El cibercrimen como servicio dirigido al correo electrónico empresarial aumentó un 38 por ciento entre 2019 y 2022. Este tipo de ciberataques, denominados BEC por sus siglas en inglés (Business Email Compromise) suponen un coste de cientos de millones de euros para las compañías afectadas cuando se saldan con éxito. Así lo ha reflejado Microsoft en su último informe.
Dentro del ámbito de la ciberseguridad, esta amenaza destaca por su énfasis en la ingeniería social y el arte del engaño. Los ataques BEC no son un nuevo jugador, pero sí entran dentro de esa lista de amenazas que se renuevan constantemente. Y por tanto, no se apean de la lista de ciberataques más peligrosos.
Los ciberataques BEC llevados a la técnica
La Unidad de Delitos Digitales de Microsoft Threat Intelligence detectó e investigó, entre abril de 2022 y abril de 2023, 35 millones de intentos BEC, lo que equivale a un número diario de 156.000 ataques. A su vez, en el mismo espacio temporal, la compañía realizó 417.678 eliminaciones únicas de URL de phishing, detectando, además, nuevas tácticas con las que este tipo de ataques podrían realizarse a escala industrial.
Los medios habituales de ataques BEC son el correo electrónico, los mensajes de texto o las llamadas telefónicas. Sin embargo, la suplantación de mensajes de solicitud de autenticación y la suplantación de identidad de individuos y empresas también son jugadas frecuentes.
En lugar de explotar vulnerabilidades en dispositivos sin parches, los ciberdelincuentes BEC buscan explotar la gran cantidad de tráfico diario de correo electrónico y otros mensajes para atraer a las víctimas. Así se abre la posibilidad de engañar a algunas y conseguir que proporcionen datos financieros o incluso que envíen fondos, sin saberlo, a cuentas de mulas de dinero que ayudan a los delincuentes a realizar transferencias de dinero fraudulentas.
Consejos de protección
Para paliar el número de estos ciberataques, Microsoft ha elaborado una lista de consejos a tener en cuenta para evitar las amenazas BEC. En primer lugar, señalan maximizar la configuración de seguridad y utilizar un solución de correo electrónico segura, como requerir de un código PIN o huella digital para iniciar sesión. A continuación, recomiendan utilizar identidades seguras para prohibir el movimiento lateral y el uso de sistemas Zero Trust para controlar el acceso a aplicaciones y servicios.
Como tercer consejo, destacan adoptar una plataforma de pago segura, así como llevar a cabo los pagos mediante un sistema diseñado específicamente para autenticarlos. Y por último, ponen en relieve la importancia de capacitar y educar en materia de ciberseguridad a los empleados de las compañías para detectar indicios de posibles ataques.
No en vano, las viejas técnicas de engaño en la Red, como el phishing y demás métodos de ingeniería social, se mantienen en las listas de ciberataques más temidos y recurrentes de la actualidad.
Archivado en:
