×
Inicio Ciberseguridad Cómo proteger a tu empresa del fraude de cambio de cuentas bancarias
Ciberseguridad · 7 minutos de lectura

Cómo proteger a tu empresa del fraude de cambio de cuentas bancarias

Imagen: d3sign (Getty Images)

Los ciberdelincuentes y todas las técnicas que emplean para llevar a cabo sus propósitos se perfeccionan día a día, de forma que ya no es raro tener alguna experiencia en la que te han intentado contactar suplantando identidades de empresas o instituciones que tienes como fiables con intención de engañarte. Te puede pasar como usuario, pero cada vez más se están registrando ataques a empresas -grandes y pequeñas-, las cuales son una víctima perfecta para este tipo de delincuentes. 

Uno de los timos que es más habitual en el mundo empresarial es el fraude de cambio de cuentas bancarias. ¿No lo conoces? No te preocupes, porque te vamos a explicar paso a paso en qué consiste, para que puedas detectarlo fácilmente.

Índice:

  1. ¿Qué es el fraude de cambio de cuentas bancarias?
  2. ¿Cómo preparan los ciberdelincuentes este ataque?
  3. Métodos más comunes para realizar el fraude
  4. Técnicas de ingeniería social utilizadas en el fraude
  5. Señales para detectar el fraude de cambio de cuentas bancarias
  6. Consejos para prevenir el fraude de cambio de cuentas bancarias

¿Qué es el fraude de cambio de cuentas bancarias?

Uno de los fraudes que últimamente más se está intentando con empresas es el del cambio de cuentas bancarias, un tipo de ciberataque en el que entran en juego diferentes técnicas fraudulentas con el objetivo de suplantar una identidad y conseguir que la víctima realice pagos que van a parar a las manos del delincuente. 

Este fraude es un ataque de spear phishing, ya que va dirigido en concreto a una persona de una empresa o a un grupo de personas determinado, pero no es algo lanzado al azar, sino que las víctimas fueron seleccionadas y estudiadas previamente. Los ciberdelincuentes habitualmente se hacen pasar por alguien que es de confianza para el personal de la empresa: puede tratarse de un proveedor, otra empresa con la que tienen contratados servicios, un cliente… En definitiva, alguien con el que normalmente mantengan una relación en la que hay facturas y pagos de por medio. Así, cuando la víctima reciba la petición de realización de un ingreso puede que no le resulte extraño y no lo descarte inmediatamente. 

¿Cómo preparan los ciberdelincuentes este ataque?

Este tipo de ataque, al ser tan personalizado, lleva mucho tiempo y le requiere tiempo de estudio de la víctima a los delincuentes. Normalmente este fraude se prepara con los siguientes pasos:

  1. Escogen a la persona o personas de la empresa que van a ser las víctimas. Una vez hecho, obtienen toda la información necesaria de ellos: nombres, cargo en la compañía, correo electrónico, tipos de relaciones comerciales que mantienen con otras empresas, etc. El caso más común es que la víctima sea un responsable de finanzas, el controller o alguien del Departamento de Administración.
  2. Se infiltran en su correo electrónico: esto les permite monitorizar todas las comunicaciones profesionales de su víctima. Así, conocen de primera mano los movimientos de la empresa, con quién tienen relaciones comerciales y en qué punto se encuentran. Es decir, tienen acceso total al día a día de la compañía y ya solo tienen que esperar el momento óptimo para realizar su ataque, que suele ser cuando la empresa está pendiente de recibir alguna factura importante por parte de un tercero. 

Métodos más comunes para realizar el fraude

Una vez que los ciberdelincuentes están al día de toda la información referente a los movimientos de la empresa, ya están listos para comenzar su ataque e intentar engañarles: aunque se trata de un fraude muy elaborado y que se puede realizar de diversas formas, casi todos siguen un mismo patrón. 

  1. Una vez tienen acceso al correo electrónico profesional de la víctima y tienen monitorizada su actividad, el siguiente paso es acceder a la banca online con las cuentas bancarias de la empresa. Una vez logran entrar, lo que hacen es modificar los datos del proveedor al que van a suplantar, de forma que cambian el número de cuenta a los que la empresa víctima realiza los pagos de forma recurrente, redirigiendo los ingresos hacia una cuenta bancaria controlada por los ciberdelincuentes.
  2. A continuación, lo único que tienen que hacer es suplantar al proveedor y enviar una factura falsa. Como controlan las comunicaciones de la empresa, en el momento que sea más oportuno, envían un correo electrónico suplantando a ese proveedor del que saben que están esperando una factura, de forma que la víctima no vea extraña esa petición de pago. La información que han ido recopilando previamente les permite crear un correo electrónico muy convincente (con datos del proveedor reales, usando la misma cuenta de email, empleando lenguaje similar…), en el que se solicita un pago urgente y se adjunta una factura en la que el número de cuenta, en realidad, es la cuenta bancaria de los ciberdelincuentes.

