Cómo una cuenta comprometida de correo electrónico corporativo puede costar millones

La división europea de Toyota acaba de perder más de 37 millones de euros a manos de los cibercriminales. Te contamos cómo evitar caer en las redes de un ataque BEC.

En general, las cuentas secuestradas se utilizan para distribuir spam y esquivar los filtros. No obstante, una bandeja de entrada secuestrada se puede utilizar para cosas más desagradables, como un ataque BEC (“compromiso de correos electrónicos corporativos”, por sus siglas en inglés). El mes pasado, una filial de Toyota Boshoku Corporation se enfrentó a esta estafa que le provocó pérdidas por valor de 4 mil millones de yenes (más de 37 millones de dólares).

¿Qué ha sucedido?

Según el comunicado oficial de la compañía que salió a la luz el 6 de septiembre, y las publicaciones de los medios de comunicación, unos cibercriminales cuya identidad se desconoce lanzaron un ataque BEC. La investigación del incidente sigue en curso y todavía no se ha divulgado la información, por lo que no podemos afirmar si los atacantes utilizaron la bandeja de entrada o si simplemente se hicieron pasar por otra persona. Lo que sí sabemos es que las pérdidas se deben a una serie de instrucciones fraudulentas de transferencia bancaria que alguien de la compañía interpretó como legítimas.

Inmediatamente después de la transferencia, los expertos de seguridad de Toyota se percataron de que el dinero había acabado en cuentas externas a la compañía, pero ya era demasiado tarde para cancelar la transferencia. Actualmente, la empresa sigue trabajando para recuperar los fondos.

¿Qué es un ataque BEC?

Un ataque BEC no necesariamente involucra el secuestro de la bandeja de entrada de otro usuario. A veces, los cibercriminales intentan hacerse pasar por altos mandos o socios de la compañía con direcciones de terceros. No obstante, utilizar la cuenta de correo de un empleado facilita mucho el ataque ya que, después de todo, recibir un mensaje de alguien habitual resulta mucho menos sospechoso.

Para que el ataque funcione, el cibercriminales debe contar con amplios conocimientos en ingeniería social, ya que hacerse pasar por otra persona y convencer a un usuario de que haga algo no es una tarea fácil. Y, de nuevo, secuestrar una bandeja de entrada facilita el trabajo del atacante, pues, tras estudiar los contenidos enviados y recibidos, les permite imitar el estilo y carácter de la persona con el objetivo de que resulte más convincente.

El objetivo de un ataque BEC no siempre es una transferencia de fondos (convencer a alguien para que envíe millones de dólares no es nada fácil). Es mucho más común que los atacantes intenten extraer datos confidenciales de la víctima.

Otros ejemplos de ataques BEC

El ataque a Toyota no es en absoluto el primer caso de este tipo. Este año hemos escrito varias veces sobre una estrategia que tiene como objetivo hacerse con las cuentas de empleados. En mayo contamos cómo un grupo de cibercriminales había engañado a un club de fútbol para que utilizara información de pago incorrecta en el traspaso de un jugador. El mes pasado, unos estafadores intentaron robar 2,9 millones de dólares a Escuelas Públicas de Portland (Oregón) y, en julio, el organismo Escuelas del Condado de Cabarrus (Carolina del Norte) perdió 1,7 millones de dólares tras recibir instrucciones falsas por correo electrónico. En primer lugar, el personal transfirió 2,5 millones de dólares, supuestamente para la construcción de una nueva escuela, pero después recuperó parte de los fondos.

Cómo evitar caer en la trampa

Los medios técnicos no son suficientes para protegerte de la ingeniería social, sobre todo si los atacantes son profesionales con acceso al buzón real de la persona por la que se intenta hacer pasar. Por tanto, te recomendamos esta serie de consejos para evitar la estafa:

  • Modifica el procedimiento de las transferencias de fondos de la empresa para que ningún empleado pueda realizar una transferencia a una cuenta de terceros sin supervisión y asegúrate de que los movimientos de grandes montos de dinero los autoricen varios directivos.
  • Muestra a tus empleados los principios básicos de ciberseguridad y aconséjales que se muestren escépticos con los mensajes entrantes. Al respecto, nuestros programas de concientización de seguridad te serán de gran ayuda.
  • Evita el secuestro de las cuentas de tu correo corporativo con una protección antiphishing a nivel del servidor del correo. Por ejemplo, instala Kaspersky Endpoint Security for Business Advanced.
Consejos