Business Email Compromise (BEC): cómo protegerse

El correo electrónico comercial comprometido (BEC) y los correos electrónicos de phishing son los tipos de ataque más comunes. He aquí cinco ejemplos.

Business Email Compromise (BEC) es una de las estafas más complejas de todas las basadas en la ingeniería social, que hace ganar grandes sumas de dinero a sus autores. Mientras que el ransomware acapara las noticias, el BEC parece ocupar menos titulares. Sin embargo, una investigación del FBI ha descubierto que los volúmenes de BEC son cuatro veces superiores a los del malware.

El Informe de Verizon sobre investigaciones de violaciones de datos (DBIR ) señala que la gran mayoría (86%) de los ciberdelitos tienen una motivación económica. Estafadores, defraudadores y ciberdelincuentes forman parte de una nefasta comunidad que utiliza tácticas de ingeniería social y correos electrónicos de phishing para llevar a cabo sus ciberdelitos. Comprender cómo funciona una estafa puede ayudar a evitar que su organización se convierta en víctima de este ciberataque.

A continuación le explicamos cómo funciona el Business Email Compromise y cómo puede evitar que los estafadores del BEC roben el dinero de su empresa.

Análisis de un ataque BEC típico

Los estafadores de Business Email Compromise tienen como objetivo empresas de todos los tamaños y de todos los sectores. Una estafa BEC utiliza al máximo la ingeniería social, manipulando a su paso a los empleados objetivo, a medida que la cadena de destrucción avanza por una organización.

Los fraudes de compromiso del correo electrónico empresarial son lucrativos, pero requieren un alto nivel de compromiso para acceder a las grandes sumas de dinero que buscan los estafadores. El fraude BEC puede considerarse una amenaza de correo electrónico avanzada, ya que suele contener un elemento de compromiso del correo electrónico y phishing en una fase temprana del ciclo de ataque.

Estos son los procesos típicos que se esconden tras una estafa de compromiso del correo electrónico empresarial:

Una estafa BEC depende de engañar a personas concretas dentro de una organización para que realicen una transferencia bancaria con el fin de mover dinero a la cuenta de un estafador. Existen diversas variantes de la estafa, pero todas tienen un elemento común: encontrar la forma de engañar a alguien haciéndole creer que está realizando una transferencia de dinero importante a petición de una persona de nivel C y/o de un cliente importante. Las etapas típicas de una estafa BEC son:

Primera etapa: recopilación de información y estrategias

Los delitos BEC son ejercicios serios de obtención de dinero que requieren la recopilación de información para perfeccionar el delito. La vigilancia suele consistir en cotejar la información general disponible públicamente sobre una empresa, quiénes son los ejecutivos de nivel C, la estructura corporativa, etc.

Durante esta etapa, los ciberdelincuentes conocerán las operaciones de la empresa e intentarán averiguar cómo se realizan los pagos y a quién. Un estafador BEC utiliza entonces esta información para comenzar la segunda etapa del ataque.

Segunda etapa: Compromiso del correo electrónico o suplantación del mismo

Utilizando la información recopilada en la primera etapa, el estafador BEC recurrirá entonces a una de estas dos tácticas para continuar el ataque:

El compromiso de la cuenta de correo electrónico es una posibilidad. La apropiación de cuentas (ATO) requiere que el ciberdelincuente robe las credenciales de acceso y la contraseña de una cuenta de correo electrónico objetivo. Esto puede hacerse utilizando spear-phishing; es más complicado (pero no imposible) si se utiliza un segundo factor para proteger una cuenta.

Si el ciberdelincuente puede secuestrar una cuenta, se centrará en un ejecutivo de nivel C o en alguien que controle los pagos. Una cuenta secuestrada de un CXO es muy valiosa y puede utilizarse para exigir que se realicen pagos «urgentes» a la cuenta bancaria del pirata informático, haciéndose pasar por un «cliente valioso».

En el caso del empleado de «cuentas a pagar» ATO, el defraudador podrá vigilar el tráfico de correo electrónico, buscando información sobre a quién se paga, cuándo se paga, etc. Tener este nivel de control sobre el correo electrónico de una organización también les permite interceptar facturas, cambiando los detalles para asegurarse de que los pagos se realizan a la cuenta bancaria del defraudador.

La segunda opción consiste en falsificar la dirección de correo electrónico del ejecutivo de nivel C objetivo. Suplantar una dirección de correo electrónico es una forma habitual de phishing y una forma reconocida de engañar a los destinatarios haciéndoles creer que procede de una persona concreta. Un ejemplo de dirección de correo electrónico falsa sería [email protected] o [email protected] – fácil de suplantar, difícil de detectar, especialmente para el atareado personal de contabilidad.

Tercera etapa: Extraer el dinero

La tercera etapa consiste en trasladar el dinero a la cuenta bancaria del defraudador. Esto puede adoptar varias formas y formará parte de la estrategia original de ejecución definida en las etapas uno y dos. Las formas típicas incluyen:

Fraude del director general: utilizando una cuenta de nivel C suplantada o pirateada, el estafador envía un correo electrónico «urgente» exigiendo un pago para evitar perder un cliente clave.

Fraude de facturas: Si se piratea una cuenta de correo electrónico, el defraudador intercepta las facturas legítimas y altera los datos de pago.

¿Cómo puede reducir el riesgo de BEC?

El fraude BEC comienza con la recopilación de inteligencia y progresa a través de ataques avanzados por correo electrónico, que suelen implicar spear-phishing. Existen varias formas de proteger a su organización contra un ataque BEC, cada una de las cuales forma parte de una estrategia de defensa por capas:

Forme a los empleados sobre cómo funcionan los ataques BEC

El compromiso del correo electrónico empresarial se basa en el engaño y la vigilancia es clave. Utilice la formación de concienciación sobre la seguridad y ejercicios de simulación de phishing para que los empleados aprendan a reconocer los trucos utilizados por los atacantes.

Desarrolle una formación específica sobre BEC para ejecutivos y equipos financieros. Incluya a terceros o proveedores que gestionen los pagos.

Utilice la autenticación de dos factores

Para evitar la apropiación de cuentas de correo electrónico, asegúrese de que todas las cuentas de correo electrónico corporativas requieran un segundo factor, como un código móvil de un solo uso, además de una contraseña.

Asegure su dominio corporativo

Los estafadores BEC suelen registrar dominios similares como www.micr0soft.com o www.amason.com para hacerse pasar por remitentes legítimos. Registrar dominios similares de forma proactiva puede ayudar a prevenir la suplantación de identidad.

Establezca mecanismos para comprobar dos veces los pagos

Implemente un proceso de verificación que obligue a los empleados a realizar una doble comprobación con otro miembro del personal antes de realizar transferencias o compartir datos financieros confidenciales.

Esté al tanto de los cambios o actualizaciones

Cree una cultura de seguridad en la que el personal se mantenga alerta ante comportamientos inusuales de equipos internos o proveedores. Una cultura de seguridad sólida ayuda a detectar las estafas a tiempo.

El compromiso del correo electrónico empresarial es un delito rentable y persistente. Para reducir el riesgo, las organizaciones deben permanecer vigilantes y educar a todos los empleados -incluidos los ejecutivos- sobre cómo funciona el BEC.

Proteja su organización contra las amenazas cibernéticas y BEC

MetaCompliance ofrece un conjunto completo de soluciones para proteger a su organización frente al Business Email Compromise (BEC), reducir el riesgo humano y mejorar la ciberresiliencia general. Nuestra plataforma de gestión de riesgos humanos incluye:

Concienciación sobre seguridad automatizada: forme a los empleados para que reconozcan las amenazas de BEC y phishing.
Simulaciones avanzadas de phishing: ponga a prueba la preparación del personal frente a ataques realistas por correo electrónico.
Inteligencia y análisis de riesgos: identifique y aborde las vulnerabilidades de los riesgos humanos.
Gestión del cumplimiento: asegúrese de que las políticas y los procedimientos reducen la exposición a BEC y otras ciberamenazas.

Descubra cómo estas soluciones pueden reforzar la postura de seguridad de su organización y defenderla contra BEC. Póngase en contacto con nosotros hoy mismo para reservar su demostración.

Preguntas frecuentes: Compromiso del correo electrónico empresarial (BEC)

¿Qué es el Business Email Compromise (BEC)?

El BEC es una forma de ciberdelincuencia en la que los atacantes se hacen pasar por ejecutivos, proveedores o socios de confianza para engañar a los empleados con el fin de que envíen dinero o información confidencial.

¿A quién suelen dirigirse los atacantes de BEC?

Normalmente se dirigen al personal que maneja pagos, facturas o información financiera sensible, especialmente a los contables y ejecutivos.

¿Cómo acceden los ciberdelincuentes a las cuentas de correo electrónico?

A menudo utilizan correos electrónicos de phishing, robo de credenciales o ingeniería social para secuestrar cuentas o suplantar una dirección de correo electrónico legítima.

¿Cuáles son los signos más comunes de una estafa BEC?

Solicitudes de pago urgentes, cambios en los datos bancarios, tono o gramática inusuales y presiones para saltarse los procedimientos normales.