El problema de $55.5 mil millones del que nadie habla

El compromiso de correo empresarial — o BEC por sus siglas en ingles — es el delito cibernetico mas devastador financieramente en el mundo. Segun el Centro de Quejas de Delitos en Internet (IC3) del FBI, el BEC ha causado $55.5 mil millones en perdidas acumuladas a nivel global, con $2.77 mil millones robados solo en 2024. Sin embargo, la mayoria de las empresas nunca ha escuchado de el, y menos aun tienen defensas implementadas.

El BEC funciona porque explota la confianza, no la tecnologia. Un atacante suplanta a un CEO, un proveedor o un colega y convence a alguien de transferir dinero, compartir credenciales o cambiar detalles de pago. Los correos se ven reales. Las llamadas telefonicas suenan reales. Y ahora, con la clonacion de voz y video deepfake, pueden literalmente ser reales — al menos para la percepcion humana.

$2.77 mil millones
perdidos por compromiso de correo empresarial solo en 2024 (FBI IC3)

El deepfake de Arup: $25 millones perdidos en una sola videollamada

En febrero de 2024, un empleado de finanzas de la firma de ingenieria Arup en Hong Kong se unio a una videoconferencia con lo que parecia ser el director financiero de la empresa y varios colegas. Cada rostro en la llamada era un deepfake. Los participantes generados por IA dieron instrucciones para transferir $25 millones a traves de cinco transacciones. El empleado cumplio. Para cuando se descubrio el fraude, el dinero habia desaparecido a traves de multiples cuentas bancarias.

Este no fue un ataque sofisticado de un estado-nacion. Fue una banda criminal usando herramientas de deepfake disponibles comercialmente. El ataque tuvo exito porque el empleado podia ver y escuchar a personas que se veian y sonaban exactamente como sus companeros de trabajo. La verificacion visual y auditiva — la base de la confianza humana — habia sido completamente comprometida.

"Estamos viendo el uso creciente de video y voz deepfake como parte del fraude BEC. Lo que antes requeria suplantar una direccion de correo electronico ahora implica suplantar a una persona entera." — Division Cibernetica del FBI, 2024

MGM Resorts: Una llamada telefonica, $100 millones en danos

En septiembre de 2023, el grupo de hackers Scattered Spider llamo a la mesa de ayuda de TI de MGM Resorts y se hizo pasar por un empleado. La llamada duro aproximadamente 10 minutos. Usando informacion extraida de LinkedIn, la persona que llamo convencio al tecnico de la mesa de ayuda de restablecer las credenciales del empleado. Esa sola llamada telefonica dio a los atacantes acceso a toda la red de MGM.

El resultado: las maquinas tragamonedas se apagaron en todo Las Vegas, las tarjetas de acceso a habitaciones dejaron de funcionar, y las operaciones de MGM se paralizaron durante 10 dias. El costo estimado supero los $100 millones. Todo porque un tecnico de mesa de ayuda de TI no pudo verificar quien estaba realmente al otro lado de una llamada telefonica.

Los ataques de vishing — phishing por voz — aumentaron un 442% en el ultimo ano, segun la firma de seguridad Hoxhunt. Las mesas de ayuda de TI son el blanco numero 1 porque tienen las llaves del reino: restablecimiento de contrasenas, inscripcion de MFA y acceso a cuentas.

Por que la seguridad tradicional falla aqui

Las empresas gastan miles de millones en firewalls, deteccion de endpoints y autenticacion multifactor. Pero ninguno de estos protege contra un empleado de confianza que es manipulado socialmente por telefono. La MFA no ayuda cuando el atacante convence a TI de restablecerla. Los filtros de correo no detectan una llamada telefonica. La seguridad de endpoints no impide que un humano autorice una transferencia bancaria.

  • Autenticacion multifactor — los atacantes manipulan socialmente a TI para restablecerla
  • Filtros de seguridad de correo — irrelevantes cuando el ataque llega por telefono o video
  • Identificador de llamadas — falsificable trivialmente para mostrar cualquier numero
  • Verificacion visual en videollamadas — derrotada por deepfakes en tiempo real
  • Capacitacion en concientizacion de seguridad — ensena a los empleados a detectar correos de phishing, no suplantacion de voz en vivo

La capa faltante: Verificacion verbal

Una palabra clave es algo que un deepfake no puede replicar porque no se deriva de ninguna informacion publica. Es un secreto compartido — una pieza de conocimiento que existe solo en las mentes de las personas que la acordaron en persona. Ninguna cantidad de rastreo en LinkedIn, clonacion de voz o deepfake de video puede producirla.

La Publicacion Especial 800-63B del NIST — las directrices de identidad digital del gobierno de EE.UU. — aprueba explicitamente la autenticacion fuera de banda basada en voz a traves de la red telefonica publica conmutada (PSTN). El principio es solido: verificar la identidad a traves de un canal separado usando conocimiento compartido que el atacante no puede interceptar.

Como implementar palabras clave en el lugar de trabajo

  • Establece una palabra clave de equipo compartida en persona durante una reunion general — nunca por correo ni chat
  • Crea una politica: cualquier transaccion financiera por encima de un umbral (ej. $5,000) requiere confirmacion verbal con la palabra clave
  • La mesa de ayuda de TI debe verificar la palabra clave del departamento antes de restablecer contrasenas o MFA
  • Rota la palabra clave trimestralmente — anuncia la nueva en la proxima reunion presencial
  • Pagos a proveedores: establece palabras clave con los proveedores clave para solicitudes de cambio de pago
  • Comunicaciones ejecutivas: si el CEO llama con una solicitud urgente, la palabra clave debe proporcionarse antes de que alguien actue

Suplantacion de proveedores: El vector BEC de mas rapido crecimiento

Segun Abnormal AI, el 60% de los ataques BEC modernos ahora involucran suplantacion de proveedores en lugar de suplantacion de ejecutivos. Un atacante compromete el correo de un proveedor, monitorea los patrones de facturacion y luego envia un mensaje convincente: "Nuestra cuenta bancaria cambio. Por favor actualiza tus registros y envia el proximo pago a esta nueva cuenta."

Una palabra clave compartida entre tu equipo de cuentas por pagar y cada proveedor critico detendria esto de raiz. Antes de procesar cualquier cambio de detalles de pago, el proveedor debe proporcionar la palabra de verificacion compartida — por telefono, a un contacto conocido, a un numero conocido.

El trabajo remoto empeoro esto

Cuando los equipos trabajaban en la misma oficina, podias caminar al escritorio de alguien y confirmar una solicitud cara a cara. El trabajo remoto e hibrido elimino esa opcion. Ahora, toda la verificacion ocurre a traves de canales digitales — los mismos canales que los deepfakes pueden comprometer. Las palabras clave restauran la capa de confianza presencial a las interacciones remotas.

Comienza hoy: usa el Constructor de Protocolos de Safewords.io para crear un protocolo de verificacion en el lugar de trabajo. Elige "Lugar de trabajo" como tipo de grupo, agrega a los miembros de tu equipo y establece cuando se debe requerir la palabra clave. Imprime la tarjeta de seguridad y compartela en tu proxima reunion de equipo.