de dinero internacional relacionado con BEC y otros delitos cibernéticos el año pasado. Su sentencia está fijada actualmente para julio.
Canadiense extraditado a EE. UU. para enfrentar cargos de ransomware
© 2022 Prensa Asociada. Reservados todos los derechos. Este material no puede ser publicado, transmitido, reescrito o redistribuido sin permiso.
Citación: Cuentas engañosas: la estafa por correo electrónico es el tipo más costoso de ciberdelito (9 de abril de 2022) consultado el 9 de abril de 2022 en https://techxplore.com/news/2022-04-accounts-email-scam-costliest-cybercrime.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
