Ataques BEC:una estafa de 26 000 millones de dólares
Un nuevo estudio de Osterman Research explora por qué los ataques por compromiso del correo electrónico empresarial (BEC) son financieramente más devastadores que el ransomware, y cómo detenerlos.
¿Por qué iban a utilizar los ciberdelincuentes herramientas para ocultarse, lanzar ciberataques multiescenario, cifrar los endpoints y regatear el importe de un rescate, cuando pueden sencillamente pedir el dinero? Ese es el concepto que hay detrás de los ataques BEC o de compromiso del correo electrónico empresarial, un tipo de ciberataque que ha crecido espectacularmente en los últimos años.
El Internet Complaint Center (IC3) del gobierno federal estadounidense, que lleva siguiendo estos ataques desde 2013, ha puesto a los ataques BEC el apodo de «estafa de 26 000 millones de dólares», aunque ese apelativo seguramente ha quedado anticuado, debido a la escalada de los volúmenes y la dependencia del correo electrónico durante la pandemia.
Y aunque los ataques de ransomware de un perfil alto siguen copando los titulares, se pierde mucho más dinero con los ataques BEC. Por ejemplo, en 2020, los daños debidos a ataques BEC ascendieron a 1800 millones de dólares, solo en los EE. UU., y fueron responsables de aproximadamente el 40 % de las pérdidas por ciberdelincuencia a nivel global.
La anatomía de un ataque BEC
Aunque se consideran un tipo de ataque de phishing, los ataques BEC no consisten en un código o un enlace malicioso. En vez de eso, dejan que la ingeniería social haga la parte más difícil. Estos ataques apuntan específicamente a las organizaciones que realizan solicitudes legítimas de transferencias de fondos, y en las que los ejecutivos de alto nivel son casi siempre responsables del cumplimiento.
Según el libro blanco de Osterman patrocinado por SonicWall, How to Deal with Business Email Compromise, (cómo enfrentarse al compromiso del correo electrónico empresarial), los delincuentes que utilizan BEC crean direcciones de correo que se parecen a las de los altos directivos, utilizan servicios gratuitos como Gmail para crear direcciones que se parecen a la cuenta personal del directivo o, menos frecuentemente, consiguen acceder a las cuentas reales de los directivos mediante ataques de phishing u otros medios.
Aquí se puede ver un correo de BEC que he recibido. Nótese cómo apela a la autoridad (el mensaje parece proceder de un CEO de SonicWall, a pesar de que procede de una dirección externa), así como el sentido de urgencia que transmite. Este es un ejemplo muy tosco; muchos de estos mensajes son bastante más sofisticados, tanto en su lenguaje como en su aspecto.
Una vez que el atacante tiene una cuenta plausible desde la que operar, utiliza las tácticas de ingeniería social para solicitar al objetivo que desvíe el pago de una factura a la cuenta bancaria del delincuente, solicitar el pago a través de una factura falsa o desviar la nómina de la compañía a una cuenta bancaria fraudulenta.
Dado que estos ataques transmiten urgencia y los correos parecen proceder de un CEO, un director financiero u otro alto cargo, muchos objetivos cumplen con diligencia las solicitudes, lo antes posible. Cuando lo hacen, la empresa pierde gran cantidad de dinero, y los ciberdelincuentes se alegran como si fuera su día de cobro.
¿Son comunes los ataques BEC?
Se han registrado ataques BEC en todos los estados de los EE. UU., así como en 177 países de todo el mundo. Si nos basamos en el último informe de IC3, solo en 2020 se informó de casi 20 000 de esos ataques, lo que seguramente se queda corto, ya que en la investigación de Osterman se descubrió que cuatro de cada cinco organizaciones había sido objeto de al menos un ataque BEC en 2021. Para las empresas de tamaño mediano (entre 500 y 2500 usuarios de correo), ese número ascendía a nueve de cada diez.
Lo que es peor, el 60 % de las organizaciones encuestadas informó de que había sido víctima de un ataque BEC que había tenido éxito o que había estado a punto de tenerlo. Para las organizaciones en las que el ataque sí tuvo éxito, los costes fueron significativos: entre costes directos e indirectos, el impacto financiero total de un ataque BEC fue de 114 762 dólares. Desgraciadamente, los costes directos, aunque son significativos para una organización individual, a menudo son demasiado pequeños para que las fuerzas de seguridad y las aseguradoras tomen cartas en el asunto.
Los ataques BEC se pueden detener (aunque probablemente no de la forma que usted piensa).
Muchos otros ataques dependen de enlaces y código malicioso, que puede ser detectado mediante las soluciones antimalware y las pasarelas de correo seguro. Pero esas soluciones a menudo no pueden detectar tácticas de ingeniería social como las que utilizan los ataques BEC, especialmente, los que proceden de una dirección legítima.
A pesar de eso, aunque tres cuartas partes de los encuestados dijeron que protegerse de estos ataques es importante para ellos, muchos siguen dependiendo principalmente de tecnologías que nunca se diseñaron para frenar los ataques BEC.
No se puede hacer mucho para evitar formar parte del 80 % (y subiendo) de empresas a las que se dirigen los ataques BEC cada año, pero sí puede hacer muchas otras cosas para salvaguardar las finanzas de su organización. Y todas se basan en tres pilares fundamentales: personas, procesos y tecnología.
La tecnología es su primera línea de defensa contra los ataques BEC. Muchas soluciones dicen que pueden combatir los ataques BEC, pero su efectividad varía mucho. Para conseguir una mejor protección, busque una que bloquee los ataques BEC y que, a la vez, oriente a los empleados.
¿Se ha dado cuenta de que en el ejemplo anterior hay una alerta que indica que el mensaje se originó fuera de la organización? Aunque se trata de un mecanismo sencillo, esas alertas pueden suponer la diferencia entre un ataque BEC con éxito y otro que se examina con detenimiento y se borra al leerlo.
Especialmente, en compañías que siguen protegiéndose con una tecnología tradicional, formar a los empleados es una medida de protección adicional indispensable. Debería enseñarse a los empleados a prestar atención a direcciones falsas de correo, gramática y sintaxis poco habituales, así como a desconfiar de los correos que transmiten una urgencia inusual.
En el caso de intentos particularmente sofisticados, debería definirse un proceso, por si el intento BEC llega al buzón y el destinatario no lo identifica como sospechoso. Políticas como que varias personas deban aprobar las solicitudes para cambiar una cuenta bancaria o que haya confirmaciones obligatorias fuera de banda suelen tener éxito como última línea de defensa contra BEC.
El 73 % de las empresas no están preparadas para un ataque BEC
¿Es su organización una de ellas? Para más información sobre los ataques BEC y las diversas formas de detenerlos, descargue el libro blanco de Osterman patrocinado por SonicWall: How to Deal with Business Email Compromise (cómo enfrentarse al compromiso del correo electrónico empresarial).
This post is also available in: Inglés Portugués, Brasil Francés Alemán Italiano