Seleccione cada tema para

conocer más.
Ciberseguridad:
Amenazas de ciberseguridad Spear phishing
comunes: Phishing
Vulneración del correo electrónico empresarial (BEC)
Este documento contiene información clave
que necesitará para poder responder el cues-
tionario al final de esta viñeta. También puede “Vishing” y “Smishing”
descargar este documento.
Spear Phishing 2 de 5

El “Spear Phishing” es un intento selectivo por robar información delicada, como

credenciales de una cuenta o información financiera, de una víctima específica, a menudo
por motivos malintencionados. Esto se consigue al obtener los datos personales de
la víctima, como sus amigos, ciudad natal, empleador, lugares que frecuenta y qué ha
comprado recientemente por Internet. Esta información suele obtenerse de perfiles
de redes sociales mal protegidos. Los atacantes luego se disfrazan como un amigo o
entidad de confianza para obtener información confidencial, normalmente a través de
correo electrónico u otra mensajería en línea. Se trata de la forma más exitosa de obtener
información confidencial en Internet, la cual representa el 91 % de los ataques.

Volver al
menú
Vulneración del correo 3 de 5

electrónico empresarial (BEC)

Se trata de un tipo de “Spear Phishing” que se orienta en gran medida a empresas que realizan actividades de procesamiento de pago
regulares. Los criminales vulnerarán el sistema de correo electrónico de una empresa o utilizarán direcciones de correo electrónico de
aspecto similar y se harán pasar como el director general o un directivo para solicitar transferencias de dinero fraudulentas.

Algunos ejemplos de BEC son:

Fraude del director general: los atacantes se hacen pasar por el Director
general o cualquier alto ejecutivo y envían un correo electrónico a los
empleados para solicitarles que transfieran dinero a una cuenta que
controlan.

Robo de datos: los empleados del área de recursos humanos son el blanco
para obtener información de identificación personal (PII) o declaraciones de
impuestos de empleados y ejecutivos. Esos datos se pueden utilizar para
ataques futuros.

La estafa de las facturas falsas: las empresas que utilizan proveedores a

menudo son el blanco de esta táctica, en la que los atacantes pretenden ser
un proveedor que solicita transferencias de fondos por pagos a una cuenta
“nueva” que es propiedad de los estafadores.

Cambio en las instrucciones de pago: en este ataque, los estafadores

intentan cambiar el destino de los pagos que entran o salen de la cuenta de
un cliente. Por ejemplo, pueden intentar cambiar el número de cuenta de una
transferencia de dinero pendiente para que sea depositada en una cuenta a
la que los atacantes pueden acceder.

Volver al
menú
Vulneración del correo electrónico 4 de 5

empresarial (BEC)
Algunos ejemplos de BEC son:
Vulneración de la cuenta: la cuenta de correo electrónico de un ejecutivo o empleado es
vulnerada y utilizada para solicitar pagos de facturas a los proveedores que aparecen en los
contactos de sus correos electrónicos. Posteriormente, los pagos son enviados a cuentas
bancarias fraudulentas.

Suplantación de un abogado: los atacantes se hacen pasar por un abogado o alguien

perteneciente a un estudio de abogados que está supuestamente encargado de asuntos
cruciales y confidenciales.

Vulneración de la cuenta de un cliente: la cuenta de correo electrónico de un cliente es

vulnerada y utilizada para comunicarse con el personal del banco con el fin de acceder a
fondos o cometer otras formas de fraude.

Constantemente se están desarrollando nuevas formas de ataques BEC. Debido a que estas
estafas no suelen contener enlaces o anexos maliciosos pueden evadir las soluciones tradicionales
destinadas a atraparlas. Es importante que se mantenga atento cuando reciba una solicitud de
transferencia financiera. Siga siempre los procesos de verificación y procedimientos de devolución
de llamadas aprobados por Scotiabank. Sea siempre precavido y verifique cualquier solicitud de
transferencia de dinero o cambio en los datos de pago mediante otro método de contacto.
Si recibe un correo electrónico que cree que se trata de una estafa BEC, póngase en contacto con
el cliente directamente utilizando la información de contacto que Scotiabank tiene registrada. Si
descubre que se ha producido un intento de estafa BEC, póngase en contacto con la línea directa
de Control y seguridad de la información disponible las 24 horas del día llamando al
1-416-288-3568 o enviando un correo electrónico a

Volver al
menú
Vishing y Smishing 5 de 5

Vishing
El “Vishing” (Voice Phishing) es el equivalente telefónico del “phishing”.
Se describe como el acto de utilizar el teléfono para estafar al usuario
para que entregue información confidencial que se utilizará para
robar una identidad.

Smishing
El “Smishing” (SMS phishing) es otra forma de “phishing” que consiste
en que los criminales utilizan un mensaje de texto o SMS para intentar
obtener información confidencial del destinatario. Por ejemplo,
podría recibir un mensaje de texto que parece que proviene de su
banco o empresa de tarjeta de crédito solicitándole que confirme la
información sobre usted o su cuenta. Si alguna vez recibe un mensaje
como este, NO responda. En lugar de ello, póngase en contacto con su
banco o compañía de tarjeta de crédito por teléfono para confirmar si
el mensaje es legítimo o una estafa.

Consejos para identificar estafas de “phishing”:

Se solicita información
Tiene un remitente
personal (p. ej., contraseña,
desconocido que solicita Incluye enlaces sospechosos Tiene sentido de urgencia
número de tarjeta de crédito,
información personal
número de seguro social)

Incluye un URL que no

Presenta errores de ortografía Tiene anexos que usted no Utiliza un saludo genérico (p.
coincide con la organización
y/o gramática estaba esperando ej., Estimado cliente)
que hace el envío

Volver al
menú