Las autoridades de Portland, Oregon, están investigando un incidente de ciberseguridad que resultó en una transacción fraudulenta de $1.4 millones USD de las cuentas públicas. La evidencia preliminar indica que un actor no autorizado logró acceder a una cuenta email de la ciudad de Portland con fines maliciosos, engañando a un empleado para transferir dinero a una cuenta de terceros.
En su reporte, la administración pública afirmó que se activó un protocolo de respuesta a incidentes inmediatamente después de detectar la intrusión, en un intento de interrumpir cualquier actividad cibercriminal relacionada y recolectar toda la información posible sobre el ataque.
Según lo mencionado por las autoridades, especialistas en ciberseguridad creen que todo podría estar relacionado a un ataque de compromiso de email empresarial (BEC). Este ataque ha existido por largo tiempo, aunque desde hace algunos se ha convertido en una de las principales tendencias del mundo cibercriminal.
El Buró Federal de Investigaciones (FBI) emitió un informe sobre la práctica del BEC, mencionando que las pérdidas relacionadas con esta variante de fraude alcanzaron los $43 mil millones USD entre 2016 y 2021, con casi 250,000 incidentes reportados en todo el mundo.
Las administraciones locales en E.U. son víctimas frecuentes de estos incidentes. En 2019, por ejemplo, la ciudad de Erie, Colorado sufrió pérdidas millonarias después de que un estafador envió una falsa solicitud de pago por servicios a través de un formulario en línea, comprometiendo la continuidad de algunos proyectos de infraestructura pública en el estado.
Ese mismo año, las Escuelas Públicas de Portland estuvieron a punto de perder más de $3 millones USD en una campaña fraudulenta en la que los cibercriminales se hicieron pasar por un grupo de contratistas. Aunque la transferencia bancaria fue completada por el personal público de Portland, autoridades locales y empleados bancarios identificaron indicios de un posible fraude, permitiendo recuperar los fondos comprometidos.
Aunque sí es posible recuperar el dinero perdido en una estafa BEC, las autoridades de Oregon no compartieron información al respecto, sin mencionar que los pronósticos no son muy optimistas. Wu-chang Feng, profesor de informática en la Portland State University, menciona: “El incidente fue detectado un mes después, así que el dinero ya debe haber sido transferido a miles de cuentas bancarias bajo control de los hackers; sería difícil tratar de rastrearlo después de tanto tiempo”.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.