Un tribunal estadounidense ha declarado culpable a un ciudadano nigeriano de cargos relacionados con una estafa de compromiso de correo electrónico comercial (BEC) por valor de 1,5 millones de dólares y, como consecuencia, podría afrontar el resto de su vida en prisión. Ebuka Raphael Umeti, de 35 años, fue condenado la semana pasada por un jurado federal en Alexandria, Virginia, por operar un plan que se aprovechaba de víctimas en los Estados Unidos y otros lugares. Según las pruebas presentadas ante el tribunal, Umeti y dos cómplices se abrieron paso con engaños hasta las cuentas de correo electrónico de las empresas y accedieron a información confidencial. Luego, esta información se utilizó para engañar a las empresas víctimas para que transfirieran grandes cantidades de dinero. Al hacerse pasar por remitentes confiables, como un banco o un proveedor, se alega que Umeti y sus cómplices atacaron y piratearon numerosas organizaciones en los Estados Unidos para obtener ganancias sustanciales. cantidades. Esto supuestamente incluyó el desvío de 571.000 dólares de un mayorista de Nueva York y 400.000 dólares de un proveedor de metales de Texas. Umeti y sus presuntos cómplices, Franklin Ifeanyichukwu Okwonna de Nigeria y Mohammed Naji Mohammedali Butaish de Arabia Saudita, utilizaron una combinación de ataques de phishing y malware para obtener acceso remoto no autorizado a computadoras comprometidas dentro de las empresas objetivo. Umeti y Okwonna fueron arrestados en Nairobi en junio de 2023 después de que las autoridades estadounidenses solicitaron su extradición de Kenia, después de estar prófugos durante casi un año. Está previsto que Umeti sea sentenciado el 27 de agosto de 2024, y enfrenta una pena máxima de hasta 102 años de prisión por cargos que incluyen conspiración para fraude electrónico, daño intencional a una computadora protegida y múltiples cargos de fraude electrónico. Sin embargo, es poco probable que reciba una sentencia tan larga. Franklin Ifeanyichukwu Okwonna, de 34 años, se declaró culpable el 20 de mayo de su participación en el plan y su sentencia está prevista para septiembre. Butaish, que aún no ha sido juzgado, es con sede en Arabia Saudita y supuestamente se involucró por primera vez en el plan en 2020 cuando se dice que ayudó en la creación de malware. Arabia Saudita, a diferencia de Kenia, no tiene un acuerdo de extradición con los Estados Unidos de América, lo que significa que es muy posible que los investigadores estadounidenses no puedan probar su caso contra Butaish. La vulneración del correo electrónico empresarial es una de las mayores amenazas a la seguridad a las que se enfrentan las organizaciones. A principios de este año, el último informe anual del FBI sobre el estado del delito cibernético describió cómo BEC eclipsó las pérdidas causadas por el ransomware, que a menudo acaparan los titulares, y representó la asombrosa cantidad de 2.700 millones de dólares en pérdidas en 2022. Todas las organizaciones deberían implementar capacitación para que los empleados ayudarlos a estar en guardia contra las técnicas utilizadas por los ciberdelincuentes, incluidos los ataques de compromiso de correo electrónico empresarial. Además, las empresas harían bien en introducir procesos para que se requiera aprobación adicional de los ejecutivos antes de realizar grandes pagos a proveedores y contratistas.