La víctima escogida dentro de la empresa, puede que ni se alarme: sabe que tiene un pago pendiente con ese proveedor y está relajada, le da veracidad a la petición y, si por casualidad notase un cambio de número de cuenta, podría comprobar que coincide con el que tienen guardado desde la banca online corporativa. Una vez realizado el pago, los atacantes son los que reciben el ingreso en realidad. En definitiva, se cubren todos los frentes para que no haya una sospecha de que algo raro está ocurriendo y los ciberdelincuentes cumplen con su objetivo: robar información confidencial y dinero de las empresas.  

Ciberataques: ¿cuánto le puede costar a tu empresa?

Técnicas de ingeniería social utilizadas en el fraude

Como hemos visto, el fraude de cambio de cuentas bancarias es un ataque muy sofisticado en el que se necesitan no solo ciberdelincuentes altamente preparados, sino la puesta en marcha de varias técnicas de ingeniería social para poder obtener todos los datos que necesitan. Repasamos algunas de las herramientas que se suelen utilizar para engañar y obtener información confidencial con facilidad: 

  • Phishing: es una de las modalidades de engaño más extendidas. Consiste en el envío de un correo electrónico que intenta suplantar a alguna organización o persona de confianza, intentando ser lo más creíble posible. Estos emails siempre suelen llevar un enlace en el que nos piden clicar o entrar en una determinada página web. Será ahí cuando comprometamos la seguridad del sistema, ya que esas páginas y enlaces son fraudulentas.

    En el caso de este tipo concreto de fraude de cambio de cuenta bancaria, siempre van a intentar que los correos electrónicos suplanten entidades de confianza, como puede ser un banco, para tratar así de obtener la información confidencial que les permita entrar, tanto en la banca electrónica como en el correo de la víctima y ejecutar el fraude. 
  • Vishing: es un tipo de phishing en el que el atacante intenta obtener la información confidencial a través de una llamada de teléfono, en la que también se hará pasar por trabajador de una entidad de confianza para la víctima.

    Así, un empleado de la empresa víctima del ataque puede recibir llamadas de “su banco” en las que le piden realizar acciones y verificar los datos de la banca online de la empresa, por ejemplo, siempre empleando un tono urgente y apremiante. Y todo con el objetivo de poder hacerse con la información confidencial que les permita acceder a la banca online y realizar el cambio de números de las cuentas guardadas. 

Ambos métodos son los más habituales entre los ciberdelincuentes para recopilar datos y aumentar la efectividad del ataque a cuentas bancarias de empresas. La combinación de técnicas de phishing, vishing y el fraude directo mediante el acceso a cuentas de correo y banca online hace que estos ataques sean especialmente peligrosos y muy difíciles de detectar.

Por eso, es esencial que conozcas este tipo de prácticas y estés al día de su evolución, porque así podrás aprender a identificar comunicaciones o peticiones extrañas que te ayuden a evitar un fraude de cambio de cuentas bancarias.  

Señales para detectar el fraude de cambio de cuentas bancarias

La clave para proteger tus datos y los de tu empresa de este tipo de ciberataques está en la capacidad de identificar las señales de alarma y en la prevención. Aquí te dejamos algunos consejos que te serán muy útiles para detectar contactos o movimientos potencialmente fraudulentos: 

  • Asegúrate bien si hay cambios de cuentas bancarias en tu actividad empresarial diaria: si recibes un correo o una llamada de un proveedor comentando que ha cambiado de cuenta bancaria y que debes realizar los ingresos de tus pagos en otra cuenta, trata de comprobarlo por otra vía. Llama tú a un número que sepas que es de la persona con la que habitualmente hablas y asegúrate de que ese cambio es legítimo.
  • Si te contactan presionándote, con un tono de gran urgencia, desconfía: los ciberdelincuentes suelen utilizar un tono de emergencia para presionar a la víctima y así conseguir que no se pare a pensar y realice las operaciones que le piden. Si el mensaje o llamada requiere acciones inmediatas, es probable que se trate de un intento de fraude.
  • Revisa siempre todos los accesos a la banca online: si notas cambios en la banca online (modificaciones de los números de cuenta guardados, intentos de acceso desde dispositivos extraños, etc.), no lo pases por alto. Cambia las credenciales y revisa cuidadosamente todos los movimientos bancarios, ya que puede tratarse de actividad fraudulenta.
  • Cuando realices pagos, comprueba siempre la información: si, al realizar una transferencia o ingreso, ves que la cuenta o entidad de destino no te suena o es internacional, y eso no entra dentro de lo común en tus relaciones comerciales, puede que se trate de una cuenta fraudulenta. Compruébalo con tu proveedor antes de realizar cualquier pago.

