En los últimos cuatro años, la comunidad de la seguridad de la información ha aprendido mucho sobre el correo electrónico comercial comprometido (BEC) y los entresijos de las redes nigerianas de ciberdelincuentes que lo han convertido en su principal pilar.

Sabemos que el fraude BEC se ha denunciado en los 50 estados y en 177 países de todo el mundo. Sabemos que, desde junio de 2016, se han perdido más de 26.000 millones de dólares como consecuencia de este tipo de fraude. Pero también sabemos que, incluso a este nivel, es posible que solo estemos arañando la superficie de los daños que los delincuentes que están detrás de los ataques al correo electrónico empresarial han infligido a empresas y particulares.

Esto se debe a que, como todos sabemos, las mismas amenazas que están detrás de los BEC son responsables de otros muchos delitos, desde estafas románticas, esquemas de trabajo desde casa y timos de lotería, hasta fraudes electrónicos, apropiaciones de cuentas (ATO), estafas de desvío de nóminas, fraudes W2 y (mucho) más.

A la hora de rastrear los BEC y los esquemas 419 relacionados (denominados así por la sección 419 del código penal nigeriano), a menudo se agrupan una serie de actividades maliciosas diferentes y discretas. Al fin y al cabo, las fronteras rara vez son tan claras como cuando se trata de rastrear delitos perpetrados con una familia específica de malware.

Aun así, 26.000 millones de dólares en pérdidas por el compromiso del correo electrónico empresarial es una cifra realmente grande, ¿verdad? Sin embargo, es importante poner esas pérdidas en contexto comparándolas con otras amenazas a las que se enfrenta el sector. Como va a ver, lo que sabemos ya da bastante miedo. Pero es lo que no sabemos lo que realmente me quita el sueño.

Pérdidas de BEC: ¿Más del doble de lo estimado por el Tesoro?

Empecemos por lo básico. Todos hemos visto los datos procedentes de la Red para la Represión de Delitos Financieros (FinCEN) del Departamento del Tesoro de Estados Unidos, que estima que las pérdidas por BEC superaron los 300 millones de dólares al mes en 2018. Eso supone más de 3.600 millones de dólares sobre una base anualizada, y muchos motivos de alarma.

Pero también parece muy optimista. Suponiendo que el 100% de los informes de actividades sospechosas (SAR) estén sincronizados tanto con el FinCEN como con el Centro de Denuncias de Delitos en Internet del FBI, las cifras procedentes del IC3 pintan un panorama completamente distinto.

Según IC3, se perdieron 26.000 millones de dólares por estafas BEC entre junio de 2016 y julio de 2019. Entonces, ¿cuánto es eso al mes?

26.000 millones de dólares / 37 meses = 702 millones de dólares de pérdidas mensuales en BEC 

Eso supone 23 millones de dólares perdidos al día, 975.975,98 dólares perdidos a la hora, o 16.266,27 dólares perdidos cada minuto a manos de BEC. Adelante, deja que eso se hunda por un momento, te esperaré.

A los investigadores de seguridad les encanta criticar a los equipos de marketing por exagerar las cifras para aumentar el dramatismo. Pero en este caso, esos 26.000 millones de dólares no son exagerados. De hecho, no son estimaciones en absoluto. Cada dólar está vinculado a una víctima. Y aunque parte de ese dinero se haya revertido con éxito, sigue representando la exposición total del mundo empresarial (o "dólares expuestos", en la jerga del IC3) a BEC.

26.000 millones de dólares en contexto

26.000 millones de dólares no es calderilla. Equivale a una empresa de la lista Fortune 500: ocupa el mismo puesto que Kraft Heinz en el nº 115 de la lista de este año, justo por encima de Mondelez International y US Bancorp. Si fuera un país, estaría entre las 30 mayores economías del mundo por PIB.

De hecho, mientras que el ransomware genera más titulares, BEC es ahora el principal impulsor de las reclamaciones de ciberseguros en EMEA, representando el 24% de todas las reclamaciones, según AIG. Pero para contextualizar mejor lo que esto significa, echemos un vistazo a las matemáticas.

Sabemos que BEC provoca al menos 702 millones de dólares en pérdidas al mes. Utilizando la siguiente ecuación, podemos convertir las pérdidas de otras campañas a lo largo del tiempo en el número de días que tarda BEC en causar el mismo daño.

(Pérdidas en dólares por Campaña / 702 millones) X 30 días = número de días

Veamos cómo se compara esto con los daños financieros causados por diferentes formas de ataques de malware, junto con algunos otros puntos de referencia. Resulta que los ataques dramáticos que acaparan titulares pueden tardar años en crear la misma cantidad de pérdidas generadas por estafas BEC exitosas en cuestión de días.

Por qué es tan desconcertante reconocer lo desconocido

Más allá de las pérdidas económicas derivadas de la ciberdelincuencia, está el coste humano. Un ataque de ransomware contra un hospital puede tener consecuencias nefastas, incluida la pérdida de vidas humanas. Pero las redes de fraude por correo electrónico pueden ser igual de mortales. El suicidio entre las víctimas de fraudes románticos por correo electrónico, por ejemplo, no es un hecho aislado, gracias a la confusión emocional que causa, algo que hemos documentado en nuestros propios datos. Hemos visto personalmente múltiples casos en los que buscadores enamorados caen presa de la ingeniería social y terminan en la ruina financiera, teniendo que vender sus casas, sacar a sus hijos de la escuela, y mucho más. Todo por culpa de un Sr. o Sra. Equivocados que ofrecen el amor y el afecto que tanto falta en la vida de sus víctimas.

Aquí es donde entran las incógnitas. Aunque en 2017 se identificaron un total de 15.000 estafas románticas y otras 18.000 en 2018, son muchos más los casos que no se denuncian debido al estigma social que conlleva caer en esta forma de fraude. Cuántas víctimas más hay?

Una estafa, una red de delitos relacionados

En los últimos cuatro años, hemos aprendido que muchos estafadores aprovechan las cuentas robadas a través de estafas románticas para lanzar ataques BEC. De hecho, en el transcurso de nuestra investigación sobre la red de delincuencia BEC Scattered Canary, descubrimos vínculos desconocidos hasta entonces entre BEC y otras innumerables actividades ciberdelictivas.Dado que 26.000 millones de dólares en pérdidas ya es un lío caliente, echemos gasolina al fuego del contenedor con unas cuantas preguntas más. ¿Cuántas víctimas de estafas de lotería hay? ¿Cuántas credenciales de inicio de sesión suplantadas han pasado desapercibidas, listas para ser explotadas en futuros esquemas de Vendor Email Compromise (VEC) y otros ataques?

¿Cuántas estafas W2 han cometido los actores de BEC que no se denunciaron o no se rastrearon? ¿Cuántas personas han visto cómo la información robada en estos y otros ataques se utilizaba para secuestrar sus cuentas de correo electrónico y utilizarla en otras estafas? ¿Cuántos estudiantes o personas mayores con dificultades han sido reclutados sin saberlo en estafas de trabajo desde casa, encargados de enviar cheques falsos a más víctimas? ¿Cuántos incidentes de BEC se han encubierto, achacándolos al coste de hacer negocios?

Si éstas son sólo algunas de las preguntas que podemos hacernos por lo que sabemos, ¿qué hay de lo que no sabemos? Sí, 26.000 millones de dólares en pérdidas conocidas por BEC es aterrador. Pero lo que no sabemos es absolutamente aterrador.