Cómo una cuenta comprometida de correo electrónico corporativo puede costar millones

En general, las cuentas secuestradas se utilizan para distribuir spam y esquivar los filtros. No obstante, una bandeja de entrada secuestrada se puede utilizar para cosas más desagradables, como un ataque BEC (“compromiso de correos electrónicos corporativos”, por sus siglas en inglés). El mes pasado, una filial de Toyota Boshoku Corporation se enfrentó a esta estafa que le provocó pérdidas por valor de 4 mil millones de yenes (más de 37 millones de dólares).

 

bec-toyota

 

¿Qué ha sucedido?

Según el comunicado oficial de la compañía que salió a la luz el 6 de septiembre, y las publicaciones de los medios de comunicación, unos cibercriminales cuya identidad se desconoce lanzaron un ataque BEC. La investigación del incidente sigue en curso y todavía no se ha divulgado la información, por lo que no podemos afirmar si los atacantes utilizaron la bandeja de entrada o si simplemente se hicieron pasar por otra persona. Lo que sí sabemos es que las pérdidas se deben a una serie de instrucciones fraudulentas de transferencia bancaria que alguien de la compañía interpretó como legítimas.

Inmediatamente después de la transferencia, los expertos de seguridad de Toyota se percataron de que el dinero había acabado en cuentas externas a la compañía, pero ya era demasiado tarde para cancelar la transferencia. Actualmente, la empresa sigue trabajando para recuperar los fondos.

¿Qué es un ataque BEC?

Un ataque BEC no necesariamente involucra el secuestro de la bandeja de entrada de otro usuario. A veces, los cibercriminales intentan hacerse pasar por altos mandos o socios de la compañía con direcciones de terceros. No obstante, utilizar la cuenta de correo de un empleado facilita mucho el ataque ya que, después de todo, recibir un mensaje de alguien habitual resulta mucho menos sospechoso.

Para que el ataque funcione, el cibercriminales debe contar con amplios conocimientos en ingeniería social, ya que hacerse pasar por otra persona y convencer a un usuario de que haga algo no es una tarea fácil. Y, de nuevo, secuestrar una bandeja de entrada facilita el trabajo del atacante, pues, tras estudiar los contenidos enviados y recibidos, les permite imitar el estilo y carácter de la persona con el objetivo de que resulte más convincente.

El objetivo de un ataque BEC no siempre es una transferencia de fondos (convencer a alguien para que envíe millones de dólares no es nada fácil). Es mucho más común que los atacantes intenten extraer datos confidenciales de la víctima.

Otros ejemplos de ataques BEC

El ataque a Toyota no es en absoluto el primer caso de este tipo. Este año hemos escrito varias veces sobre una estrategia que tiene como objetivo hacerse con las cuentas de empleados. En mayo contamos cómo un grupo de cibercriminales había engañado a un club de fútbol para que utilizara información de pago incorrecta en el traspaso de un jugador. El mes pasado, unos estafadores intentaron robar 2,9 millones de dólares a Escuelas Públicas de Portland (Oregón) y, en julio, el organismo Escuelas del Condado de Cabarrus (Carolina del Norte) perdió 1,7 millones de dólares tras recibir instrucciones falsas por correo electrónico. En primer lugar, el personal transfirió 2,5 millones de dólares, supuestamente para la construcción de una nueva escuela, pero después recuperó parte de los fondos.

Cómo evitar caer en la trampa

Los medios técnicos no son suficientes para protegerte de la ingeniería social, sobre todo si los atacantes son profesionales con acceso al buzón real de la persona por la que se intenta hacer pasar. Por tanto, te recomendamos esta serie de consejos para evitar la estafa:

  • Modifica el procedimiento de las transferencias de fondos de la empresa para que ningún empleado pueda realizar una transferencia a una cuenta de terceros sin supervisión y asegúrate de que los movimientos de grandes montos de dinero los autoricen varios directivos.
  • Muestra a tus empleados los principios básicos de ciberseguridad y aconséjales que se muestren escépticos con los mensajes entrantes. Al respecto, nuestros programas de concientización de seguridad te serán de gran ayuda.
  • Evita el secuestro de las cuentas de tu correo corporativo con una protección antiphishing a nivel del servidor del correo. Por ejemplo, instala Kaspersky Endpoint Security for Business Advanced.

siguenos: cade.com.mx

 

 

 

 

 

 

 

 

 

VIDEO: Conoce los puntos clave de la NOM 035

VIDEO: Conoce los puntos clave de la NOM 035

nom35}

¿Quieres conocer los puntos clave de la NOM-035-STPS-2018 Identificación de factores de riesgo psicosocial en el trabajo? Ve este video.

  • Antecedentes
  • Entrada en vigor
  • Conceptos básicos de la NOM 035
  • Conoce la estructura de la NOM 035
  • Obligaciones de los patrones
  • Obligaciones de los trabajadores
  • Etapas para la aplicación de la Norma
  • Aplicación para centro de trabajo en los que laboren hasta con 15 trabajadores
  • Aplicación para centro de trabajo en los que laboren entre 16 y 50 trabajadores
  • Aplicación para centro de trabajo en los que laboren con más de 50 trabajadores
  • Planeación, difusión y evidencia del cumplimiento de la norma
  • Evaluación
  • Sanciones o multas por incumplimiento

Conoce a nuestra expositora:
L.C. Yadira Albor Valdes es egresada de la Facultad de Contaduría y Administración de la UNAM, Socia fundador de la Firma CITNE (Consultoría Integral en Tecnología de Negocios). Consultor en Automatización de Procesos. Implementador de Software para la MyPime. Experta en Nominas, Contabilidad Electrónica y CFDI 3.3. Asesor Fiscal. Asociado Taxday, desempeñándose como Director de Automatización. Auditor en Anti lavado de Dinero para la firma Martinez Ibáñez y Asociados, SC., desde 2015.Contador y asesor en la firma RZAL Consultores.

