Visión Empresarial

Mantenga alejados a los ladrones: Mejores prácticas para proteger su negocio del fraude

Cómo proteger su negocio de posibles pérdidas financieras y de la interrupción del negocio debido al fraude durante la pandemia COVID-19.

Con los intentos de piratería cada vez más frecuentes y el delito cibernético global ya en aumento, la pandemia de coronavirus ofrece un nuevo conjunto de oportunidades para que los hackers exploten los temores de la gente y las vulnerabilidades del sistema para su beneficio financiero. La última investigación reveló que el 22% de los estadounidenses ya ha sido objeto del fraude digital relativo al COVID-19 y Google ha observado un aumento del 350% en los sitios de phishing o fraude electrónico desde el inicio de la pandemia.

En cuanto a las compañías, a medida que el brote continúe y más empleados comiencen a trabajar a distancia, los expertos predicen que las compañías verán un aumento de ciberataques e infracciones, en especial derivados de los escenarios de trabajo desde el hogar. De hecho, el FBI ya está observando un aumento en los esquemas de fraude relacionados con la pandemia del coronavirus y el Departamento de Seguridad Nacional de los Estados Unidos está advirtiendo a los negocios sobre potenciales amenazas cibernéticas a la seguridad, asesorando a las personas y a los negocios por igual a permanecer atentos a los estafadores.

Para ayudar a proteger y fortalecer su negocio contra el fraude financiero, es importante saber qué métodos utilizan los estafadores para obtener información financiera y las mejores prácticas y herramientas que puede utilizar para protegerse usted y a su negocio.

Compromiso del correo electrónico empresarial

El compromiso del correo electrónico empresarial se produce cuando los estafadores obtienen acceso no autorizado a la cuenta de correo electrónico de una compañía. Obtienen información y rastrean la actividad para hacerse pasar por empleados, proveedores, clientes y socios comerciales para solicitar el pago u obtener información de la cuenta. Presentan solicitudes de pago que parecen auténticas, pero las instrucciones del correo electrónico dirigen los fondos a una cuenta que es propiedad de los estafadores.

“Es a través del correo electrónico empresarial la razón principal por la que las compañías están experimentando el fraude, Y esto sucede a compañías de todos los tamaños”, afirma Nadilee Russell, director de Global Transaction Services (GTS) en el East West Bank. "Dado que los estafadores suelen hacerse pasar por alguien en quien se confía y solicita el pago, la única forma de identificar la autenticidad de la solicitud de pago es llamar a esa persona, utilizando el número de teléfono que tiene guardado y no el que figura en el correo electrónico".

Los estafadores investigan y supervisan minuciosamente los correos electrónicos de sus posibles víctimas para identificar todo lo que sea una solicitud de pago, y dependen en gran medida de las tácticas de ingeniería social para engañar a empleados y ejecutivos desprevenidos. “Una vez que se apoderan de sus correos electrónicos, los monitorean e intentan identificar algún patrón e información útil”, afirma Russell.

Un patrón podría ser la fecha en que llegan las facturas. En ese caso, los estafadores intentarían enviar un correo electrónico con la solicitud de pago que parece provenir de un proveedor habitual o de un proveedor justo antes de esa fecha y que puede consiga su pago.

Incluso los empresarios más experimentados son víctimas de este tipo de fraude, como lo hizo Barbara Corcoran, la gurú de bienes raíces y co-protagonista de "Shark Tank". Corcoran perdió $400,000 en una estafa por suplantación de identidad de correo electrónico, cuando su contador recibió, supuestamente, una factura de su asistente que aprobaba el pago de una renovación de una propiedad. Como los estafadores usaron una dirección de correo electrónico muy parecida a la del asistente de Corcoran (estaba mal escrita por una letra), el contador no pensó ni se detuvo a controlar y, al comunicarse con la dirección de correo electrónico falsa, transfirió el dinero a los estafadores.

De acuerdo con un Informe de Delito por Internet del FBI de 2019, la transgresión del correo electrónico empresarial ha sido una gran preocupación durante años, y ha costado a las compañías millones de dólares. Solo en 2019, la agencia registró 23,775 reclamos relativos a la transgresión del correo electrónico empresarial que se derivó en más de $1.7000 millones en pérdidas. Y en 2020 seguramente observará un fuerte aumento en esos números y ese tipo de fraude.

"La transgresión del correo electrónico empresarial es la razón número uno por la que las compañías están experimentando fraudes y está sucediendo a compañías de todos los tamaños".

-Nadilee Russell

(Photo credit): Gettyimages.com/Epoxydude

Maneras de protegerse de la transgresión del correo electrónico empresarial

Para reforzar sus defensas contra el fraude, a continuación, detallamos algunas de las mejores prácticas:

• Verifique la solicitud de pago al llamar al remitente, con el número de teléfono anteriormente registrado en el archivo, no el número de teléfono proporcionado en el correo electrónico

  Valide todas las solicitudes de pago y confirme los cambios y las instrucciones de ruta.

  “Asegúrese de contar con la información de contacto actualizada al llamar al cliente por teléfono. El uso del correo electrónico como medio de comunicación puede no ser suficiente para validar que está hablando con la persona adecuada”, afirma Russell. “No confíe en cada correo electrónico que recibe. Valide. Si es víctima de fraude, el tiempo es esencial. Comuníquese con su banco de inmediato”.

