FDIC

Asegurado por la FDIC-Respaldado por la plena fe y crédito del gobierno de EE. UU.

Manos escribiendo en una computadora portátil.

El fraude empresarial ha cambiado, también lo han hecho las señales de advertencia

Las empresas pueden reducir el riesgo con controles de pago más sólidos, capacitación de los empleados e informes rápidos

PorBOK Financial

Lectura de 4 minutos

PUNTOS CLAVE

  • El fraude se está volviendo más sofisticado y difícil de detectar, ya que la IA permite estafas más rápidas y convincentes.
  • Las banderas rojas tradicionales ya no son confiables, ya que los estafadores se enfocan cada vez más en procesos cotidianos como pagos, comunicación por correo electrónico y uso de cheques con ataques altamente personalizados.
  • Las empresas pueden reducir el riesgo colocando controles en capas, capacitando a los empleados para verificar las solicitudes y actuando rápidamente, especialmente dentro de las primeras 24 horas de detección de fraude.

Los estafadores siguen utilizando tácticas familiares, pero las herramientas detrás de ellas son cada vez más rápidas, más convincentes y más difíciles de detectar, y para las empresas de todo el mundo, eso significa problemas.

En algún momento, la mayoría de las compañías tendrán a alguien que intentará robar sus datos, información o dinero, dijo Linda Marcum, directora de habilitación de ventas de tesorería de BOK Financial®. "No es una cuestión de 'si', sino de 'cuándo' en estos días".

El riesgo no se limita a un tipo de ataque, advirtieron los expertos. Los estafadores se dirigen a los sistemas de pago, las cuentas de correo electrónico comerciales, los cheques, las credenciales de inicio de sesión y las rutinas de los empleados. Dado que muchos métodos de pago ahora se mueven rápidamente, la ventana para recuperar fondos robados puede ser estrecha. Además, la calidad y la escala del engaño están haciendo que el fraude sea más difícil de detectar, dijeron los expertos.

"La IA está haciendo que las estafas sean más rápidas, más baratas y más convincentes que nunca. Los estafadores ahora pueden crear correos electrónicos, llamadas telefónicas, mensajes de texto e incluso suplantaciones de voz o video que suplantan lo suficientemente legítimas como para engañar a los empleados ocupados", dijo Paul Tucker, director de seguridad y privacidad de la información en BOK Financial.

El desafío en nuestra industria es que la misma tecnología que utilizan las empresas para moverse más rápido también está ayudando a los delincuentes a escalar el fraude más rápido. Eso significa que las empresas no pueden confiar en viejas banderas rojas como mala gramática o mensajes obviamente sospechosos.”
- Paul Tucker, director de seguridad y privacidad de la información en BOK Financial


Los intentos de fraude generalmente están dirigidos a empleados que manejan pagos, registros de proveedores, acceso a cuentas o aprobaciones financieras. Un empleado con cuentas por pagar apresuradas puede recibir una solicitud para actualizar la información bancaria del proveedor. Se le puede pedir a un controlador que apruebe rápidamente un cable. Es posible que se le pida a un empleado de nómina que cambie las instrucciones de depósito directo.

"La creciente expectativa de pagos más rápidos pone mayor énfasis en proteger a las personas y organizaciones contra fraudes y estafas", dijo Tammy Foy, directora de ventas de tesorería de BOK Financial.

El fraude con cheques sigue siendo un problema

A pesar de que los pagos se han movido cada vez más en línea, los cheques en papel siguen siendo un objetivo común. Un cheque enviado por correo puede ser robado, alterado o utilizado como plantilla para cheques falsificados.

"El Servicio Postal de los Estados Unidos continúa creando conciencia sobre la cantidad de artículos robados de los buzones azules y los trabajadores postales que están siendo robados", dijo Scott Edwards, director de gestión del riesgo de fraude en BOK Financial.

Para las empresas que todavía dependen de cheques en papel, la prevención es importante. "BOK Financial continuamente agrega protecciones para ayudar a detectar artículos fraudulentos, pero las compañías también necesitan revisar continuamente cómo se están protegiendo", dijo Marcum.

Controles como el pago positivo con verificación del nombre del beneficiario puede ayudar al permitir que los cheques o los pagos ACH se liquiden solo cuando los detalles del pago coincidan con la información que la empresa ya ha proporcionado o aprobado.

Comprometer el correo electrónico empresarial es una amenaza diaria

El compromiso del correo electrónico empresarial sigue siendo uno de los riesgos de fraude más perjudiciales para las empresas, ya que se dirige a la actividad comercial ordinaria.

