¿Qué es una apropiación de cuenta corporativa?
se habla de "apropiación de cuenta corporativa" cuando los ciberdelincuentes se hacen con el control de la cuenta bancaria de una empresa robándole sus credenciales válidas de banca electrónica. Aunque se emplean varios métodos para robar las credenciales, el más frecuente es el malware que infecta las estaciones de trabajo y los ordenadores portátiles de una empresa.
Una empresa puede infectarse con malware a través de documentos infectados adjuntos a un correo electrónico o de un enlace contenido en un correo electrónico que conecte con un sitio web infectado. Además, el malware puede descargarse en las estaciones de trabajo y portátiles de los usuarios visitando sitios web legítimos -especialmente sitios de redes sociales- y haciendo clic en los documentos, vídeos o fotos que allí se publican. Este malware también puede propagarse por la red interna de una empresa.
El malware instala un software de registro de claves en el ordenador, lo que permite al autor capturar las credenciales del usuario a medida que las introduce en el sitio web de la entidad financiera. Las versiones más sofisticadas de este malware pueden incluso capturar contraseñas generadas por tokens, alterar la visualización del sitio web de la entidad financiera al usuario y/o mostrar una página web falsa indicando que el sitio web de la entidad financiera está caído. En este último caso, el agresor puede acceder a la cuenta de la empresa en línea sin la posibilidad de que el usuario real se conecte al sitio web.
Una vez instalado, el malware proporciona la información que permite a los ciberladrones suplantar la identidad de la empresa en las sesiones de banca online. Para la entidad financiera, las credenciales parecen las del usuario legítimo. El delincuente tiene acceso y puede revisar los detalles de la cuenta de la empresa, incluida la actividad y los patrones de la cuenta, y los parámetros de originación de transferencias electrónicas y ACH (como el tamaño del archivo y los límites de frecuencia, y los códigos de clase de entrada estándar (SEC)).
Los ciberladrones utilizan las sesiones para iniciar transferencias de fondos, por ACH o transferencia bancaria, a las cuentas bancarias de sus asociados en EE.UU. Estas cuentas pueden estar recién abiertas por cómplices o "mulas de dinero" involuntarias con el propósito expreso de recibir y blanquear estos fondos. Los cómplices o las mulas retiran la totalidad de los saldos poco después de recibir el dinero y, a continuación, envían los fondos al extranjero mediante transferencias electrónicas en ventanilla u otros servicios habituales de transferencia de dinero.
¿Por qué se ataca a las pequeñas empresas y organizaciones?
Los ciberdelincuentes parecen tener como objetivo a las pequeñas y medianas empresas, así como a los organismos públicos más pequeños y a las organizaciones sin ánimo de lucro, por varias razones:
- Muchas pequeñas empresas y organizaciones tienen la capacidad de iniciar transferencias de fondos -créditos ACH y transferencias electrónicas- a través de la banca en línea (los consumidores individuales generalmente no tienen esta capacidad, excepto para los beneficiarios establecidos en los sistemas de pago de facturas en línea);
a. Esta capacidad de transferencia de fondos está a menudo relacionada con la originación de pagos de nóminas por parte de una pequeña empresa;
b. En la apropiación de cuentas corporativas, los ciberladrones pueden añadir nombres ficticios a un archivo de nóminas (dirigido a las cuentas de mulas de dinero), y/o iniciar pagos de nóminas fuera de ciclo para evitar los límites diarios de originación. - Las pequeñas empresas no suelen disponer del mismo nivel de recursos que las grandes empresas para defender sus sistemas informáticos.
- Muchas pequeñas empresas no controlan ni concilian sus cuentas con frecuencia o diariamente;
- Las pequeñas empresas realizan operaciones bancarias con una amplia variedad de instituciones financieras con distintos grados de recursos y sofisticación de TI.
Prevención, detección y elaboración de informes para el control de cuentas de clientes empresariales
- Concilie diariamente todas las transacciones bancarias.
- Inicio de pagos de transferencias electrónicas y ACH bajo doble control, con un emisor de transacciones y un autorizador de transacciones independiente.
- Elaborar informes rutinarios sobre las transacciones.
- Realice evaluaciones periódicas del riesgo de los productos y servicios bancarios que utiliza, incluidas revisiones regulares de los niveles de acceso de los usuarios, los límites en dólares y la actividad.
- Informe inmediatamente a la institución financiera de cualquier transacción sospechosa.
- Manténgase en contacto con otras empresas y fuentes del sector para compartir información sobre actividades sospechosas de fraude.
Herramientas y prácticas de seguridad informática
- Instale un cortafuegos dedicado y gestionado activamente. Un cortafuegos limita las posibilidades de acceso no autorizado a una red y a los ordenadores.
- Instale programas antivirus comerciales en todos los sistemas informáticos.
- Asegúrese de que la protección antivirus y el software de seguridad se actualizan con regularidad.
- Asegúrese de que los ordenadores se parchean regularmente, en particular el sistema operativo y las aplicaciones clave, con parches de seguridad.
- Considere la posibilidad de instalar programas de detección de spyware.