• Implemente un doble contro

  Implemente configuraciones de seguridad de doble control en la banca en línea e inicie y apruebe pagos electrónicos en computadoras separadas. El hecho de que un mínimo de dos personas participe en una transacción garantiza la precisión y añade una capa de protección, lo que hace más difícil que los estafadores y los empleados internos puedan transgredir sus cuentas.



(Photo credit): Gettyimages.com/Klaus Vedfelt

Aproveche nuestro kit de herramientas de continuidad comercial para obtener más recursos sobre cómo administrar su negocio durante desastres.

• Instale IBM Security Trusteer Rapport

  Trusteer Rapport es un software de protección contra el fraude en la banca en línea que funciona junto con su software de seguridad actual. Una vez instalado, protege el dispositivo del cliente contra el malware financiero y los ataques de phishing, verifica que esté conectado al sitio web real de su banco y crea una línea de comunicación segura.

• Reconcilie las actividades de su cuenta diariamente y revise en forma periódica el acceso de usuario

  “Una de las mejores herramientas para identificar el fraude es observar la actividad de su cuenta bancaria y sus transacciones todos los días para asegurarse de que son válidas”, afirma Russell.

  Con la facilidad de las plataformas de la banca en línea puede revisar fácilmente la actividad de la cuenta, gestionar los pagos entrantes y salientes, personalizar las alertas, revisar los informes, crear y gestionar los pagos y mucho más.

  Además, para gestionar el riesgo, puede asignar límites y permisos a sus empleados "según sea necesario" y desactivar rápidamente el acceso de los empleados cuando ya no sea necesario.

• Estipule límites de dólar de transacción y configure alertas de correo electrónico

  La fijación de límites en dólares para las transacciones ayudará a limitar la exposición, en caso de un intento de pago no autorizado. “Una cantidad de dólares que crea apropiada para el tamaño de su negocio será la cantidad correcta para considerarlo un umbral”, declara Wendy Waldron, gerente de ventas nacionales GTS.

  La configuración de las notificaciones por correo electrónico para la ACH, las transferencias electrónicas y los umbrales de saldo también ayudarán a identificar las transacciones no autorizadas y los cambios injustificados en el saldo de su cuenta, para que pueda actuar con prontitud.

• Mejore su seguridad de contraseña

  Diseñe contraseñas difíciles y nunca use la misma contraseña para diferentes cuentas y sistemas. Intente combinar palabras al azar e incorporar letras mayúsculas y minúsculas, números y símbolos. Nunca considere usar su fecha de cumpleaños, nombres de familia o números de teléfono, porque los estafadores los descifran fácilmente. Además, considere la posibilidad de utilizar respuestas falsas para las preguntas de autenticación de seguridad, a fin de ayudar a reforzar la seguridad de su cuenta.

• Use la autenticación de varios factores o Multi-Factor Authentication (MFA) o la autenticación de dos factores o Two-Factor Authentication (2FA) siempre que sea posible

  Si añade una autenticación de dos o más factores, agregue una capa adicional de credenciales para demostrar que la persona que firma es realmente quien dice ser. Puede usar códigos de texto de mensaje o SMS, códigos recibidos a través de una aplicación de teléfono inteligente, códigos de correo electrónico, dispositivos de hardware, biometría de voz y otros. Contar con una capa de seguridad agregada dificulta a los estafadores la puesta en marcha del ataque.

Productos de protección contra fraudes

Además, las compañías pueden utilizar los siguientes productos para proteger sus activos y colaborar en la minimización de las posibilidades de fraude:

• Positive Pay

  Positive Pay es una herramienta de prevención del fraude con cheques que protege a clientes del fraude con cheques. El servicio funciona de la siguiente manera: El cliente proporciona al banco los datos de los cheques autorizados. El banco compara esos datos con los cheques que se presentan al banco para el pago. Si existe alguna discrepancia, el banco informa al cliente, que puede entonces observar los artículos sospechosos a través de la banca en línea, con la opción de pagarlos o devolverlos o corregir algún error en el cheque, sin tener que comunicarse con el banco.

• ACH Positive Pay

  ACH Positive Pay es una herramienta de prevención del fraude por débito electrónico eficiente y rentable que supervisa y gestiona la actividad de débito de la ACH mediante la banca electrónica. Con ACH Positive Pay, el cliente establece una lista de proveedores aprobados a los que se les pagará automáticamente y fija reglas, que pueden ser modificadas en cualquier momento, en su cuenta para bloquear o autorizar débitos electrónicos. Esto ayuda a prevenir las transacciones no autorizadas, a la vez que permite que se realicen algunas transacciones. Además, los clientes reciben alertas por correo electrónico sobre el estado de las transmisiones ACH y cualquier actividad ACH que afecte a su cuenta.

"Lamentablemente, existen muchas personas malas en la vida, que buscan e intentan aprovecharse de su dinero", afirma Waldron.

Russell agrega, “Y es en estos tiempos difíciles cuando se materializan los estafadores y aparece el fraude”.

Por esta razón, estar atento, implementar medidas de seguridad y utilizar las herramientas de protección contra el fraude disponibles lo ayudará a protegerse y también proteger a su negocio de posibles pérdidas financieras, interrupción del negocio, tiempo de recuperación y costos asociados al fraude.

Para obtener más información, visite nuestro página de continuidad comercial con los últimos recursos sobre cómo enfrentar esta pandemia.