[06/08/2021] El business email compromise (BEC) define los ciberataques dirigidos, por medio de correo electrónico, que buscan engañar a las víctimas para que expongan el acceso a la información/sistemas de la empresa, entreguen dinero o realicen otros actos que afecten negativamente al negocio. En comparación con los correos electrónicos aleatorios de phishing estándar, los ataques BEC cuentan con más investigación y diseño. Con frecuencia, tienen objetivos específicos, redacción personalizada y gramática correcta, así como instrucciones aparentemente genuinas -pero realizadas en momentos críticos- que mejoran su credibilidad frente a los destinatarios.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"A pesar de que los titulares recientes en los medios están dominados por el ransomware, es importante no olvidar la amenaza a la seguridad que aún representan los ataques BEC”, comenta Jed Kafetz, jefe de pruebas de penetración en Redscan. "Siguen siendo un vector muy popular utilizado por los ciberdelincuentes y son cada vez más difíciles de detectar”.
Estadísticas de BEC
Según el Internet Crime Report del 2020, realizado por el FBI, se presentaron 19.369 quejas de BEC en el 2020, lo que dio como resultado pérdidas de 1,8 mil millones de dólares. Aunque, en comparación con el año anterior, esto representó una disminución del 19% en las víctimas de BEC, la cantidad total perdida aumentó 5% con respecto al año pasado, y la pérdida promedio por víctima aumentó 29% con respecto al año pasado.
¿Cuál es el objetivo principal de los ataques BEC?
Al igual que con todos los ataques de phishing, el objetivo de BEC es engañar a las personas para que crean que han recibido un correo electrónico legítimo, relacionado con la empresa, y convencerlas de que hagan algo que creen que es bueno o necesario para la empresa.
Cómo funciona un ataque BEC
Hace unos años, cuando BEC saltó a la fama por primera vez, el método de ataque 'estándar' se centró en falsificar la dirección de correo electrónico de un ejecutivo de la alta gerencia -a menudo el CEO- y enviar una solicitud de pago urgente, a alguien del departamento de finanzas, para una transferencia de fondos a la cuenta bancaria de un "proveedor” de confianza. Aunque esto representaría un proceso de pago inusual, fuera de los procedimientos estándar, la combinación de la dirección de correo electrónico aparentemente genuina, la redacción personalizada (por ejemplo, el nombre) y una nota rápida como "aunque no es nuestra práctica habitual, debido a un error imprevisto, este pago fracasó y debe pagarse de inmediato” crearía, con bastante facilidad, un escenario lo suficientemente convincente como para ser procesado. Por supuesto, la cuenta pertenece al defraudador y, al dedicar tiempo a investigar al ejecutivo de la alta gerencia, a su colega de finanzas e incluso al proveedor, el atacante podría generar una considerable suma de dinero. Una vez que se realiza el pago, el dinero es muy difícil de rastrear y recuperar, y normalmente termina en el bolsillo del estafador. Con el tiempo, los ataques BEC se han desarrollado en línea con las tendencias para volverse más diversos e inteligentes a medida que los atacantes continúan persiguiendo y explotando objetivos específicos relacionados con el negocio para obtener ganancias maliciosas.
Cómo está evolucionando BEC
"Los empleados que trabajan en departamentos de finanzas todavía tienden a correr el mayor riesgo de ser blanco de ataques BEC, pero los ataques contra equipos de TI, recursos humanos y ventas también son cada vez más comunes”, afirma Kafetz. Señala que los ataques BEC ahora, con frecuencia, aprovechan la infraestructura y los servicios basados en la nube para alojar páginas de destino diseñadas con el fin de atraer a los objetivos a revelar las credenciales de las contraseñas. "Los atacantes saben que los servicios confiables, como SharePoint, pueden resultar difíciles de bloquear, por lo que se enfocan en garantizar que los correos electrónicos y las cargas útiles que los acompañan puedan evadir las políticas del firewall”, señala Kafetz. "Una vez que han logrado comprometer los buzones de correo, los atacantes actúan lenta y metódicamente para evitar despertar sospechas. Para espiar a sus objetivos, a menudo crean reglas de correo electrónico que envían automáticamente copias de las comunicaciones a una bandeja de entrada de terceros, información que se utiliza para inspirar solicitudes fraudulentas”.
Ha habido un avance notable en la forma en la que los estafadores recopilan y usan información en los ataques BEC, afirma Jack Chapman, vicepresidente de inteligencia de amenazas en Egress. "La inteligencia de código abierto es una mina de oro para los atacantes que buscan crear campañas de correo electrónico BEC muy sofisticadas. Ha habido un gran aumento en la información disponible sobre individuos y organizaciones en línea, y los atacantes pueden acceder fácilmente a ella a través de las plataformas de redes sociales y las páginas web de las empresas”.
