¿Qué es el Business Email Compromise (BEC)?

El Business Email Compromise (BEC) es un sofisticado tipo de ciberataque dirigido a empresas y particulares que realizan pagos por transferencia bancaria. El objetivo de estos ataques es engañar a la víctima para que realice una transferencia bancaria o revele información sensible al atacante, que se hace pasar por una entidad de confianza. Esta forma de ciberdelincuencia ha experimentado un aumento significativo en los últimos años, causando cuantiosas pérdidas financieras a empresas de todo el mundo.

El término BEC se utiliza a menudo indistintamente con el de Email Account Compromise (EAC), que es un tipo similar de ataque. Sin embargo, la principal diferencia radica en el objetivo; mientras que los ataques BEC se dirigen principalmente a empresas, los ataques EAC pueden dirigirse también a particulares. Estos ciberataques se aprovechan del hecho de que las personas suelen ser el eslabón más débil de la cadena de seguridad, y se basan en gran medida en técnicas social engineering para tener éxito.

Tipos de ataques de compromiso del correo electrónico empresarial (BEC)

Existen varios tipos de ataques BEC, cada uno con sus propias características y métodos. Entender estos diferentes tipos puede ayudar a empresas y particulares a protegerse mejor contra estas amenazas.

Entre los tipos más comunes de ataques BEC se incluyen el fraude al CEO, el esquema de facturas falsas, el compromiso de cuentas, la suplantación de la identidad de abogados y el robo de datos. Cada uno de estos tipos se tratará en detalle en las siguientes secciones.

Fraude al CEO

El fraude al director general, también conocido como Whaling, es un tipo de ataque BEC en el que el atacante se hace pasar por un alto ejecutivo de la empresa. El atacante suele enviar un correo electrónico a un empleado del departamento financiero, solicitando una transferencia urgente a una cuenta específica.

El correo electrónico está diseñado para que parezca que procede del director general o de otro alto ejecutivo, y a menudo incluye una sensación de urgencia o secretismo para presionar al destinatario para que cumpla sin cuestionar la petición. Este tipo de ataque puede ser muy eficaz, ya que es menos probable que los empleados cuestionen las peticiones que parecen proceder de sus superiores.

Trama de facturas falsas

En un esquema de factura falsa, el atacante se hace pasar por un vendedor o proveedor con el que la empresa trata habitualmente. El atacante envía una factura por un producto o servicio, a menudo con los datos de pago cambiados a una cuenta controlada por el atacante.

Como la factura parece proceder de una fuente de confianza, es probable que el destinatario la pague sin darse cuenta de que está enviando dinero al atacante. Este tipo de ataque BEC puede ser especialmente eficaz contra empresas que no disponen de controles internos sólidos para verificar y aprobar las facturas.

Cómo funcionan los ataques BEC

Los ataques BEC se basan en gran medida en técnicas social engineering para engañar a la víctima haciéndole creer que el correo electrónico procede de una fuente de confianza. El atacante suele dedicar mucho tiempo a investigar el objetivo para que el correo electrónico sea lo más convincente posible.

El atacante puede utilizar la información recopilada de las redes sociales, los sitios web de la empresa y otras fuentes públicas para conocer la estructura de la empresa, sus empleados y sus socios comerciales. Esta información puede utilizarse para crear un correo electrónico convincente que parezca proceder de una fuente de confianza.

Phishing y spear phishing

El phishing y el spear phishing son técnicas habituales en los ataques BEC. En un ataque phishing, el atacante envía un correo electrónico genérico a un gran número de objetivos, con la esperanza de que algunos de ellos caigan en la estafa. El correo electrónico suele contener un enlace a un sitio web falso en el que se pide a la víctima que introduzca sus credenciales de inicio de sesión.

Spear phishing, por otro lado, es una forma más específica de phishing. El atacante se dirige a personas o empresas concretas, y el correo electrónico suele estar personalizado para que resulte más convincente. Spear phishing se utiliza habitualmente en ataques BEC, ya que permite al atacante dirigirse a personas concretas de la empresa que tienen autoridad para realizar transferencias o revelar información confidencial.

Suplantación de identidad por correo electrónico

El correo electrónico spoofing es otra técnica comúnmente utilizada en los ataques BEC. En un ataque email spoofing, el atacante modifica el encabezado del correo electrónico para que parezca que procede de una fuente diferente. Esto puede dificultar que el destinatario identifique el correo electrónico como una estafa, ya que parece proceder de una fuente de confianza.

Sin embargo, hay formas de detectar email spoofing. Por ejemplo, el destinatario puede comprobar la cabecera del correo electrónico para ver si la ruta de retorno coincide con la dirección de correo electrónico del remitente que se muestra. Si no coinciden, puede ser un signo de email spoofing.

