Estafa de pago: pague con tranquilidad
Proteja su empresa de la siempre cambiante amenaza de estafa de pago
Para la mayoría de los distritos, los sistemas de pago electrónicos tienen gran eficacia. Desafortunadamente, estas fallas allanan el camino para una variedad de estafas de pago y dan lugar a la aparición de cibercriminales, cuyas consecuencias pueden ser devastadoras para los distritos que no monitorean sus cuentas financieras en forma diligente.
Por definición, constituye estafa de pago "cualquier tipo de transacción falsa o ilegal por parte de un cibercriminal". En los últimos años, los bancos han sido testigo de la forma en que la estafa de pago ha pasado de afectar a las grandes empresas a captar a pequeñas y medianas empresas y distritos. ¿Por qué? Mientras que la percepción es que las grandes empresas desprotegidas pueden ocasionar la caída de una gran cantidad de dinero de una única vez a favor del estafador, la realidad es que las empresas más pequeñas y los distritos carecen habitualmente de los controles necesarios para prevenir las estafas. Por lo tanto, mientras que el monto sustraído cada vez puede ser más pequeño, el volumen ha hecho que se torne muy lucrativo para las personas sofisticadas que operan estos esquemas de estafa.
La clave para burlar a los estafadores es desarrollar un plan para su municipio que incluya un enfoque en capas para proteger los datos financieros. La capacitación de su personal cumple un papel importante en este proceso. Si bien es cierto que todos sabemos que los empleados no deberían estar "explorando la red" en horario de trabajo, ¿tienen conocimiento de que esta política existe para garantizar la seguridad del municipio tanto como la productividad? El malware diseminado por medio de un sitio web fraudulento o de un archivo adjunto a un correo electrónico abre la puerta a estafadores para que tomen el control de sus credenciales de banca en línea, sus cuentas bancarias y demás información del distrito o clientes almacenada en su sistema operativo.
Volver al papel no es necesariamente más seguro
A primera vista, la utilización de sistemas electrónicos como forma de realizar pagos puede parecer riesgosa. La reacción habitual es dejar de utilizar internet y regresar a los procesos manuales con cheques de papel.
Sin embargo, en contraposición, cuando confecciona un cheque y lo envía por correo, ¿a dónde va? Muchas veces los cheques son sustraídos del correo, duplicados y luego devueltos de forma tal que usted ni siquiera sepa que el sobre fue vulnerado. A lo largo del recorrido del cheque, la información al pie, que incluye el número de identificación bancario, el número de cuenta Y la firma, es vulnerable. Mientras que la cantidad de cheques se encuentra en disminución, la estafa con cheques continúa siendo la forma más común de estafa de pago en la actualidad.
No obstante, no es necesario que un estafador se tome el trabajo de duplicar o alterar su cheque para estafarlo. Mediante la utilización del número de cuenta y del número de identificación bancario del cheque robado, se puede extraer dinero de su cuenta en forma electrónica sin su autorización. Legalmente, los retiros ACH de una cuenta comercial no autorizados solo pueden reintegrarse durante las 24 horas transcurridas con posterioridad a la transacción. Si usted no verifica en forma regular la actividad diaria en su cuenta, esta ventana de 24 horas puede abrirse y cerrarse rápidamente. Asimismo, recuerde que si usted revisa su cuenta en línea hoy, puede ser que la actividad que verifica corresponda al día de ayer.
Precauciones sobre el procesamiento de las nóminas de pago
Los municipios que generan transacciones ACH para el depósito directo de la nómina de pago o de los pagos a proveedores se encuentran en riesgo de sufrir otro tipo de amenaza conocida como apropiación de cuenta corporativa. Otra vez, mediante la utilización de malware descargado en su sistema operativo a través de un enlace o sitio web infectado, los estafadores pueden robar sus credenciales de banca en línea y, sin otras protecciones, podrían generar un archivo de pago ACH desde su cuenta o manipular los datos dentro de su archivo legítimo. La autenticación basada en token, como técnica de seguridad que autentica a aquellos usuarios que intenten iniciar sesión por medio de una clave token insertada en un objeto, tal como un llavero, así como también control dual, han producido avances en materia de prevención, pero no son infalibles.