 

Mira la sesión completa y sin costo aquí

 

Síguenos en Facebook

¿QUÉ ES LA NOM 035?

El próximo 23 de octubre entra en vigor la NOM 035-STPS-2018 sobre los factores de riesgo psicosocial-identificación y prevención. Conoce todos los detalles.

 

nom_035

Desde hace ya varios años, la Organización Internacional del Trabajo (OIT) ha revelado algunas situaciones en cuanto a que muchos trabajadores continúan con afectaciones a su salud por el aumento de enfermedades relacionadas con su actividad profesional, y para las cuales ha detectado que no se aplican medidas de prevención, control ni protección. Entre los riesgos que han surgido últimamente están los psicosociales que afecta a todas las profesiones en cualquier parte del mundo.

En octubre del año pasado, se publicó en el Diario Oficial de la Federación, la Norma Oficial Mexicana NOM-035-STPS-2018, (NOM 35) “Factores de riesgo psicosocial en el trabajo-Identificación, análisis y prevención” la cual estará vigente a partir del 23 de octubre de 2019.

El objetivo de esta NOM 35, es establecer los elementos para identificar, analizar y prevenir los factores de riesgo psicosocial, así como para promover un entorno organizacional favorable en los centros de trabajo ya que los factores de riesgo psicosocial son los que pueden ocasionar trastornos de ansiedad, no orgánicos del ciclo sueño-vigilia y de estrés grave y de adaptación, derivado de la naturaleza de las funciones del puesto de trabajo, el tipo de jornada laboral y la exposición a acontecimientos traumáticos severos o a actos de violencia laboral, por el trabajo desarrollado, como lo establece el artículo 3o., fracción XVI, Reglamento Federal de Seguridad y Salud en el Trabajo.

De acuerdo con la NOM 035, los patrones tendrán algunas obligaciones dependiendo el número de trabajadores que tengan como son:

1. Establecer por escrito, implantar, mantener y difundir en el centro de trabajo una política de prevención de riesgos psicosociales que contemple:

a) La prevención de los factores de riesgo psicosocial;
b) La prevención de la violencia laboral, y
c) La promoción de un entorno organizacional favorable.

2. Identificar y analizar los factores de riesgo psicosocial, tratándose de centros de trabajo que tengan entre 16 y 50 trabajadores.

3. Identificar y analizar los factores de riesgo psicosocial y evaluar el entorno organizacional, tratándose de centros de trabajo que tengan más de 50 trabajadores.

4. Adoptar las medidas para prevenir y controlar los factores de riesgo psicosocial, promover el entorno organizacional favorable, así como para atender las prácticas opuestas al entorno organizacional favorable y los actos de violencia laboral.

5. Identificar a los trabajadores que fueron sujetos a acontecimientos traumáticos severos durante o con motivo del trabajo y, canalizarlos para su atención a la institución de seguridad social o privada, o al médico del centro de trabajo o de la empresa.

6. Practicar exámenes médicos y evaluaciones psicológicas a los trabajadores expuestos a violencia laboral y/o a los factores de riesgo psicosocial, cuando existan signos o síntomas que denoten alguna alteración a su salud y el resultado de la identificación y análisis de los factores de riesgo psicosocial.

7. Difundir y proporcionar información a los trabajadores sobre:

a) La política de prevención de riesgos psicosociales.
b) Las medidas adoptadas para combatir las prácticas opuestas al entorno organizacional favorable y los actos de violencia laboral.
c) Las medidas y acciones de prevención y, en su caso, las acciones de control de los factores de riesgo psicosocial.
d) Los mecanismos para presentar quejas por prácticas opuestas al entorno organizacional favorable y para denunciar actos de violencia laboral.
e) Los resultados de la identificación y análisis de los factores de riesgo psicosocial para los centros de trabajo que tengan entre 16 y 50 trabajadores, y de la identificación y análisis de los factores de riesgo psicosocial y la evaluación del entorno organizacional tratándose de centros de trabajo de más de 50 trabajadores, y
f) Las posibles alteraciones a la salud por la exposición a los factores de riesgo psicosocial.

8. Llevar los registros sobre:

a) Los resultados de la identificación y análisis de los factores de riesgo psicosocial y, además, tratándose de centros de trabajo de más de 50 trabajadores, de las evaluaciones del entorno organizacional.
b) Las medidas de control adoptadas cuando el resultado de la identificación y análisis de los factores de riesgo psicosocial y evaluación del entorno organizacional lo señale, y
c) Los nombres de los trabajadores a los que se les practicaron los exámenes o evaluaciones clínicas y que se comprobó la exposición a factores de riesgo psicosocial, a actos de violencia laboral o acontecimientos traumáticos severos.

Asimismo, entre las reglas aplicables a la evaluación de la conformidad de la NOM 035, se fijan los parámetros con base en los cuales la Secretaria del Trabajo y Previsión Social o una unidad de verificación elegirán a los trabajadores a quienes entrevistarán para constatar si los patrones cumplen con las disposiciones previstas en tal ordenamiento.

Finalmente y de acuerdo con la Ley Federal del Trabajo (LFT), las multas por incumplimiento de las normas de seguridad e higiene y de prevención de los riesgos de trabajo van desde 250 a 5,000 veces el salario mínimo, lo que equivaldría a $25,670 hasta $513,400 pesos.

Síguenos en Facebook