Opinión
Paolo-cappello-helpsystems
Paolo Cappello General Manager HelpSystems International

Anatomía de los ataques al correo electrónico

ataques BEC_ciberataques correo electrónico

Los ataques BEC (Business Email Compromise) son sofisticadas estafas dirigidas a las personas desde direcciones de email que simulan ser legítimas y que solicitan una transferencia de dinero. Mientras que las estafas de ransomware ganan notoriedad en los medios de comunicación, los ataques BEC pasan prácticamente desapercibidos, a pesar de que pueden costar a una empresa miles, o incluso millones, de dólares al año. De hecho, un reciente informe del FBI señala que solo en 2020, estos delitos fueron el tipo de ciberataque más devastador desde el punto de vista financiero, tras generar pérdidas de casi 1.800 millones de dólares.

Estas estafas funcionan porque están dirigidas contra objetivos concretos; habitualmente empresas que realizan regularmente transferencias internacionales de grandes cantidades. A diferencia de los intentos de phishing aleatorios, que envían mensajes de forma indiscriminada, los ataques BEC están muy bien dirigidos, lo que les hace considerablemente más peligrosos.

Los ataques BEC utilizan una combinación de tácticas de  phishing e ingeniería social para engañar al personal autorizado para que transfiera dinero al estafador. Estos ataques dirigidos suelen requerir un tiempo considerable para su planificación y pueden ser difíciles de detectar para el ojo inexperto. Las estafas BEC pueden adoptar muchas formas, lo que dificulta su identificación sistemática. Las seis modalidades más comunes son las siguientes:

  1. La estafa de la factura falsa: Los estafadores envían una factura falsa haciéndose pasar por un proveedor conocido o un socio de confianza de la empresa objetivo. Suelen utilizar dominios parecidos para asemejarse a ese proveedor y la factura falsa contiene datos de cuenta bancaria incorrectos, para que el pago del importe llegue al atacante. En algunos casos, la factura también puede contener un keylogger, que es un sistema de monitoreo del sistema con el que el ciberdelincuente robará información confidencial de la empresa aprovechando el spyware que se instala maliciosamente en los dispositivos que utilizan los empleados a diario.
  1. La estafa de la actualización de cuenta: Los ciberdelincuentes utilizan mensajes de phishing haciéndose pasar por un directivo de un proveedor de la empresa. Estos delitos suelen dirigirse al departamento de Contabilidad o de Recursos Humanos. La víctima cree que se trata de una persona real y actualiza sus datos bancarios con los del atacante. Esta táctica también se utiliza para suplantar la identidad de los empleados, donde el delincuente contacta con el departamento de Recursos Humanos y solicita que actualicen sus datos bancarios con los datos de la cuenta del atacante.
  1. Ataques de transacciones: Los estafadores pueden sacar ventaja de la vulnerabilidad de las comunicaciones por correo electrónico para captar mensajes relativos a grandes transacciones, normalmente en el sector jurídico o inmobiliario. Aprovechan la información recopilada y envían un mensaje a la víctima desde una dirección falsa, alegando que los datos de la cuenta deben ser actualizados. El fraude suele producirse justo antes de que vaya a efectuarse una transacción y se realiza hacia el final del día. El estafador suele enviar la solicitud fraudulenta desde una cuenta que simula a la del beneficiario legítimo.
  1. Estafas con tarjetas de regalo: En el ámbito del fraude empresarial, la técnica de phishing conocida como whaling (literalmente, caza de ballenas) consiste en que los cibercriminales se hacen pasar por un CEO o un directivo de alto nivel de la organización y, a través de correos electrónicos o SMS, piden a algún empleado que compre tarjetas regalos de plataformas online —como Google, Amazon…— bajo la excusa de que se utilizarán como premio o regalo para los empleados, los clientes, etc. Una vez adquiridas, el falso directivo pide que se le faciliten sus datos o códigos de canje. De esta forma, los ciberatacantes se hacen con el importe asociado a esas tarjetas, pudiéndolas volver a vender en el mercado y recaudar así dinero en metálico o criptomoneda.
  1. Estafa de pago por adelantado: En este caso, después de estudiar la empresa objetivo, el ciberdelincuente se hará pasar por un proveedor conocido y solicitará el pago por adelantado de un servicio o producto que todavía no fueron requeridos. El atacante puede utilizar presupuestos, facturas u otros documentos falsos para respaldar su solicitud de pago.
  1. Estafa de cuentas por cobrar: En este tipo de ataque, el delincuente se hace pasar por un alto ejecutivo de la organización y hace una solicitud interna de informes de cuentas/facturas antiguas por cobrar. Una vez que tiene estos registros, utiliza la información para intentar cobrar los pagos pendientes a los clientes a través de otra estafa de phishing.

La prevención

La mejor manera de combatir este tipo de ataques es, en primer lugar, prevenirlos. A continuación, explicamos las mejores vías para proteger a una organización de este tipo de estafas:

  • Añadir protección DMARC: El uso de DMARC (autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés) para un dominio reduce drásticamente la exposición de la organización a los mensajes de phishing, los intentos de suplantación de identidad y el fraude. DMARC es completamente gratuito y ayuda a validar los email a la vez que protege el negocio contra la suplantación de identidades. No en vano, aúna dos tecnologías para proteger el dominio. En primer lugar, se utiliza un registro SPF (Sender Policy Framework) para que los demás sepan de qué servidor autorizado debe proceder el correo electrónico corporativo. Y en segundo lugar, la técnica de autenticación DKIM (Domain Keys Identified Mail), que valida los mensajes enviados para combatir los intentos de suplantación.
  • Utilizar los controles internos de cuentas: Las políticas y procedimientos internos pueden reducir drásticamente el riesgo de ataques BEC, especialmente cuando se trata de fraude electrónico. Es preciso revisar o crear procedimientos que el personal deba llevar a cabo antes de mover dinero, cambiar datos de una cuenta o enviar información sensible.
  • Dar formación sobre phishing: Las campañas de phishing pueden ayudar a entrenar al personal para que sea capaz de identificar los mensajes sospechosos mediante el envío de mensajes de phishing «de prueba» a su bandeja de entrada. Esta iniciativa, combinada con la formación continua, contribuye a reducir el riesgo de ataques BEC al tiempo que mejora el nivel de seguridad de la empresa.
  • Marcar los email como externos: Los administradores del correo electrónico corporativo pueden crear una regla en el servidor de correo que etiquete los mensajes como externos. Esto ayuda al personal a identificar fácilmente cuando un mensaje proviene de fuera de la organización, sin tener que analizar la dirección de correo específica que aparece en el campo «De».
  • Autenticación multifactor (MFA): Esta tecnología de seguridad añade una capa adicional de protección al correo corporativo. La MFA funciona combinando credenciales independientes que mezclan al mismo tiempo factores de conocimiento (como el nombre de usuario y una contraseña) y factores de posesión (como los códigos de acceso OTS que se reciben a través una aplicación en el smartphone). Esto contribuye a prevenir el fraude, incluso cuando se roban las credenciales.

Dar cuenta del ataque

Es muy importante tener interiorizado que ante cualquier sospecha de haber sido víctima de una estafa BEC es necesario contactar de forma inmediata con el banco o proveedor para evitar que el ataque se propague aún más. Igualmente, hay que dar cuenta y compartir cuanto antes los detalles del mensaje con el departamento de TI para prevenir que la seguridad de la organización se vea comprometida en el futuro.