Prevención de ataques BEC

La prevención de los ataques BEC requiere una combinación de medidas técnicas y educación de los usuarios. Desde el punto de vista técnico, las empresas pueden implantar soluciones de filtrado del correo electrónico capaces de detectar y bloquear los mensajes phishing y otros tipos de mensajes maliciosos. También pueden utilizar la autenticación de dos factores (2FA) para añadir una capa adicional de seguridad a sus cuentas de correo electrónico.

Por parte del usuario, la educación es clave. Los usuarios deben recibir formación para reconocer los signos de un ataque BEC, como solicitudes inusuales de transferencias bancarias o cambios en los datos de pago. También se les debe animar a verificar cualquier correo electrónico sospechoso poniéndose en contacto con el supuesto remitente a través de un canal de comunicación independiente.

Medidas técnicas

Existen varias medidas técnicas que las empresas pueden adoptar para protegerse contra los ataques BEC. Una de las medidas más eficaces es el uso de soluciones de filtrado de correo electrónico. Estas soluciones pueden detectar y bloquear correos electrónicos phishing, así como correos electrónicos que contengan adjuntos o enlaces maliciosos.

Otra medida eficaz es el uso de la autenticación de dos factores (2FA). Con 2FA, los usuarios deben proporcionar dos formas de identificación al iniciar sesión en su cuenta de correo electrónico. Esto puede reducir significativamente el riesgo de que la cuenta se vea comprometida, ya que el atacante necesitaría tanto la contraseña del usuario como la segunda forma de identificación para acceder a la cuenta.

Educación de los usuarios

La formación de los usuarios es un componente esencial de cualquier estrategia de ciberseguridad. Los usuarios deben recibir formación para reconocer los signos de un ataque BEC, como solicitudes inusuales de transferencias bancarias o cambios en los detalles de pago. También se les debe animar a verificar cualquier correo electrónico sospechoso poniéndose en contacto con el supuesto remitente a través de un canal de comunicación independiente.

Las sesiones de formación periódicas pueden ayudar a mantener a los usuarios al día sobre las últimas tácticas y técnicas de BEC. Estas sesiones también pueden ofrecer a los usuarios la oportunidad de hacer preguntas y discutir cualquier preocupación que puedan tener acerca de los ataques BEC.

Respuesta a los ataques BEC

Si una empresa es víctima de un ataque BEC, es importante responder rápidamente para minimizar los daños. La empresa debe ponerse inmediatamente en contacto con su banco para detener la transferencia fraudulenta y denunciar el incidente a las fuerzas de seguridad locales y al Centro de Denuncias de Delitos en Internet del FBI.

La empresa también debe llevar a cabo una investigación exhaustiva para determinar cómo se produjo el ataque y qué medidas pueden tomarse para prevenir futuros ataques. Esto puede implicar revisar los registros de correo electrónico, entrevistar a los empleados y realizar un análisis forense de la cuenta de correo electrónico comprometida.

Contactar con el Banco

Si una empresa es víctima de un ataque BEC, una de las primeras medidas que debe tomar es ponerse en contacto con su banco. El banco puede detener la transferencia fraudulenta si aún no se ha completado. La empresa debe facilitar al banco toda la información de que disponga sobre el ataque, incluida la fecha y hora de la transferencia, el importe transferido y la cuenta a la que se transfirió el dinero.

Aunque el banco no pueda detener la transferencia, puede prestar una valiosa ayuda. Por ejemplo, pueden ayudar a la empresa a rastrear el dinero e identificar al destinatario. También pueden asesorar a la empresa sobre los pasos que debe dar a continuación.

Notificación del incidente

Otro paso importante es denunciar el incidente a la policía local y al Centro de Denuncias de Delitos por Internet del FBI. Las fuerzas del orden pueden investigar el incidente y recuperar una parte o la totalidad de los fondos robados. También pueden proporcionar asesoramiento y asistencia sobre cómo prevenir futuros ataques.

El Centro de Denuncias de Delitos en Internet del FBI recopila datos sobre ciberdelitos, incluidos los ataques BEC. Al notificar el incidente, las empresas pueden ayudar al FBI a rastrear e investigar estos delitos. Esto puede conducir a la identificación y persecución de los delincuentes que están detrás de los ataques, y también puede contribuir al desarrollo de nuevas estrategias y técnicas para prevenir los ataques BEC.

Conclusión

Business Email Compromise (BEC) es una grave amenaza tanto para las empresas como para los particulares. Estos ataques pueden dar lugar a pérdidas financieras sustanciales, y también pueden dañar la reputación de una empresa. Sin embargo, con las medidas adecuadas, las empresas pueden reducir significativamente el riesgo de ser víctimas de un ataque BEC.

La prevención de los ataques BEC requiere una combinación de medidas técnicas y educación de los usuarios. Las empresas deben implementar soluciones de filtrado de correo electrónico y autenticación de dos factores para proteger sus cuentas de correo electrónico, y también deben proporcionar formación periódica a sus usuarios para ayudarles a reconocer y responder a los ataques BEC. Si una empresa es víctima de un ataque BEC, es importante responder rápidamente para minimizar los daños y prevenir futuros ataques.