Cómo prevenir los ataques al correo corporativo

El Business Email Compromise (BEC, por sus siglas en inglés), un ataque sofisticado de phishing que se basa en la suplantación de la identidad, se ha convertido en un asunto de gran criticidad para las organizaciones. Pero, ¿cómo prevenirlo? ¿es suficiente con formar a los empleados? En este artículo, abordamos algunas reflexiones y recomendaciones en esta materia

¿Por qué el BEC es un problema?

Los ataques BEC son sofisticadas estafas dirigidas a las personas desde direcciones de email que simulan ser legítimas y que solicitan una transferencia de dinero. Mientras que las estafas de ransomware ganan notoriedad en los medios de comunicación, los ataques BEC pasan prácticamente desapercibidos, a pesar de que pueden costar a una empresa miles, si no millones, de dólares al año. De hecho, un reciente informe del FBI señala que solo en 2020 los delitos BEC fueron el tipo de ciberataque más devastador desde el punto de vista financiero, tras generar pérdidas de casi 1.800 millones de dólares.

Estas estafas funcionan porque están dirigidas contra objetivos concretos, habitualmente empresas que realizan regularmente transferencias internacionales de grandes cantidades. A diferencia de los intentos de phishing aleatorios, que envían mensajes de forma indiscriminada, los ataques BEC están muy bien dirigidos, lo que les hace considerablemente más peligrosos.

Tipos de ataques BEC

Los ataques BEC utilizan una combinación de tácticas de phishing e ingeniería social para engañar al personal autorizado para que transfiera dinero al estafador. Estos ataques dirigidos suelen requerir un tiempo considerable para su planificación y pueden ser difíciles de detectar para el ojo inexperto. Las estafas BEC pueden adoptar muchas formas, lo que dificulta su identificación sistemática. Las seis modalidades más comunes son las siguientes:

1. La estafa de la factura falsa

Los estafadores envían una factura falsa haciéndose pasar por un proveedor conocido o un socio de confianza de la empresa objetivo. Suelen utilizar dominios parecidos para asemejarse a ese proveedor y la factura falsa contiene datos de cuenta bancaria incorrectos, para que el pago del importe llegue al atacante. En algunos casos, la factura también puede contener un keylogger, que es un sistema de monitoreo del sistema con el que el ciberdelicuente robará información confidencial de la empresa aprovechando el spyware que se instala maliciosamente en los dispositivos que utilizan los empleados a diario.

2. La estafa de la actualización de cuenta

Los ciberdelincuentes utilizan mensajes de phishing haciéndose pasar por un directivo de un proveedor de la empresa. Estos delitos suelen dirigirse al departamento de Contabilidad o de Recursos Humanos. La víctima cree que se trata de una persona real y actualiza sus datos bancarios con los del atacante. Esta táctica también se utiliza para suplantar la identidad de los empleados, donde el delincuente contacta con el departamento de Recursos Humanos y solicita que actualicen sus datos bancarios con los datos de la cuenta del atacante.

3. Ataques de transacciones

Los estafadores pueden sacar ventaja de la vulnerabilidad de las comunicaciones por correo electrónico para captar mensajes relativos a grandes transacciones, normalmente en el sector jurídico o inmobiliario. Aprovechan la información recopilada y envían un mensaje a la víctima desde una dirección falsa, alegando que los datos de la cuenta deben ser actualizados. El fraude suele producirse justo antes de que vaya a efectuarse una transacción y se realiza hacia el final del día. El estafador suele enviar la solicitud fraudulenta desde una cuenta que simula a la del beneficiario legítimo.

4. Estafas con tarjetas de regalo

En el ámbito del fraude empresarial, la técnica de phishing conocida como whaling (literalmente, caza de ballenas) consiste en que los cibercriminales se hacen pasar por un CEO o un directivo de alto nivel de la organización y, a través de correos electrónicos o SMS, piden a algún empleado que compre tarjetas regalos de plataformas online —como Google, Amazon, etc.— bajo la excusa de que se utilizarán como premio o regalo para los empleados, los clientes, etc. Una vez adquiridas, el falso directivo pide que se le faciliten sus datos o códigos de canje. De esta forma, los ciberatacantes se hacen con el importe asociado a esas tarjetas, pudiéndolas volver a vender en el mercado y recaudar así dinero en metálico o criptomoneda.

5. Estafa de pago por adelantado

En este caso, después de estudiar la empresa objetivo, el ciberdelicuente se hará pasar por un proveedor conocido y solicitará el pago por adelantado de un servicio o producto que todavía no fueron requeridos. El atacante puede utilizar presupuestos, facturas u otros documentos falsos para respaldar su solicitud de pago.

6. Estafa de cuentas por cobrar

En este tipo de ataque, el delincuente se hace pasar por un alto ejecutivo de la organización y hace una solicitud interna de informes de cuentas/facturas antiguas por cobrar. Una vez que tiene estos registros, utiliza la información para intentar cobrar los pagos pendientes a los clientes a través de otra estafa de phishing.

Cómo prevenir un ataque BEC

La mejor manera de combatirlos es, en primer lugar, prevenirlos. A continuación, explicamos las mejores vías para proteger a una organización de este tipo de estafas:

Añadir protección DMARC

El uso de autenticación DMARC (autenticación de mensajes, informes y conformidad basada en dominios, por sus siglas en inglés) para un dominio reduce drásticamente la exposición de la organización a los mensajes de phishing, los intentos de suplantación de identidad y el fraude. DMARC es completamente gratuito y ayuda a validar los emails a la vez que protege el negocio contra la suplantación de identidades. DMARC aúna dos tecnologías para proteger el dominio. En primer lugar, se utiliza un registro SPF (Sender Policy Framework) para que los demás sepan de qué servidor autorizado debe proceder el correo electrónico corporativo. En segundo lugar, la técnica de autenticación DKIM (Domain Keys Identified Mail), que valida los mensajes enviados para combatir los intentos de suplantación.

Utilizar los controles internos de cuentas.

Las políticas y procedimientos internos pueden reducir drásticamente el riesgo de ataques BEC, especialmente cuando se trata de fraude electrónico. Es preciso revisar o crear procedimientos que el personal deba llevar a cabo antes de mover dinero, cambiar datos de una cuenta o enviar información sensible.

Dar formación sobre phishing.

Las campañas de phishing pueden ayudar a entrenar al personal para que sea capaz de identificar los mensajes sospechosos mediante el envío de mensajes de phishing "de prueba" a su bandeja de entrada. Esta iniciativa, combinada con la formación continua, contribuye a reducir el riesgo de ataques BEC al tiempo que mejora el nivel de Seguridad de la empresa.

Marcar los emails como externos.

Los administradores del correo electrónico corporativo pueden crear una regla en el servidor de correo que etiquete los mensajes como externos. Esto ayuda al personal a identificar fácilmente cuando un mensaje proviene de fuera de la organización, sin tener que analizar la dirección de correo específica que aparece en el campo "De".

Autenticación multifactor (MFA).

Esta tecnología de Seguridad añade una capa adicional de protección al correo corporativo. La MFA funciona combinando credenciales independientes que mezclan al mismo tiempo factores de conocimiento (como el nombre de usuario y una contraseña) y factores de posesión (como los códigos de acceso OTS que se reciben a través una aplicación en el smartphone). Esto contribuye a prevenir el fraude, incluso cuando se roban las credenciales.

Cómo informar sobre un ataque BEC

Es muy importante tener interiorizado que ante cualquier sospecha de si se ha sido víctima de una estafa BEC, es necesario contactar de forma inmediata con el banco o proveedor para evitar que el ataque se propague aún más. Igualmente, hay que dar cuenta y compartir cuanto antes los detalles del mensaje con el departamento de TI para prevenir que la Seguridad de la organización se vea comprometida en el futuro.