Lo que hace que esta tendencia sea aún más preocupante es cómo los atacantes ahora combinan esta información con herramientas de automatización avanzadas, agrega Chapman. "Esta poderosa combinación permite a los hackers crear campañas de correo electrónico automatizadas que utilizan información personal y tácticas de ingeniería social para crear ataques devastadores y muy sofisticados contra las organizaciones y las personas que las integran”.
La pandemia de la COVID-19, y el cambio resultante al trabajo remoto, también ha tenido un impacto notable en las tendencias actuales de los ataques BEC, agrega Brian Honan, fundador de BH Consulting. "Ya que mucha gente está trabajando de forma remota, los delincuentes están utilizando servicios de correo electrónico personal para hacerse pasar como parte del personal. De esta manera, hacen que los cambios en las solicitudes de nómina, o cuentas por pagar, así como otros detalles de la cuenta bancaria para el pago de salarios o gastos, no levanten sospechas”, agrega Honan. "También están utilizando este método para hacerse pasar por pequeñas empresas que abastecen a organizaciones más grandes. Hemos visto a los delincuentes utilizar el pretexto de que no se puede acceder al servidor de correo electrónico de la pequeña empresa de forma remota, por lo que están utilizando direcciones de correo electrónico personales”.
De hecho, algunos delincuentes se han vuelto tan intuitivos para robar dinero rápido que están falsificando correos electrónicos destinados a pedirles a sus colegas desprevenidos que compren tarjetas de regalo y les envíen los detalles para transmitirlos al personal o los clientes como recompensas o señales de agradecimiento, lo cual no puede transmitirse en persona debido al distanciamiento social, afirma Honan. "Piden que se compren tarjetas físicas en lugar de virtuales, ya que las virtuales se pueden cancelar más rápido. Se le pide a la víctima que envíe fotografías del anverso y reverso de la tarjeta, con el número CVV expuesto, para que el delincuente pueda usarlas por sí mismo”.
El impacto de los ataques BEC
No existe un límite para la cantidad de estragos que un ataque BEC puede generarle a una organización. Sin embargo, su propósito puede no limitarse a robar fondos, advierte Jason Soroko, CTO de Sectigo. "En ocasiones, los delincuentes pueden implementar sofisticados ataques BEC para obtener acceso a secretos competitivos, que luego venden al mejor postor. Peor aún, podrían estar implementando tácticas BEC para ingresar al sistema y plantar malware, algo que podría hacer que todo el sistema se caiga, generándole a la empresa graves pérdidas, tanto financieras como en términos de confianza del cliente, e incluso impacto en el cumplimiento”, afirma Soroko.
Cómo evitar los ataques BEC
El daño financiero, así como a la reputación, que los ataques BEC pueden infligir debería servir como claros incentivos para que las organizaciones cuenten con estrategias preventivas y de mitigación efectivas. Para Chapman, esto requiere un enfoque doble que combine tecnología avanzada y educación a los empleados.
"Muchas organizaciones aún confían en tecnología previa, como las pasarelas de correo electrónico seguras o en herramientas más nuevas que dependen únicamente de la tecnología de gráficos sociales, las cuales son inadecuadas cuando las campañas son muy sofisticadas”, afirma Chapman. "Más bien, las organizaciones deben contar con soluciones de seguridad de capa humana, que se construyan sobre modelos de confianza cero y utilicen análisis lingüísticos, así como el aprendizaje automático y gráficos sociales, para evitar los ataques más avanzados”. También recomienda educar a los empleados sobre los peligros de compartir datos libremente en línea, cómo detectar ataques BEC y las últimas tácticas que están usando los atacantes.
Kafetz aboga por el uso de la autenticación de factor múltiple (MFA), especialmente en los tipos de cuentas clave a las que apuntan los atacantes BEC. "La MFA es relativamente fácil de implementar y es un control importante si se roban las contraseñas de los usuarios”, afirma. "Además, si bien puede parecer anticuado, tener procesos manuales para verificar las solicitudes de pago es otra salvaguarda importante que pocas empresas aplican de manera constante. Dado que no siempre es inmediatamente obvio para el destinatario que una comunicación BEC es maliciosa, llamar a alguien para confirmar un pago o un cambio en los detalles de la cuenta bancaria ayudará inmediatamente a identificar y cerrar cualquier intento de estafa”.
La firma de correo electrónico es otra técnica que puede resultar eficaz contra los ataques BEC, afirma Soroko, porque muestra de manera clara de dónde vino realmente el correo electrónico y garantiza que el contenido del correo electrónico no haya cambiado. "La tecnología detrás de la firma de correo electrónico ha recorrido un largo camino en poco tiempo y ahora se necesita aprender cómo se la puede utilizar de formas que no se podía en el pasado”, señala Soroko, y agrega que la capacitación, aunque es necesaria, no es suficiente por sí sola. "Esa es una de las razones por las que una capa de seguridad, como la firma de correo electrónico, es importante, porque puede incluirse en la capacitación y convertirse en parte de la promoción de conductas seguras.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú
Puede ver también: