Fraude y ciberdelincuencia: cómo deben protegerse las grandes empresas
Fraude y ciberdelincuencia: cómo deben protegerse las grandes empresas
La reciente crisis sanitaria del COVID-19 ha empujado a las empresas a replegar a sus empleados en sus casas, con los desafíos que eso supone a nivel operativo pero también en lo que a la gestión financiera de la compañía se refiere. Álvaro Bárez, responsable de Global Transaction Banking en Europa de BBVA, y Julio López, CISO de BBVA Corporate & Investment Banking, explican en esta tribuna que ha publicado El Economista algunos riesgos de ciberseguridad que están tomando especial relevancia con motivo de la crisis del COVID-19 y de la importancia de que las empresas cuenten con sistemas de pagos robustos para combatirlos.
Durante los últimos meses, el teletrabajo, que hasta ahora se presentaba como una tendencia creciente de adaptación a nuevos tiempos, se ha convertido en una realidad necesaria con motivo de los diferentes confinamientos. Esto ha supuesto que las empresas hayan clausurado sus sedes y los empleados hayan tenido que desempeñar en remoto las funciones que antes realizaban en sus lugares físicos de trabajo. Y esto se refiere, no solo a la parte operativa de la actividad, sino también a la que tiene que ver con la gestión de las necesidades financieras de las compañías.
Técnicamente parece claro que esta prueba se ha superado con nota. En particular, los departamentos de tesorería de las empresas han podido mantener una continuidad bastante aceptable en la que la banca, por qué no decirlo, ha jugado un importante papel.
Pero esto que a priori puede parecer lo normal tiene bastante de extraordinario. El teletrabajo dispara el riesgo operacional de la actividad empresarial, en especial el de los departamentos responsables de los pagos a proveedores de las empresas, que en estas situaciones se encuentran más expuestos que nunca a intentos de fraude y ciberataques.
De hecho, el fraude en el pago a proveedores es un tipo de ciberataque en auge desde hace ya algún tiempo que, con esta crisis, ha tomado una relevancia, por el riesgo que supone, aún mayor. Cada vez es más habitual que las grandes empresas introduzcan las instrucciones de pago a proveedores en su sistema de pagos. Básicamente, lo que llega, se ejecuta. Esto puede suceder igualmente cuando el departamento de pagos esté cerca o bien cuando esté alejado por centralización de los mismos. Este último sería el caso en factorías de pagos centralizadas donde se paga “por cuenta de”.
El ciberataque puede producirse en una instrucción de pago no recurrente o de pago recurrente. En el primer caso se sigue una metodología muy similar a la del fraude del CEO. Llega un correo aparentemente de dirección general con la petición de hacer un pago urgente para una compra importante, por ejemplo de material sanitario. En la reciente crisis este intento de fraude ha experimentado un aumento más que significativo. Las crisis, una vez más sacan lo mejor y lo peor de cada uno. Pagos urgentes, sin preguntas, a países lejanos, para tema sanitario, humanitario. ¡A correr! ¿Cómo negarse?
Una situación similar puede darse en los pagos recurrentes. Los ciberdelincuentes pueden aprovechar el inicio de la relación con un proveedor nuevo o, lo más común, el cambio de cuenta de proveedor de toda la vida que ha decidido cambiar de bancos. En este caso, realizan sutiles engaños por interceptación de correos que, simulando ser el proveedor de toda la vida, utilizando incluso motes o expresiones habituales entre ellos, no levantan sospechas a pesar de las pequeñas diferencias en las direcciones de correo de donde proceden.
Un ejemplo: “Hemos decidido cambiar de cuenta por lo que ruego que el próximo pago (que, curiosamente, después de una vigilancia paciente es el de más importe de los últimos meses) lo hagas a esta nueva cuenta”. Los ciberdelincuentes abren cuentas, o se sirven de terceros que abren cuentas (las conocidas como cuentas mula) a cambio de una comisión, con toda la documentación en regla, con el único objetivo de recibir el dinero, llevárselo, y no aparecer nunca más.
La banca está haciendo un gran esfuerzo para robustecer sus controles de detección de este tipo de fraude, tanto en personas como tecnológicos, y avisar a las empresas de la sospecha de que una operación puede ser fraudulenta, además de la cooperación para impedir que, una vez realizado el pago, sea disponible en destino. Pero, si se nos permite el símil, así como el contagio se reduce de manera drástica por el uso de mascarillas cuando dos personas hablan, si tanto empresas como bancos aúnan esfuerzos, el nivel de éxito de este tipo de fraude bajará también de forma clara. Son diferentes los frentes desde los que las empresas pueden actuar:
1.- Concienciación y formación de los empleados.
- Realizar formaciones a los empleados para que conozcan a la perfección los procedimientos referentes a su puesto de trabajo.
- Concienciación para no saltarse ningún paso por presión interna.
- Verificar direcciones de correos origen de los mensajes.
- Nunca entregar contraseñas o información sensible de manera online.
- Explicar a los empleados los riesgos que tiene publicar información referente a su vida profesional en internet y cómo protegerse.
2.- Definición del proceso de ‘onboarding’ de proveedores y de los procesos de pago.
- Los procesos de ‘onboarding’ de proveedores deben ser completos, con un correo y un teléfono validado de contacto.
- Documentar paso a paso cómo se debe realizar el proceso de pago, tanto los pagos rutinarios como los puntuales, en especial cómo afrontar la ausencia de los autorizadores habituales en situaciones urgentes.
- Doble (al menos) proceso de autorización de operaciones voluminosas, sin excepciones. Se puede graduar el importe de las transacciones dependiendo del país de destino.
- En caso de cambio de cuenta de proveedor, o inicio de relación con un nuevo proveedor, doble chequeo con el mismo en las direcciones validadas en el proceso de ‘onboarding’.
3.- Configuración de un sistema de pagos robusto.
- Herramientas de escaneo de mails para detectar y bloquear correos electrónicos provenientes de dominios no habituales o con contenido malicioso.
- Evaluar la desactivación del visor ‘html’ de las cuentas críticas de correo electrónico para poder ver los enlaces y direcciones de correo electrónico habituales.
- Sistema de alerta que avisa de la introducción de una cuenta de destino nunca antes utilizada para un pago, lo que generaría un doble chequeo automático.
El esfuerzo conjunto de bancos y compañías es decisivo para poder frenar los intentos de fraude que se dan a diario. Y, teniendo en cuenta que el teletrabajo ha venido para quedarse, la necesidad de implementar estas medidas es cada vez más acuciante.