Un estafador puede monitorear el tráfico de correo electrónico, aprender cómo se comunica una empresa y esperar el momento adecuado para intervenir. El delincuente puede enviar una solicitud para actualizar las instrucciones de pago del proveedor, cambiar la información de la cuenta o aprobar una transacción. Para cuando el vendedor real pregunta por qué el pago no ha llegado, es posible que el dinero ya se haya ido.

La IA puede hacer que estos ataques sean más efectivos al ayudar a los estafadores a escribir mensajes más convincentes y adaptarlos a empresas, empleados o transacciones específicas.

"Solía ser que los correos electrónicos fraudulentos tenían errores tipográficos y ortográficos obvios e involucraban a un príncipe en un país extranjero", dijo Edwards. "Ahora, con las comunicaciones escritas por IA, es mucho más sofisticado".

La IA también se puede utilizar en intentos de estafa más allá del correo electrónico, incluido el fraude de voz deepfake por teléfono y a través de chats en vivo. "Con la IA, una persona puede hacer el trabajo de mil estafadores, por lo que la escalabilidad es exponencial", dijo Edwards.

Otras formas en que los estafadores se dirigen a las empresas:

  1. Adquisición de cuenta: Los delincuentes pueden usar credenciales de inicio de sesión robadas para obtener acceso.
  2. Cuentas de mulas: Los estafadores pueden usar cuentas controladas por otras personas o empresas para recibir y mover fondos robados.
  3. Tarjetas de pago comprometidas: Los números de tarjeta robados, las fechas de vencimiento y otra información pueden usarse para compras no autorizadas o venderse a otros delincuentes.
  4. Violaciones de seguridad: El acceso no autorizado a los sistemas de la empresa puede exponer datos de clientes, información de empleados, credenciales de pago u otros registros confidenciales.

Las primeras 24 horas importan

Si se detecta fraude, el tiempo es esencial.

Las empresas deben comunicarse con su institución financiera lo antes posible después de descubrir una transacción sospechosa o no autorizada. Cuanto antes se informe el problema, mayores serán las posibilidades de intentar la recuperación, aunque la recuperación nunca está garantizada. Con un movimiento de pagos más rápido, los fondos robados pueden transferirse nuevamente antes de que una empresa se dé cuenta de lo sucedido.

En BOK Financial, el equipo de fraude determinará si existe una manera de recuperar los fondos robados mediante fraude. Si el fraude se detecta dentro de las 24 horas, hay un mayor potencial de recuperación, dijo Edwards.

El plan de respuesta de una empresa debe incluir: tener pasos internos claros para notificar a su institución financiera, escalar el asunto al liderazgo de su propia empresa, involucrar a los equipos de TI o seguridad de la información e informar el incidente a la policía cuando corresponda.

Cómo las empresas pueden reducir el riesgo de fraude

La prevención del fraude funciona mejor cuando las empresas utilizan tanto la tecnología como los procesos internos. Ningún control por sí solo puede detener cada intento, pero las capas de protección pueden dificultar el éxito de los delincuentes.

Pasos a seguir:

  • Usar autenticación multifactor
  • Verificar los cambios de pago a través de un canal separado
  • Utilice la aprobación dual para transacciones de alto riesgo
  • Separe las tareas para que ningún empleado tenga control sobre todo un proceso financiero u operativo
  • Revisar los permisos de acceso
  • Use controles de Pago positivo y ACH
  • Concilie cuentas diariamente
  • Establecer límites de transacciones y alertas
  • Capacitar a los empleados regularmente
  • Crear un plan de respuesta al fraude

Ralentizar la solicitud

En esencia, la prevención del fraude a menudo se reduce a una simple disciplina: reducir la velocidad cuando hay dinero o información confidencial en juego.

Eso no significa crear fricción innecesaria para cada transacción, dijeron los expertos. Sin embargo, sí significa identificar los momentos en que un error sería costoso (un nuevo proveedor, una instrucción de pago cambiada, una transferencia grande, un restablecimiento de contraseña, una solicitud de un ejecutivo, un cambio repentino en la rutina) y crear pasos de verificación a su alrededor.

"Cuanto más sepa su personal, más podrá ayudar a la organización a identificar amenazas potenciales y abordarlas", dijo Tucker. "Al final del día, combinar la educación y capacitación de su fuerza laboral e invertir en sistemas que puedan ayudar a identificar y frustrar posibles fraudes es su mejor apuesta para proteger su negocio de técnicas avanzadas destinadas a comprometer los datos".

Aprenda más sobre Seguridad en línea de BOK Financial o llame al 844-517-3308 para reportar actividad sospechosa en las cuentas relacionadas con BOK Financial. La Agencia de Ciberseguridad y Seguridad de la Infraestructura también mantiene una Lista actualizada de amenazas actuales.


Contenido relacionado