Business Email Compromise (BEC): Poniendo $26 Mil Millones en Pérdidas Conocidas en Contexto

En los últimos cuatro años, la comunidad de seguridad informática ha aprendido mucho sobre el compromiso de correo electrónico empresarial (BEC) y el funcionamiento interno de las redes de ciberdelincuencia nigerianas que lo han convertido en su principal actividad.

Sabemos que el fraude BEC se ha reportado en los 50 estados y en 177 países de todo el mundo. Sabemos que desde junio de 2016, se han perdido más de $26 mil millones como resultado del BEC. Pero también sabemos que incluso a este nivel, es posible que solo estemos rozando la superficie de los daños que los actores detrás del compromiso de correo electrónico empresarial han infligido a empresas y particulares.

Eso se debe a que, como todos hemos llegado a aprender, los mismos actores de amenazas detrás del BEC son responsables de una multitud de otros delitos, que incluyen desde estafas románticas, esquemas de trabajo desde casa y estafas de lotería, hasta fraude bancario, toma de control de cuentas (ATOs), desvíos de nómina, fraude con formularios W2 y (mucho) más.

Al rastrear el BEC y los esquemas relacionados con el 419 (llamados así por la sección 419 del código penal nigeriano), a menudo se agrupan una serie de actividades maliciosas diferentes y discretas. Después de todo, las líneas rara vez son tan claras como rastrear crímenes perpetrados usando una familia específica de malware.

Sin embargo, $26 mil millones en pérdidas por el compromiso de correo electrónico empresarial es realmente una cifra muy grande, ¿verdad? Sin embargo, es importante poner esas pérdidas en contexto comparándolas con otras amenazas que enfrenta la industria. Como estás a punto de ver, lo que sabemos es lo suficientemente aterrador. Pero es lo que no sabemos lo que realmente me mantiene despierto por la noche.

Pérdidas de BEC: ¿Más del doble de las estimaciones del Tesoro?

Comencemos con lo básico. Todos hemos visto los datos procedentes de la Red contra el Crimen Financiero del Departamento del Tesoro de los Estados Unidos (FinCEN), que estima que las pérdidas por BEC superaron los $300 millones por mes en 2018. Eso es más de $3.6 mil millones en una base anualizada, y más que suficiente motivo de alarma.

Pero también parece ser increíblemente optimista. Suponiendo que el 100% de los Informes de Actividades Sospechosas (SAR) se sincronicen tanto en FinCEN como en el Centro de Denuncias de Delitos en Internet del FBI, las cifras que provienen de IC3 pintan un panorama completamente diferente.

Según IC3, se perdieron $26 mil millones en estafas BEC entre junio de 2016 y julio de 2019. Entonces, ¿cuánto es eso por mes?

$26 mil millones / 37 meses = $702 millones en pérdidas por BEC por mes

Son $23 millones de dólares perdidos por día, $975,975.98 perdidos por hora, o $16,266.27 dólares perdidos cada minuto debido al BEC. Adelante, deja que eso se hunda por un momento. Te espero.

A los investigadores de seguridad les encanta criticar a los equipos de marketing por exagerar los números para amplificar el drama. Pero en este caso, esos $26 mil millones de dólares no están exagerados. De hecho, no son estimaciones en absoluto. Cada dólar está relacionado con una víctima. Y aunque parte de ese dinero puede haber sido revertido con éxito, sigue representando la exposición total del mundo empresarial (o «dólares expuestos», en el argot de IC3) al BEC.

Poniendo $26 Mil Millones en Contexto

$26 mil millones no son monedas de cambio. Es equivalente a una empresa Fortune 500, clasificada aproximadamente igual que Kraft Heinz en el puesto #115 en la lista de este año, justo por encima de Mondelez International y US Bancorp. Si fuera un país, estaría entre las 30 economías más grandes del mundo por PIB.