Consejos para prevenir el fraude de cambio de cuentas bancarias

Tal y como decíamos, la prevención y estar informados sobre las distintas formas que tienen los delincuentes para atacar la ciberseguridad de las empresas es clave para proteger tus datos y a tus empleados de estas amenazas. Si quieres establecer una serie de buenas prácticas que eviten que puedas verte envuelto en una situación de este tipo, recuerda que debes:

  • Verificar a través de una vía de confianza con tu proveedor las peticiones de cambio de número de cuenta bancaria que recibas por email o con una llamada poco habitual.
  • Antes de firmar cualquier transferencia, asegúrate de que todos los implicados revisen que el número de cuenta y el banco receptores son correctos, incluso si es un destinatario guardado habitual.
  • Aplica procesos de verificación de cambios de cuentas bancarias en la banca online de la empresa. Si estableces un proceso de aprobación que implique la verificación de múltiples responsables antes de aceptar cambios en las cuentas bancarias guardadas, los ciberdelincuentes no podrán efectuar cambios sin que lo notes.
  • Refuerza la seguridad de tu banca online: utiliza contraseñas robustas, habilita la doble autenticación y monitorea frecuentemente la actividad en tus cuentas bancarias online para detectar cualquier acceso no autorizado.
  • Informa a tu equipo sobre el riesgo de sufrir fraudes: asegúrate de que todos los empleados, sobre todo los que gestionan la parte financiera de la empresa, estén informados sobre este tipo de fraude y sepan cómo detectar correos electrónicos sospechosos y comunicaciones inusuales.
  • Nunca facilites datos de carácter privado para acceder u operar con la banca electrónica mediante llamadas o mensajes. Recuerda que desde el Banco Santander nunca vamos a solicitar ese tipo de información de forma completa.
  • Y si recibes llamadas o mensajes alarmantes y apremiantes, por favor, no sigas ninguna de sus instrucciones. Contacta inmediatamente con el Banco Santander mediante Superlínea para reportarlo.

En definitiva, el fraude por cambio de cuentas bancarias, a pesar de ser un ataque muy sofisticado y que requiere una gran inversión de tiempo, se ha convertido en un problema para las empresas nacionales e internacionales. Sin embargo, con una estrategia de seguridad sólida y una formación constante, es posible reducir drásticamente el riesgo de caer en este tipo de estafas. 

La clave radica en mantener una actitud proactiva: cuestionándonos cualquier solicitud que nos despierte sospechas, asegurándonos de verificar los detalles y reforzando las defensas digitales de la empresa. La seguridad de tu empresa depende de cada uno de los que forman parte de ella.

#Empresa #Seguridad informática
Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Las claves de la ciberseguridad: concienciación, protección y respuesta
¿Qué es el quishing y cómo funciona?
Black Friday, cómo protegerte frente a estafas y ciberataques
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Consejos de ciberseguridad en el teletrabajo

También te interesará…

8 min
Ciberseguridad
1 julio 2022
¿Cómo saber si una llamada es fraudulenta?
A lo largo del día son muchas las llamadas que podemos recibir tanto a nivel personal como profesional. En ocasiones no tenemos registrados los números de todos aquellos que contactan...
  8 min
7 min
Ciberseguridad
11 noviembre 2022
¿Qué es el cybersquatting y cómo reconocerlo? Así puedes protegerte de la suplantación de un dominio web
Internet se ha convertido para las empresas en un canal fundamental para su estrategia de negocio. Ya sea para comunicarse con sus clientes o dar a conocer productos y servicios,...
  7 min
6 min
Ciberseguridad
24 abril 2023
Cloud computing: almacena y protege los datos de tu empresa
La tecnología modula los productos y su demanda; y también los procesos y los recursos que dan lugar a su concepción y evolución. Por último, el mismo tejido empresarial es...
  6 min
Lo más visto
Las claves de la ciberseguridad: concienciación, protección y respuesta
¿Qué es el quishing y cómo funciona?
Black Friday, cómo protegerte frente a estafas y ciberataques
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Consejos de ciberseguridad en el teletrabajo

Somos el banco de las empresas y ponemos a tu disposición contenido para impulsar tu negocio hasta donde tú quieras llegar.

Aviso Legal Política de Cookies
© Banco Santander, S.A. Santander es una marca registrada. Todos los derechos reservados.
LinkedIn Twitter Facebook Whatsapp Email