La plataforma iLearningEngines, especializada en software de formación impulsado por inteligencia artificial, ha notificado un ciberataque que permitió a los ciberdelincuentes sustraer 250.000 dólares a través de un fraude conocido como Business Email Compromise (BEC). El incidente, que destaca la creciente amenaza de este tipo de ataques, pone de relieve los riesgos que enfrentan las empresas en la era digital.
La compañía, con sede en Estados Unidos, informó sobre el incidente en un documento 8-K presentado ante la Comisión de Bolsa y Valores de EE. UU. (SEC). Según la declaración, un atacante desconocido accedió ilegalmente a la red de iLearningEngines, redirigiendo una transferencia bancaria de 250.000 dólares y eliminando varios correos electrónicos. Aunque la compañía logró contener el ataque, los fondos robados no han podido ser recuperados.
El modus operandi apunta a un ataque de Business Email Compromise, un tipo de fraude en el que los atacantes manipulan o comprometen cuentas de correo electrónico corporativas para engañar a los empleados y lograr que envíen dinero a cuentas controladas por los ciberdelincuentes.
Impacto del ataque en iLearningEngines
Ante la brecha de seguridad, iLearningEngines activó su plan de respuesta cibernética. La compañía inició una investigación interna y contrató a una firma forense de prestigio nacional para evaluar el alcance del ataque. Aunque no se ha revelado cuándo ocurrió exactamente el incidente, la compañía ha confirmado que la situación está contenida.
El incidente ocurre en un momento crítico para iLearningEngines, que salió a bolsa en abril de 2024 y notificó ingresos de 135 millones de dólares en su último trimestre fiscal. La compañía ha declarado que este ciberataque tendrá un impacto material en sus operaciones durante el trimestre que finaliza el 31 de diciembre de 2024. En su comunicado, iLearningEngines ha reconocido que los gastos relacionados con la mitigación y recuperación podrían continuar acumulándose. Sin embargo, asegura que el impacto en sus resultados anuales será limitado.
Además de las pérdidas económicas directas cuando la empresa se encontraba en un buen momento financiero, el ataque podría generar otros problemas, como demandas, investigación sobre las medidas de seguridad y cambios en la confianza de los clientes e inversores.
Business Email Compromise: una amenaza creciente
El ataque sufrido por iLearningEngines no es un caso aislado. Los fraudes BEC se han convertido en una de las formas de cibercrimen más lucrativas y dañinas a nivel global. Según el FBI, este tipo de estafa generó pérdidas por 2.900 millones de dólares en 2023, afectando principalmente a empresas que realizan transferencias internacionales o gestionan pagos mediante sistemas de cámara de compensación automatizada (ACH). En España, un ataque a gran escala con este tipo de método afectó en 2023 hasta 36 empresas en una sola operación llevada a cabo por la Guardia Civil.
En un esquema típico de BEC, los atacantes estudian cuidadosamente a sus víctimas, identificando patrones de comunicación y detalles específicos de las transacciones financieras. Una vez obtenida la información necesaria, envían correos electrónicos que parecen legítimos para instruir a los empleados a transferir fondos a cuentas bajo su control.
Un contexto complicado para iLearningEngines
Este ciberataque se suma a otros desafíos recientes para la compañía. En los últimos meses, iLearningEngines ha enfrentado acusaciones de inflar artificialmente sus cifras de ingresos, lo que ha derivado en una demanda colectiva presentada por una firma de abogados. La empresa ha negado las acusaciones y ha defendido su trayectoria de innovación en automatización del aprendizaje empresarial.
El incidente también ha puesto en el punto de mira la capacidad de la empresa para proteger la información de sus clientes y garantizar la continuidad de sus operaciones en un mercado altamente competitivo.
Los ataques de BEC no solo afectan a grandes corporaciones; organizaciones pequeñas y medianas, e incluso instituciones educativas, han sido víctimas de este tipo de fraude.