En Proofpoint, empresa de ciberseguridad y cumplimiento normativo, detectan unos 2.000 intentos de desvío de nómina a diario, lo cual posiciona a esta amenaza como un riesgo medio para empresas y organizaciones. Por cada incidente, pueden registrarse pérdidas de una media de 7.904 dólares, según datos de un informe del FBI Internet Crime Complaint Center sobre ataques BEC en 2019.
Estos fraudes por correo electrónico suelen dirigirse a empleados del departamento de finanzas o recursos humanos y tienen como único objetivo proporcionar los datos de la cuenta bancaria del atacante para depositar allí dinero procedente de nóminas de los empleados o reembolsar impuestos. Lo más común es que se recurra para ello a la suplantación de identidad.
El ciberdelincuente envía desde una cuenta de correo gratuita un email genérico utilizando el nombre de un empleado. A ser posible, se hace pasar por personas con un alto cargo dentro de la organización para tener la oportunidad de conseguir una mayor cantidad de dinero. Los atacantes se esfuerzan asimismo por incluir en sus mensajes asuntos administrativos que requieran urgencia y resulten creíbles. En los casos en los que el atacante tiene acceso a una cuenta comprometida, es más probable que se decante por lo que le reporte mayor beneficio económico, como un fraude con facturas antes que hacerlo con nóminas de empleados.
En uno de los ataques de desvío de nóminas observados recientemente por Proofpoint, el ciberdelincuente mandó correos electrónicos a empleados del departamento encargado de estos temas dentro de una gran empresa para convencerles de que redirigieran el pago de los salarios de varios empleados a los que el atacante estaba suplantando. Cada uno de los mensajes fraudulentos incluía el mismo texto, pero cambiando el remitente y el idioma (inglés, alemán y también español).
Para ayudar a las organizaciones a protegerse contra estas estafas, desde Proofpoint se ofrece un enfoque de la seguridad centrada en las personas que incluye una solución multicapa de análisis del correo electrónico mediante la cual, incluso si no hubiese datos suficientes, los administradores alertarían al usuario de que un mensaje puede ser sospechoso y así ayudarle a tomar mayores precauciones. La compañía de ciberseguridad aboga también por proporcionar una formación en concienciación a los empleados para que puedan conformar una sólida línea de defensa en sus organizaciones. Muchas ciberamenazas actuales emplean la ingeniería social para engañar a sus víctimas, por lo que es fundamental capacitar a los usuarios para que puedan hacer frente a ello.