De hecho, mientras que el ransomware genera más titulares, el BEC es ahora el principal impulsor de reclamaciones de ciberseguros en la región de EMEA, representando el 24% de todas las reclamaciones, según AIG. Pero para darte un mejor contexto de lo que esto significa, veamos las matemáticas.

Sabemos que el BEC resulta en al menos $702 millones en pérdidas por mes. Usando la siguiente ecuación, podemos convertir las pérdidas de otras campañas a lo largo del tiempo en el número de días que se necesitan para que el BEC cause el mismo daño.

(Pérdidas en dólares por Campaña)/ $702 millones) X 30 días = número de días

Veamos cómo se compara eso con el daño financiero causado por diferentes formas de ataques de malware, junto con algunos otros puntos de referencia. Resulta que los ataques dramáticos que capturan titulares pueden tomar años en generar la misma cantidad de pérdidas que generan las estafas BEC exitosas en solo cuestión de días.

Por qué reconocer lo desconocido es tan inquietante

Más allá de las pérdidas financieras por el cibercrimen, está el costo humano. Un ataque de ransomware contra un hospital podría tener consecuencias graves, incluida la pérdida de vidas. Pero los anillos de fraude por correo electrónico también pueden ser igual de mortales. El suicidio entre las víctimas del fraude romántico basado en el correo electrónico, por ejemplo, apenas es un evento aislado, gracias a la agitación emocional que causa, algo que hemos documentado en nuestros propios datos. Personalmente hemos visto múltiples instancias en las que buscadores desconsolados caen presa de la ingeniería social y terminan en la ruina financiera, teniendo que vender sus hogares, sacar a los niños de la escuela y más. Todo esto debido a un Mr. o Mrs. Wrong en línea que ofrece el amor y la afecto tan ausentes en las vidas de sus víctimas.

Aquí es donde entran en juego lo desconocido. Si bien se identificaron un total de 15,000 estafas románticas en 2017, y otras 18,000 en 2018, muchos más casos no se denuncian debido al estigma social asociado con caer en este tipo de fraude. ¿Cuántas víctimas más hay?

Una Estafa, una Red de Crímenes Relacionados

En los últimos cuatro años, hemos aprendido que muchos estafadores aprovechan las cuentas robadas a través de estafas románticas para lanzar ataques de BEC. De hecho, durante el curso de nuestra investigación sobre el anillo delictivo de BEC Scattered Canary, descubrimos conexiones previamente desconocidas entre BEC y innumerables otras actividades cibercriminales. Dado que $26 mil millones en pérdidas ya es un gran lío, vamos a echar gasolina al fuego con algunas preguntas más. ¿Cuántas víctimas de estafas de lotería hay? ¿Cuántas credenciales de inicio de sesión pescadas han pasado desapercibidas, listas para ser explotadas en futuros esquemas de Compromiso de Correo Electrónico del Vendedor (VEC) y otros ataques?

¿Cuántos scams de W2 han cometido los actores de BEC que no han sido reportados o rastreados? ¿Cuántas personas han visto la información robada en estos y otros ataques utilizada para secuestrar sus cuentas de correo electrónico para su uso en otros juegos de estafa por correo electrónico? ¿Cuántos estudiantes o ancianos en apuros han sido reclutados inadvertidamente en estafas de trabajo desde casa, encargados de enviar cheques falsos a aún más víctimas? ¿Cuántos incidentes de BEC han sido encubiertos, atribuidos al costo de hacer negocios?

Si estas son solo algunas de las preguntas que podemos hacer debido a las cosas que sí sabemos, ¿qué pasa con las cosas que no sabemos? Sí, $26 mil millones en pérdidas conocidas por BEC son aterradoras. Pero lo que no sabemos es absolutamente aterrador.

You might be interested in reading:

Historia del correo electrónico. octubre 11, 2023

¿Qué es la Suplantación de correo electrónico? octubre 11, 2023

¿Qué es el phishing? octubre 11, 2023

¿Qué es el Compromiso de Correo electrónico… octubre 11, 2023