¿Es ese correo electrónico legítimo?
Aunque las amenazas descritas anteriormente se han vuelto moneda corriente en los últimos años, una de las formas de estafa que más ha aumentado es el compromiso de correo electrónico empresarial (Business Email Compromise, BEC). Las estafas BEC se enfocan en los sistemas de los correos electrónicos para engañar a los empleados a fin de que estos realicen pagos a cuentas fraudulentas. Por medio de intentos de phishing y otras búsquedas, los criminales obtienen la información necesaria para crear perfiles de ejecutivos, generalmente el director de finanzas u otra persona a cargo del manejo de las finanzas dentro de la empresa. El estafador analiza el correo electrónico que el ejecutivo blanco de la estafa envió con anterioridad para asegurarse de que sus correos electrónicos parezcan auténticos y, luego, envía su solicitud de correo electrónico cuando el ejecutivo se encuentra fuera de su oficina, lo que hace que su verificación sea difícil. Asimismo, estos correos electrónicos contienen lenguaje que sugiere que la transacción es confidencial y urgente. Este falso sentido de urgencia motiva a que el empleado actúe con celeridad y evita que validen la información. Dado que estos correos electrónicos se parecen a correos electrónicos enviados con anterioridad por el director de finanzas (CFO), se engaña fácilmente al empleado para que este realice el pago mediante el envío de la transferencia o el cumplimiento de otras formalidades.
Herramientas de prevención de estafas y mejores prácticas
¿Cómo proteger su municipio de estafas de pago electrónico? Desafortunadamente, no hay una fórmula milagrosa. La clave es utilizar varios métodos de protección diferentes. Si usted logra dificultar las cosas para el estafador, este buscará otra víctima. Algunas de las mejores prácticas en prevención de estafas en la actualidad van desde lo más básico hasta lo más avanzado, por ejemplo:
- Revise los datos de su cuenta todos los días y verifique las transacciones. Es bien sabido que los estafadores realizan pequeñas transacciones en dólares a modo de "prueba" como forma de determinar la facilidad de acceso a su cuenta.
- Utilice alertas como forma de notificarlo de transacciones puntuales en su cuenta, especialmente extracciones.
- Utilice una computadora especializada para todas las transacciones financieras. Teniendo en cuenta las observaciones anteriores sobre malware, si usted restringe las búsquedas en internet y no recibe correos electrónicos en su computadora, reducirá en forma significativa la oportunidad para que el estafador descargue el malware en su computadora con éxito.
- Utilice un sistema Bill Pay para empresas. Si usted no confecciona cheques, no habrá algo que robar, ¿verdad? Mediante el sistema Bill Pay, se envía el pago en forma electrónica al destinatario o, si es necesario un cheque en papel, su institución financiera se ocupa de su emisión. No incluye su número de identificación bancario, su número de cuenta o su firma, lo que hace que la confección de sus propios cheques sea una alternativa mucho más segura.
- Por último, considere la utilización de las herramientas que le ofrece su institución financiera, las cuales han sido diseñadas en forma específica con el objeto de prevenir las estafas electrónicas o con cheques. Aunque en la mayoría de los casos hay un costo mensual por Positive Pay y por bloques y filtros ACH, el monto total anual puede equipararse al de una póliza de seguro.
- Mientras tanto, usted podrá también verificar las pólizas de seguro de riesgo cibernético que le ofrece su aseguradora.
La prevención de la estafa de pago es una responsabilidad compartida, así que un buen plan de seguridad comienza al entender la naturaleza de los desafíos actuales para luego utilizar las herramientas y las mejores prácticas disponibles para protegerse.