[19/08/2020] El día de ayer, Seidor Technologies realizó el webinar "Cómo proteger a su empresa del fraude por correo electrónico”, un encuentro virtual en el cual Andrés Bore, America/Latam sales engineer de proofpoint, mostró los tipos de peligros que amenazan a las empresas a través del correo electrónico, y las opciones que se encuentran disponibles para defenderse de éstas. La reunión estuvo dirigida por Sara Ugarte, gerente de Línea de Ciberseguridad en Seidor Technologies.
Lo primero que se debe de comprender es que, básicamente, existen dos tipos de ataque por correo electrónico, los BEC y los EAC, y lo que éstos básicamente buscan es lograr que un criminal se haga pasar por una persona de confianza de una empresa para extraer información o incluso dinero de ella. Como ejemplo de este tipo de ataques, Bore mostró lo ocurrido con el gobierno de un condado de Carolina del Norte, el cual transfirió 2,5 millones de dólares a la cuente de un ciberdelincuente que se hizo pasar por un funcionario de la organización.
De hecho, ese ataque es solo un ejemplo de las grandes dimensiones que tiene esta modalidad de cibercrimen. De acuerdo con Bore, las pérdidas directas mundiales por este tipo de ataque llegan a más de 26,2 mil millones de dólares entre junio del 2016 y julio del 2020, y solamente el año pasado se registraron pérdidas por 1,7 mil millones de dólares, de acuerdo con las cifras que maneja el FBI.
Entonces, ¿qué son los ataques BEC y EAC? En el Business Email Compromise (BEC) el atacante pretende ser el usuario legítimo de un correo electrónico, mientras que en el Email Account Compromise (EAC) el atacante se convierte en el usuario de esa cuenta.
En el BEC, a su vez, se pueden usar tres modalidades. Una es la suplantación de dominio, la otra es la suplantación del nombre de usuario, y la tercera es presentar un dominio similar al verdadero. Por su lado, el EAC busca apropiarse de una cuenta al engañar a su propietario y esto lo consigue mediante técnicas tan conocidas como el phishing o el malware.
Además, hay que tomar en cuenta que el área de ataque para un hacker puede ser amplia, ahora se puede llegar a las personas a través del correo corporativo, del correo personal, de aplicaciones de nube, de la web e incluso a través de los proveedores.
Andrés Bore, America/Latam sales engineer de proofpoint.
Por ejemplo, en el caso de las plataformas de ofimática Office 365 y G-Suite se puede encontrar que el 93% de las organizaciones están siendo atacadas, el 57% de las organizaciones tienen cuentas comprometidas, el 6% de las organizaciones tienen cuentas VIP comprometidas, y el 12% de las organizaciones tienen aplicaciones maliciosas de terceros. Además, indicó Bore, el 25% de la actividad con los archivos tienen permisos de uso compartido "excesivos”.
¿Cómo es que se llega a este estado? Hay varias formas. Una de las mostradas por Bore es muy sencilla, simplemente se puede ingresar a la analítica de un usuario de ofimática, y ahí se encontrarán las personas con las que más interactúa el usuario. Alguna de esas personas podría tener bajas las defensas o ser un usuario externo que no tiene los mismos niveles de protección que le ofrece la organización al usuario objetivo. Así se llega.
Entonces, ¿qué hacer? En el caso del BEC se debe tomar medidas de seguridad en el proceso de autenticación de las personas y proteger los gateways; mientras que en el caso del EAC la seguridad se debe enfocar en las aplicaciones de nube y el acceso a la Web.
Cómo lo hace proofpoint
El socio de Seidor Technologies, proofpoint, previene las amenazas de diversas maneras. Como señaló Bore, detecta y bloquea los correos electrónicos del impostor y el phishing con un clasificador que dinámicamente clasifica nuevas formas de estas amenazas; previene la suplantación y uso fraudulento del dominio mediante el empleo de la autenticación con DMARC; protege contra tácticas comunes de BEC, tales como suplantación de dominio, nombre de usuario y uso de dominios similares; finalmente, resguarda la reputación de la marca, protegiendo a sus clientes y socios de negocios.
En el caso de la clasificación de un usuario como impostor proofpoint, dijo Bore, usa una técnica distinta a la de otros proveedores que usan un enfoque tradicional con silos de inteligencia y sistemas entrenados mediante correos de prueba; proofpoint usa stateful composite scoring services (SCSS) en la que se examina los encabezados del correo, la reputación del origen, la relación entre el origen y el destinatario y el propio contenido.
Además, Bore recomendó insistentemente en que es una buena práctica autentificar el correo mediante el uso de DMARC.
Finalmente, Bore recomendó entrenar a los usuarios a detectar las amenazas a su correo electrónico. Esto se logra educando a los usuarios en tácticas de phishing y engaño de identidades con ejemplos de la vida real; ajustar el programa de sensibilización de usuarios para integrarse a los procesos internos de la compañía; afinar los reportes de usuarios finales y la respuesta del equipo de seguridad ante los ataques de phishing; y proporcionar entrenamiento de contraseñas a los usuarios finales, para reducir el riesgo de EAC.
Jose Antonio Trujillo, CIO Perú