- Sospeche de los correos electrónicos que supuestamente proceden de una institución financiera, un departamento gubernamental u otro organismo y que solicitan información sobre cuentas, verificación de cuentas o credenciales de acceso bancario como nombres de usuario, contraseñas, códigos PIN e información similar. Si no está seguro de la fuente, no haga clic en ningún enlace.
- Cree contraseñas seguras.
- Prohíba el uso de nombres de usuario y contraseñas "compartidos" para los sistemas bancarios en línea.
- Utilice una contraseña diferente para cada sitio web al que acceda.
- Cambie la contraseña varias veces al año.
- Nunca comparta información sobre nombres de usuario y contraseñas con terceros proveedores.
- Limite los derechos administrativos en las estaciones de trabajo de los usuarios.
- Realice todas las actividades de banca en línea desde un sistema informático autónomo desde el que no sea posible el correo electrónico ni la navegación por Internet.
- Verifique el uso de una sesión segura ("https") en el navegador para todas las actividades bancarias en línea.
- Evite utilizar funciones de inicio de sesión automático que guarden nombres de usuario y contraseñas para la banca en línea.
- No deje nunca el ordenador desatendido mientras utiliza cualquier servicio de banca o inversión en línea.
- No acceda nunca a información bancaria, de corretaje o de otros servicios financieros en cibercafés, bibliotecas públicas, etc. Es posible que se haya instalado software no autorizado para atrapar el número de cuenta y la información de inicio de sesión, dejando al cliente vulnerable ante un posible fraude.
Recomendaciones para las víctimas de la apropiación de cuentas de empresas
- Cese inmediatamente toda actividad desde los sistemas informáticos que puedan estar comprometidos.
- Desconecte las conexiones Ethernet u otras conexiones de red para aislar el sistema del acceso remoto.
- Póngase inmediatamente en contacto con su entidad financiera y solicite ayuda para realizar las siguientes acciones:
a. Deshabilite el acceso en línea a las cuentas.
b. Cambie las contraseñas de banca en línea.
c. Abra nuevas cuentas, según proceda.
d. Solicitar al agente de la entidad financiera que revise todas las transacciones y autorizaciones electrónicas recientes de la cuenta.
e. Asegurarse de que nadie ha solicitado un cambio de dirección, de titularidad o de PIN, ni ha ordenado el envío de nuevas tarjetas, cheques u otros documentos de la cuenta a otra dirección. - Mantenga una cronología escrita de lo sucedido, lo que se perdió y los pasos dados para informar del incidente a las distintas agencias, bancos y empresas afectadas. Asegúrese de anotar la fecha, la hora, el número de teléfono de contacto, la persona con la que se habló y cualquier informe o número de referencia e instrucciones pertinentes.
- Presente una denuncia policial y facilite los hechos y circunstancias que rodearon el siniestro. Obtenga un número de informe policial con la fecha, la hora, el departamento, el lugar y el nombre del agente que tomó el informe o que participó en la investigación posterior. Tener un informe policial en el archivo facilitará a menudo el trato con compañías de seguros, bancos y otros establecimientos que puedan ser destinatarios de actividades fraudulentas. El informe policial puede iniciar una investigación policial sobre la pérdida con el objetivo de identificar, detener y procesar al delincuente y posiblemente recuperar las pérdidas.
Este documento tiene carácter informativo y no pretende ofrecer asesoramiento jurídico. Las orientaciones incluidas no constituyen una lista exhaustiva de acciones y las amenazas a la seguridad cambian constantemente.
Recursos para titulares de cuentas comerciales
- Sitio web del Better Business Bureau sobre seguridad de datos simplificada: http://www.bbb.org/data-security;
- Sitio web de la Agencia Federal para el Desarrollo de la Pequeña Empresa (SBA) sobre protección y seguridad de la información de los clientes: http: //community.sba.gov/community/blogs/community-blogs/business-law-advisor/how-small-businesses-can-protect-and-secure-customer-information;
- Guía empresarial interactiva para la protección de datos de la Comisión Federal de Comercio (FTC): http://www.ftc.gov/bcp/edu/multimedia/interactive/infosecurity/index.html;
- Fundamentos de seguridad de la información para pequeñas empresas, del Instituto Nacional de Normas y Tecnología (NIST): http://csrc.nist.gov/publications/nistir/ir7621/nistir-7621.pdf;
- La publicación conjunta "Fraud Advisory for Businesses: Corporate Account Takeover" del Servicio Secreto de EE.UU., el FBI, IC3 y FS-ISAC disponible en el sitio web de IC3(http://www.ic3.gov/media/2010/CorporateAccountTakeOver.pdf ) o en el sitio web de FS-ISAC(http://www.fsisac.com/files/public/db/p265.pdf); y
- NACHA - El sitio web de la Asociación de Pagos Electrónicos contiene numerosos artículos relativos a la Adquisición de Cuentas Corporativas tanto para instituciones financieras como para clientes bancarios: http://www.nacha.org/c/Corporate_Account_Takeover_Resource_Center.cfm.
Fuentes: NACHA y Financial Services-Information Sharing and Analysis Center.