En años recientes, los ataques de correo corporativo comprometido (BEC, por sus siglas en inglés) se han vuelto más frecuentes. Su objetivo es comprometer la correspondencia empresarial con el fin de cometer fraude financiero, extraer información confidencial o dañar la reputación de una empresa. En nuestra publicación anterior acerca de los tipos de BEC y de los modos de lidiar con ellos, mencionamos el secuestro de correos electrónicos. Hoy, sin embargo, hablamos del tipo más peligroso de ataque BEC: el BEC interno. Recientemente hemos desarrollado e implementado una nueva tecnología que protege de esta amenaza particular.
Por qué un BEC interno es más peligroso que uno externo
Los ataques BEC internos se distinguen de otros escenarios de ataque en que los correos electrónicos fraudulentos se envían de direcciones legítimas dentro de una empresa. Es decir, para iniciar un ataque interno, un atacante tiene que haber accedido a la cuenta de correo de un empleado. Eso significa que no puedes confiar en los mecanismos de autentificación del correo (DKIM, SPF, DMARC) para evitar uno; ni te ayudarán las herramientas automáticas estándares de antiphishing y antispam, que buscan inconsistencias en encabezados técnicos o direcciones modificadas.
Generalmente, los mensajes provenientes de una casilla de correo comprometida solicitan la transferencia de dinero (a un proveedor, un contratista o una oficina tributaria) o el envío de información confidencial. Y todo eso está sazonado con algunos trucos bastante estándares de ingeniería social. Los cibercriminales intentan apresurar al destinatario (¡si no pagamos la factura hoy, la empresa se hará acreedora a una multa!), lo amenazan (le pedí que hiciera el pago el mes pasado,¿¡qué carajo está esperando!?), adoptan un tono autoritario que no tolera demoras o utilizan otras artimañas del libro de tácticas de la ingeniería social. Junto con una dirección legítima, pueden dar una impresión muy convincente.
Los ataques BEC internos también pueden desplegar correos electrónicos con enlaces a sitios falsos cuyas URL son diferentes de la dirección de la organización objetivo (o cualquier otra página confiable) por una o dos letras (una “i” mayúscula en lugar de una “L” minúscula, o viceversa, por ejemplo). El sitio puede albergar un formulario de pago o un cuestionario que solicite información confidencial. Imagina recibir un correo electrónico o similar desde la dirección de tu jefe: “Hemos decidido enviarte a la conferencia. Reserva el boleto desde nuestra cuenta CUANTO ANTES para que podamos recibir el descuento por anticipación.” Incluye un adjunto que luce como el sitio del evento más importante de tu industria y luce muy convincente. ¿Cuáles son las probabilidades de que te tomes la molestia de estudiar cuidadosamente cada letra en el nombre de la conferencia si todo, incluida la firma del correo, parece estar en orden?
Cómo proteger a la empresa de los ataques BEC internos
Técnicamente, el correo es perfectamente legal, así que el único modo de reconocer uno falso es juzgando el contenido. Al analizar muchos mensajes maliciosos mediante algoritmos de aprendizaje automático, es posible identificar rasgos que, combinados, pueden ayudar a determinar si un mensaje es verdadero o si es parte de un ataque BEC.
Afortunadamente (o no), no enfrentamos escasez de muestras. Nuestras trampas de correo recogen millones de mensajes de spam alrededor del mundo cada día. Incluyen un número considerable de correos de phishing, que no son BEC internos, por supuesto, pero que emplean los mismos trucos y tienen el mismo cometido, así que podemos utilizarlas para aprender. Para empezar, entrenamos un clasificador en este gran volumen de muestras para identificar los mensajes que contienen señales de fraude. La siguiente etapa del proceso de aprendizaje automático opera directamente en el texto. Los algoritmos seleccionan los términos para detectar los mensajes sospechosos, sobre cuyo fundamento desarrollamos la heurística (reglas) que nuestros productos pueden utilizar para identificar ataques. Un conjunto enorme de clasificadores de aprendizaje automático participa en el proceso.
Pero esta no es una razón para descuidarse y relajarse. Nuestros productos ahora pueden detectar muchos más ataques BEC que antes, pero al ganar acceso a la cuenta del correo electrónico de un empleado, un intruso puede estudiar su estilo e intentar imitarlo durante un ataque único. Así que la vigilancia sigue siendo crítica.
Recomendamos que pases un tiempo mirando bien los mensajes que solicitan una transferencia financiera o la divulgación de información confidencial. Añade una capa extra de autentificación que implique llamar por teléfono o mandar un mensaje (en un dispositivo confiable) al colega en cuestión, o habla con ellos en persona para aclarar los detalles.
Utilizamos la heurística que nuestra nueva tecnología antiBEC genera en Kaspersky Security for Microsoft Office 365, y tenemos planes para implementarlos también en otras soluciones.