Cuando hablamos de impacto financiero directo, el compromiso del correo electrónico empresarial (BEC) supera al resto de amenazas con cierto margen. En 2020, este tipo de ataque costó a las empresas más de 1.800 millones de dólares, es decir, la mitad de todas las pérdidas imputadas a la ciberdelincuencia. A pesar de ello, a menudo el BEC se malinterpreta, se categoriza erróneamente y se confunde con otras amenazas. Esto puede hacer más difícil conocer su verdadera magnitud y obstaculizar las estrategias de defensa puestas en marcha para proteger a nuestras organizaciones.  

BEC no debe utilizarse como una abreviatura general para cualquier tipo de amenazas por correo electrónico. Aunque cada ataque es único, la mayoría comparte un conjunto de características. Cuanto más sepamos sobre ellos, mejor podremos identificarlos, clasificarlos y, en última instancia, mantenerlos a raya.

Todo ataque BEC requiere una capa de engaño. Los estafadores utilizan una serie de técnicas a través de correo electrónico, desde comprometer cuentas legítimas hasta falsificar los dominios de proveedores y otros terceros. Luego, utilizan estas direcciones de email para suplantar a contactos de confianza y poner en marcha la ingeniería social, de forma que los empleados lleven a cabo una determinada acción. Y esta dependerá del tipo de ataque, aunque la mayoría implicará algún tipo de transacción financiera. Veamos algunas y cómo podemos abordarlas para mantener el BEC fuera del perímetro.

Fraude con las facturas

El fraude en la facturación se produce cuando un ciberdelincuente engaña a una organización para que pague por algo que no ha comprado o para que redirija un pago legítimo. Dado que las transacciones entre empresas pueden ser considerables y solicitarse con una fecha límite, este tipo de fraude es increíblemente común y caro.

Hay dos métodos estándar en un ataque de este tipo. Los ciberdelincuentes suplantan la dirección de correo electrónico de un proveedor para solicitar el pago o comprometen una cuenta de proveedor legítima y modifican la información de pago.

En algunos casos, interceptan hilos de correo electrónico legítimos entre una organización y un proveedor, observando e imitando el tono para introducir un correo ilegítimo en una conversación activa. Como los empleados desconocen por completo que están tratando con un impostor, el fraude en las facturas no suele detectarse hasta que los bienes o los pagos no llegan a los destinatarios legítimos. Para entonces, los fondos ya han desaparecido. 

Desvío de nóminas

El desvío de nóminas es una de las técnicas BEC más sencillas y eficaces. En este caso, la estafa consiste en engañar a una organización para que redirija los salarios de los empleados a la cuenta del atacante. Según el FBI, la pérdida media en una redirección de nóminas es de 7.904 dólares. Y con aproximadamente 2.000 intentos de ataque diarios, puede convertirse rápidamente en una fuente de ingresos bastante lucrativa.

En la mayoría de los casos, los ataques de redirección de nóminas se envían a través de servicios de correo electrónico gratuitos como Gmail, con el nombre de dominio falsificado para que sea similar al del empleado en cuestión. A continuación, se envía un correo electrónico desde estas direcciones solicitando un cambio de datos bancarios. Con los datos de pago cambiados, el salario va a la cuenta del atacante y, una vez más, es poco probable que suene la alarma hasta que el verdadero destinatario no reciba su dinero.

Fraude en el pago de anticipos

Los fraudes en el pago de anticipos son uno de los tipos más antiguos de estafa por correo electrónico. A menudo denominados erróneamente como “estafa nigeriana”, estos ataques han adquirido una reputación algo cómica debido a algunos casos de lo más extravagante ocurridos en los últimos años. Sin embargo, las consecuencias de ser víctima de esta amenaza son de todo menos graciosas.

En este caso, el ciberdelincuente pide a la víctima potencial una pequeña cantidad de dinero como anticipo para hacerle un pago mayor más adelante. El pago inicial se presenta como una ayuda para desbloquear una ganancia mucho mayor, que a menudo es una supuesta herencia o un premio de lotería.

Se sabe que los delincuentes que están detrás de estos ataques afirman ser descendientes de la realeza o formar parte de una organización gubernamental. Más recientemente, los atacantes han creado señuelos en torno al COVID-19 para obtener así respuestas de las víctimas, que están cansadas de la pandemia. La mayoría de los correos electrónicos de fraude por adelantado se envían a través de dominios falsificados o que se parecen a uno legítimo. 

