Fernando Anaya
- Country manager de Proofpoint
Los ataques conocidos como BEC (Business Email Compromise) o fraude del CEO, son unas de las amenazas más complejas y costosas del panorama de la ciberseguridad. Los ciberdelincuentes cuentan en la actualidad con numerosas técnicas para engañar a los usuarios y tener acceso a datos, sistemas u otros recursos esenciales para las organizaciones.
Se esconden detrás de una petición aparentemente rutinaria por correo electrónico: "hazme este pago", "transfiere el dinero a esta cuenta", "adjunto la nómina del empleado". Y aunque sigan unos patrones similares, no hay dos ataques iguales, puesto que el atacante se sirve de las particularidades de la víctima, en cuanto a personalidad y relación de confianza, para que sean difíciles de detectar y muy persuasivos.
Su éxito comprobado no ha hecho sino aumentar su frecuencia, explotando además la mayor dependencia en la tecnología por parte de empresas y usuarios particulares desde la pandemia.
Según un informe del FBI en 2020, la explosión de delitos en Internet ha generado pérdidas por valor de 1.800 millones de dólares entre las víctimas de fraudes por correo electrónico, lo que supone casi la mitad (44%) del total de pérdidas por ciberdelitos.
Pese a estas grandes cifras, los ataques BEC tienen la característica de estar muy dirigidos. Solo basta con enviar unos cuantos mensajes a un grupo reducido de usuarios, ya que eso ayudará a los ciberdelincuentes a pasar desapercibidos para muchas herramientas de seguridad.
Lo mismo exigen millones de euros a una multinacional, que puede pasar por una transacción de lo más habitual, o miles de euros a diferentes empleados, sin levantar sospechas, pero haciéndose con un cuantioso botín en poco tiempo. La buena noticia es que con una estrategia, medidas y perspectiva adecuadas se pueden manejar estas amenazas.
Así son las estrategias de engaño de los atacantes
Antes del ataque BEC, los ciberdelincuentes investigan a conciencia a sus empresas objetivo para identificar a las posibles víctimas. Para ello recurren a recursos públicos, como perfiles de usuario en LinkedIn, a fin de conocer quién puede tener acceso a datos y otros activos de interés, así como las relaciones de confianza con su círculo de trabajo más cercano. De esta forma, tendrán muchas más posibilidades de que los destinatarios de sus amenazas crean que los mensajes son legítimos.
El BEC utiliza varias técnicas para suplantar la identidad:
- Dominios parecidos: los ciberdelincuentes registran un dominio tan parecido al de confianza que genera confusión entre las víctimas.
- Falsificación del nombre mostrado: se usa en la mayoría de ataques BEC y consiste en tomar el nombre de algún directivo, proveedor u otra persona de confianza para que aparezca como remitente del correo electrónico malicioso.
- Suplantación de dominios: los atacantes usan el propio dominio de la compañía para enviar correos suplantando la identidad de algún empleado con el fin último de robar datos, dinero o introducir un malware o ransomware.
Adicionalmente a los ataques BEC, nos encontramos con los EAC (Email Account Compromise ) o compromiso de cuenta de correo, mediante el cual el atacante logra hacerse con nuestras credenciales de acceso a cuentas cloud, accediendo así a nuestro correo, agenda, contactos y almacenamiento cloud entre otros.
Ataques BEC más comunes
Solo se necesita que una táctica funcione, no probarlas todas. Los mensajes no contienen URLs maliciosas o malware, que son detectados por las herramientas de seguridad habituales. Los ataques BEC son sofisticados, complejos y lo único que necesitan los ciberdelincuentes es que la víctima no se dé cuenta de la suplantación que se ha producido.
Estos son los tres casos más frecuentes:
- Fraude de facturas de proveedores. Esta estafa es una de las que está más en auge, ya que atrae cantidades considerables de dinero. Los ciberdelincuentes fingen ser un socio proveedor para hacer que la empresa abone una factura falsa. La escasa visibilidad que tienen a veces las organizaciones de su cadena de suministro y partners juega en su contra; y los atacantes se aprovechan incluso inventándose pagos y nombres de proveedores.
- Desvío de nóminas y redirección de pagos. El atacante contacta con el departamento de la empresa encargado de las nóminas y pide actualizar los datos para el ingreso en su cuenta. Antes de que la víctima y el empleado suplantado lo noten, ya se ha hecho el pago y el ciberdelincuente lo ha retirado. Aunque pueda parecer fácil esta estafa, exige a los atacantes recopilar información sobre la empresa y sus contactos de recursos humanos o contabilidad, así como familiarizarse con el proceso de abono de facturas y nóminas propio de la empresa.
- Timos con tarjetas regalo. Una de las razones por las que este método tiene tirón es que sirve para blanquear dinero. Primero, el ciberdelincuente se hace pasar, por ejemplo, por un directivo de la empresa, y ordena la compra de estas tarjetas como obsequio para empleados o proveedores. La víctima envía los números o códigos de esas tarjetas y, posteriormente, los estafadores las utilizan para comprar y revender mercancía o descuentos por Internet, de modo que el dinero ya no puede recuperarse.
Bloquear la estafa antes de que llegue al correo
Las estrategias centradas en las personas implican, evidentemente, poner el foco en el usuario. Cada usuario es único y, por tanto, también lo es el valor que tiene para el ciberdelincuente. Para determinar su nivel de riesgo, conviene fijarse en sus hábitos y puntos débiles, los ataques a los que se puede enfrentar y los privilegios de acceso que le hacen más susceptible de convertirse en objetivo.
Es imperativo hacer más resilientes a las personas para que sean una sólida línea de defensa de sus organizaciones. Gracias a la concienciación en ciberseguridad, los usuarios podrán reconocer, rechazar y denunciar mensajes sospechosos.
Asimismo se descubrirá fácilmente entre qué empleados pueden funcionar mejor las tácticas BEC con el objetivo de ofrecerles una formación más específica sobre estas amenazas. Quienes conforman la cadena de suministro y el ecosistema de partners también son importantes, de ahí que sea necesario incrementar la visibilidad sobre ellos para conocer los riesgos de esa otra parte.
Sin olvidar que, para que funcione esta estrategia de ciberseguridad centrada en las personas, se necesita una barrera de defensa tecnológica pensada específicamente para ataques BEC, puesto que no son como otras amenazas, y requieren análisis dinámicos avanzados de mensajes y alerta permanente, entre otras características.
Las herramientas de aprendizaje automático pueden ser una buena opción, frente a las tradicionales, aunque deben aprender poco a poco de la experiencia y los datos sobre amenazas para mayor efectividad. Automatizar el análisis del correo electrónico ayuda a reaccionar más rápido y corregir estos incidentes.
Existen soluciones que permiten a los destinatarios reportar los mensajes en caso de sospecha. Tras su análisis y puesta en cuarentena o ser extraídos, si el usuario estaba en lo cierto, se le anima a que siga reportando amenazas.
Las estafas BEC engañan con esa sencillez del correo electrónico, pero son tremendamente dañinas. Aunque no llegasen a ocasionar pérdidas económicas, pueden acabar con la reputación de una empresa, erosionar la confianza de clientes y afectar el negocio de forma duradera. Por su naturaleza, no serán una tendencia pasajera en el panorama de amenazas y deben tenerse muy en cuenta a la hora de destinar recursos dentro de las organizaciones.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios