El Business Email Compromise (BEC), también conocido como fraude del CEO, es un tipo de ataque de phishing en el que un ciberdelincuente se hace pasar por un ejecutivo de alto nivel para convencer a un empleado, cliente o proveedor de que transfiera dinero a una cuenta fraudulenta o revele información sensible.

Al comprometer las cuentas de correo electrónico oficiales, los delincuentes pueden controlar la actividad en línea y determinar quién tiene las credenciales para iniciar transferencias de dinero. En la mayoría de los casos, los atacantes se hacen pasar por el director general, el director financiero u otro ejecutivo de nivel C, y suelen combinar una serie de  técnicas de ingeniería social para manipular al usuario para que actúe.

En los últimos años, se ha producido un fuerte aumento del número de ataques de Business Email Compromise y, según el último informe de evaluación de riesgos para la seguridad del correo electrónico de la empresa de gestión de correo electrónico Mimecast, los ataques BEC han aumentado un 80% sólo en el último trimestre.

Las pérdidas globales debidas al compromiso del correo electrónico empresarial han superado los 12.500 millones de dólares, y las víctimas pueden sufrir pérdidas sustanciales, lo que ha quedado patente en varios ataques recientes de gran repercusión.

En marzo de 2018, la cadena de cines francesa Pathé fue víctima de una sofisticada estafa de Business Email Compromise que le costó más de 19 millones de euros.

El audaz atraco se llevó a cabo cuando los estafadores se hicieron pasar por el director general y convencieron al director general y al director financiero de la oficina holandesa de la marca para que transfirieran los fondos en una serie de cinco transferencias de dinero consecutivas.

A pesar de las sospechas levantadas, los delincuentes consiguieron que su estafa pareciera lo más convincente posible creando correos electrónicos casi idénticos al dominio oficial de Pathé. La empresa perdió el 10% de sus ingresos totales y ambos ejecutivos fueron despedidos de sus puestos de trabajo.

El ataque demostró la atención al detalle que los ciberdelincuentes utilizarán para infiltrarse en una empresa, y las consecuencias de largo alcance que un ataque BEC puede tener en un negocio.

Cómo funciona una estafa de compromiso del correo electrónico empresarial

Cómo funciona el compromiso del correo electrónico empresarial

A diferencia del Los ataques de phishing, que tienden a dirigirse a un gran número de empleados, los ataques BEC están muy focalizados y dirigidos. Los delincuentes pasarán mucho tiempo investigando a individuos en puestos corporativos de alto nivel antes de lanzar un ataque.

Para que cualquier correspondencia parezca lo más convincente posible, los estafadores rastrearán los sitios web de las empresas, las fuentes en línea y los sitios de medios sociales como LinkedIn para recopilar toda la información que puedan sobre su víctima potencial.

En cuanto hayan completado su investigación, utilizarán una técnica específica como Spear Phishing para obtener acceso a los sistemas corporativos. Una vez que tienen acceso, los delincuentes pueden observar de cerca cómo se realizan las transacciones financieras antes de lanzar un ataque.

A continuación, el delincuente enviará un correo electrónico falso desde lo que parece ser el director general solicitando una transferencia urgente de fondos a un empleado de la organización. El objetivo de alto nivel ayuda a que el correo electrónico se cuele en los filtros de spam, y el uso de una dirección de correo electrónico falsa añade más legitimidad a la solicitud.

Tal es el nivel de detalle, que los delincuentes elegirán a menudo lanzar su ataque cuando el alto ejecutivo se encuentre de viaje de negocios y no pueda verificar personalmente la solicitud. Si la víctima ha caído en la estafa, el dinero que haya transferido se enviará rápidamente a cuentas situadas en el extranjero, lo que dificultará que pueda reclamar alguna vez el dinero robado.

Tipos de estafas de compromiso del correo electrónico empresarial

Tipos de estafas de compromiso del correo electrónico empresarial

Fraude del director general – En este tipo de ataque, los ciberdelincuentes se harán pasar por el director general u otro alto ejecutivo. Una vez que su cuenta ha sido pirateada, y la dirección de correo electrónico suplantada, enviarán un correo electrónico a un empleado solicitando una transferencia de fondos a una cuenta que han creado específicamente. Los correos electrónicos a menudo se marcarán como urgentes para disuadir al empleado de verificar la solicitud o discutirla con otro miembro del personal.

El esquema de la factura falsa – Esta estafa en particular suele aprovecharse contra empresas que utilizan muchos proveedores extranjeros. La empresa recibirá un correo electrónico de lo que parece ser uno de sus proveedores actuales pidiéndole que cambie el destino del pago. Cualquier pago se transferirá entonces directamente a la cuenta del estafador.

Compromiso de la cuenta – Este tipo de ataque suele ser más común entre las pequeñas empresas en las que cualquier facturación se gestiona directamente a través del correo electrónico. Los ciberdelincuentes piratearán la cuenta de correo electrónico de un empleado e interceptarán cualquier mensaje que contenga una factura. Una vez elegido su objetivo, se pondrán en contacto con el proveedor y le informarán de que ha habido un problema con su pago y le pedirán que lo reenvíe a través de otra cuenta fraudulenta que han creado.

Suplantación de abogado – En esta estafa, los delincuentes se hacen pasar por el bufete de abogados de una empresa y solicitan la transferencia urgente de fondos para hacer frente a un litigio legal o a una factura impagada. Se le dice al empleado que el asunto es estrictamente confidencial para reducir la posibilidad de que comente la solicitud con alguien más. Los ataques tendrán lugar a menudo al final de la semana laboral para crear una presión adicional sobre el empleado para que actúe con rapidez.

Robo de datos – Esta es la única estafa BEC que no solicita una transferencia bancaria directa. Los ataques de robo de datos se producen cuando un ciberdelincuente compromete la cuenta de correo electrónico de un alto ejecutivo y solicita que se le envíe información confidencial de la empresa. Este tipo de ataques suelen dirigirse a los departamentos de Recursos Humanos y Finanzas y a menudo son el precursor de un ciberataque mayor y más dañino.

Señales de advertencia de un ataque de Business Email Compromise

Ataques BEC

  • Transferencia de grandes fondos a un destinatario con el que la empresa nunca ha tratado anteriormente.
  • Transferencias iniciadas cerca del final de la jornada/semana laboral.
  • Correos electrónicos que contienen lenguaje urgente y son de naturaleza reservada.
  • Pequeños cambios en una dirección de correo electrónico que imita una dirección comercial legítima.
  • La cuenta del destinatario no tiene antecedentes de haber recibido grandes transferencias de dinero en el pasado.
  • La cuenta del destinatario es una cuenta personal en lugar de una cuenta comercial registrada.

Cómo prevenir los ataques empresariales que comprometen el correo electrónico

cómo prevenir los ataques de Business Email Compromise

  • La formación en materia de seguridad es una de las herramientas más eficaces para luchar contra los ataques BEC. Una formación regular garantizará que el personal pueda reconocer los correos electrónicos maliciosos, las tácticas de ingeniería social, identificar las solicitudes sospechosas y seguir los protocolos correctos para tratar las transferencias de dinero.
  • Formación para ejecutivos de nivel C – También es vital que los ejecutivos de nivel C reciban una formación específica para su función que aborde las amenazas únicas a las que se enfrentan en su día a día.
  • Los empleados deben cuestionar y verificar todas las solicitudes confidenciales, especialmente las consideradas urgentes por el director general u otros altos ejecutivos de la empresa.
  • Reduzca al mínimo el número de empleados que tienen autoridad para transferir fondos.
  • Utilice la autenticación multifactor en todas las cuentas de correo electrónico.
  • Implemente un proceso de verificación en dos pasos para todos los pagos que incluya una comprobación que no sea por correo electrónico, como una autenticación telefónica o verbal.
  • Desarrolle procedimientos escritos para la aprobación de todas las transacciones financieras.
  • Envíe todos los correos electrónicos a través de un servidor encriptado.
  • No publique información sensible en los sitios web de la empresa ni en las redes sociales.
  • Considere el uso de un banner de correo electrónico que notifique a los empleados si un mensaje procede de una fuente externa.

Los empleados representan la mayor amenaza para la seguridad de una organización, por lo que es vital que estén equipados con las habilidades necesarias para prevenir un ciberataque. MetaLearning Fusion es la próxima generación de eLearning y ha sido diseñado específicamente para proporcionar la mejor formación posible en Ciberseguridad y Privacidad para su personal. Las organizaciones pueden crear cursos a medida para su personal a partir de una amplia biblioteca de cursos cortos de eLearning.  Póngase en contacto con nosotros para obtener más información sobre cómo utilizar MetaLearning para transformar la formación en ciberseguridad dentro de su organización.