Correos electrónicos de señuelos y tareas 

Este método de ataque es un poco diferente, ya que no es maligno en sí mismo, pero a menudo actúa como puerta de entrada para otras amenazas de esta lista. Aunque el objetivo final suele ser financiero, el objetivo inicial es simplemente llamar la atención de la víctima y medir su propensión a ser estafada.

La mayoría de estos correos electrónicos se envían desde nombres de dominio falsos, y los autores se hacen pasar por un contacto de confianza del destinatario. Los mensajes suelen ser cortos y directos, como “¿Estás disponible?” o “Necesito un favor rápido”. Si el destinatario responde de una manera que sugiere que ha mordido el anzuelo, los actores de la amenaza suelen pasar a solicitar dinero bajo el pretexto de una emergencia o una situación similar en la que el tiempo es importante.

Los fraudes por correo electrónico de este tipo están increíblemente extendidos, representando más de la mitad de todas las amenazas de fraude por correo electrónico en 2021.

Cómo ganar la batalla al BEC

Los ataques que he descrito se encuentran entre los más difíciles de detectar y defender. Están diseñados para introducirse en nuestro día a día con poco esfuerzo y a menudo no se detectan hasta mucho después de que la estafa se haya completado. Por ello, las herramientas de ciberseguridad tradicionales centradas en el perímetro y las gateways no son una protección adecuada por sí solas. Como la mayoría de las ciberamenazas modernas, BEC es un ataque directo a los trabajadores, no a la tecnología. Por lo tanto, para detenerlos se requiere una defensa centrada en las personas.

Un buen comienzo es establecer controles para supervisar el acceso a la red, autenticar los dominios y señalar las actividades sospechosas. Esto debe ir acompañado de una protección integral del correo electrónico diseñada para analizar y filtrar los mensajes maliciosos antes de que lleguen a la bandeja de entrada. Los procesos para verificar cualquier cambio en las transacciones financieras también son imprescindibles, con solicitudes verificadas a través de múltiples factores y nunca únicamente por correo electrónico.

Pero, sobre todo, su personal debe comprender la amenaza a la que se enfrenta. Esto significa poner en marcha un programa de formación en seguridad completo, continuo y adaptable. Cuanto más conscientes sean sus usuarios de la prevalencia y las posibles consecuencias de los BEC, menos probable será que caigan en las numerosas trampas tendidas por los tenaces y oportunistas delincuentes.

Con las herramientas y la formación adecuadas, puede convertir a sus usuarios en una última línea de defensa fuerte contra los ciberataques. Y con la amenaza de BEC que sigue aumentando, es una línea de defensa que será muy necesaria.

About Author

Fernando Anaya

Fernando Anaya es el responsable de desarrollo de negocio de Proofpoint para España y Portugal, donde la organización cuenta con una base sólida de clientes del entorno corporativo con los que lleva colaborando durante varios años. La presencia de Proofpoint en esta región ha alcanzado cierto grado de madurez y se encuentra actualmente en una fase de plena expansión. Desde su posición, Fernando Anaya será el encargado de dirigir la estrategia de crecimiento de Proofpoint en ambos países, así como lograr su consolidación definitiva dentro de estos mercados locales como una de las entidades expertas más innovadoras hoy en ciberseguridad y cumplimiento normativo del mundo. Cuenta con una experiencia profesional de 20 años en el sector, liderando proyectos relacionados con entornos de operador, infraestructura de seguridad y big data. En esta actual etapa como directivo en Proofpoint, su labor se centra en proteger los activos más valiosos en la actualidad para todo tipo de organizaciones: las personas; y, por tanto, garantizar la protección de los usuarios a la hora de utilizar el correo electrónico, la nube, los dispositivos móviles y las redes sociales en un escenario donde las reglas de la seguridad digital están en constante cambio. Previamente a su incorporación a Proofpoint, Fernando Anaya ha sido vicepresidente del área de ventas para EMEA de la compañía especializada en big data y transformación digital Logtrust (actualmente, Devo). También ha asumido diferentes responsabilidades en destacadas compañías de ciberseguridad, como Palo Alto Networks y TippingPoint, y operadores, como Verizon Business.

Deja un comentario