Tribuna abierta
¿Cómo protegerse de los ataques 'Business Email Compromise'?
Es una amenaza de ciberseguridad a la que se enfrentan todas las empresas, especialmente las pequeñas y medianas, y cuyo uso se está extendiendo muy rápidamente
Stalkerware App: qué es, cómo funciona y cómo saber si te están espiando
El Business Email Compromise (BEC) es una amenaza de ciberseguridad a la que se enfrentan todas las empresas, especialmente las pequeñas y medianas (PYMES) y cuyo uso se está extendiendo muy rápidamente. El Centro de Denuncias de Delitos en Internet (IC3) del FBI informó en su Informe de Delitos en Internet de 2020 de que había recibido 19,369 denuncias de Business Email Compromise (BCE) que sumaban más de 1.8 mil millones de dólares en pérdidas registradas en Estados Unidos ese año. A nivel global, España se encuentra en el décimo cuarto lugar entre los 20 países líderes por número total de víctimas en el mundo.
Los ataques de BCE utilizan principalmente el correo electrónico, pero también pueden llevarse a cabo mediante mensajes SMS, mensajes de correo de voz e incluso llamadas telefónicas. Los ataques de BCE son destacables porque se basan en gran medida en las denominadas técnicas de "ingeniería social", lo que significa que utilizan trucos y engaños contra las personas.
Esto hace que el software de seguridad tradicional no siempre proteja contra este tipo de ataques y hace que los empleados desempeñen un papel importante en la protección, por lo que es sumamente relevante comprender qué son los ataques de BCE y cómo funcionan.
Así funcionan
Hay muchas formas en que los ataques de BCE pueden llevarse a cabo, pero todas se reducen a una fórmula simple. Un atacante intentará convencer a un empleado de que le envíe dinero haciéndose pasar por alguien en quien el empleado confía.
Los atacantes a menudo intentan mejorar las formas de manipular a la víctima. Primero, tratan de hacer que su ataque sea creíble por la persona que eligen suplantar. En segundo lugar, intentan crear un sentido de urgencia para que sea menos probable que la víctima cuestione la transacción y que siga los canales adecuados para realizar pagos que podrían destapar la estafa. A veces, los atacantes combinan inteligentemente estas dos tácticas para lograr una mayor efectividad.
Por ejemplo, un tipo de ataque de BCE detectado por Avast involucra a un empleado que recibe un mensaje urgente del director ejecutivo u otro ejecutivo de alto nivel, diciendo que necesita que el empleado pague de forma urgente una factura vencida u obtenga tarjetas de regalo para un evento de la empresa. Estos pueden ser correos electrónicos o mensajes de texto, pero los atacantes incluso han llegado a utilizar tecnología deep fake para imitar mensajes y llamadas de correo de voz. Un ejecutivo en 2019 perdió 220,000 euros en un ataque de este tipo cuando los atacantes utilizaron tecnología deep fake para hacerse pasar por su CEO.
En otro tipo de ataque de BCE, los atacantes utilizan cuentas de correo electrónico falsas y vulneradas para convencer al empleado de que está tratando con un proveedor legítimo. Los atacantes pueden intercambiar varios correos electrónicos con la víctima para persuadirla de que es un proveedor real y luego enviarle una factura falsa.
Un tercer tipo de ataque de BCE tiene como objetivo la nómina de los empleados. En estos, los atacantes se hacen pasar por empleados e intentan que el personal administrativo de la empresa cambie la cuenta personal del empleado a su propia cuenta bancaria. Estos ataques son más sutiles y llevan más tiempo, pero pueden ser muy efectivos.
En casi todos los casos, el objetivo perseguido por los atacantes de BCE es obtener dinero de una de estas dos formas: transferencia electrónica de fondos (incluyendo criptomonedas) o tarjetas de regalo. El uso de tarjetas de regalo para un ataque como este puede resultar sorprendente, pero los ciberdelincuentes han descubierto que es una forma fácil de transferir y blanquear dinero.
Protegerse
Los ataques de BCE no son más que ataques de fraude tradicionales que sacan el máximo partido a la tecnología actual: hemos visto este tipo de estafa mucho antes de que existiera el correo electrónico o el correo de voz. Como estos ataques no están basados en la tecnología, las soluciones basadas en la tecnología no serán tan efectivas para mitigarlos como pudieran serlo, por ejemplo, contra el ransomware. Es difícil que un software de seguridad distinga un correo electrónico de BCE bien elaborado de uno legítimo, especialmente si proviene de una cuenta real, pero vulnerada, de alguien en quien uno confía.
Esto significa que la protección contra este tipo de ataques debe centrarse en dos cosas: tú y tus empleados.
Primero, es importante informarse y explicar a tus empleados en qué consisten los ataques de BCE. Deben aprender a sospechar cuando un correo electrónico inesperado y repentino del director ejecutivo les pide algo con urgencia. Si pide dinero o tarjetas de regalo, el empleado debe comprobar que lo que se le está pidiendo es legítimo. La prevención es una de las claves principales para evitar este tipo de ataques.
En segundo lugar, se debe reforzar la importancia de verificar las solicitudes de pago y seguir las reglas establecidas para pagar facturas, cambiar la información de depósito de la nómina y comprar y enviar tarjetas de regalo. Por ejemplo, informa a los empleados de que deben llamar a un empleado o proveedor para solicitar el pago. Además, deben saber cómo usar el número que tienen registrado y verificar que la factura o solicitud sea legítima antes de hacer cualquier otra cosa.
Se debe enfatizar el mensaje de que, incluso cuando las solicitudes parecen proceder de personas de alto nivel, los empleados deben verificarlas. Los atacantes intentan convencer a las víctimas de que mantengan estos ataques en secreto para aumentar sus posibilidades de éxito y se aprovechan de la reticencia de los empleados a cuestionar a las autoridades.
La buena noticia es que con la formación y la educación adecuadas y siguiendo las políticas y los procedimientos correctos, se pueden evitar estos ataques. Solo hay que tomarse el tiempo necesario para informarse sobre estas estafas, su modus operandi y la forma correcta de gestionar las solicitudes de pago, independientemente de cómo se reciban.
Christopher Budd es director global de comunicaciones de amenazas de Avast
