Cómo manejar un ataque BEC

Las empresas del mundo a menudo son víctimas de los ataques BEC (correo corporativo comprometido). Te explicamos el peligro y cómo minimizarlo.

Los cibercriminales están buscando constantemente nuevos modos de atacar a las empresas. En años recientes, han recurrido cada vez más a los ataques BEC (correo electrónico corporativo comprometido, por sus siglas en inglés) dirigidos contra la correspondencia corporativa.

Tan solo el Internet Crime Complaint Center (IC3) de los EE. UU. reportó 23,775 incidentes ante el FBI en 2019, un aumento de 3,500 con respecto a 2018, además de un aumento en los daños a partir de $1.2 a $1.7 mil millones de dólares.

 

¿Qué es un ataque BEC?

Un ataque BEC se define como una campaña cibercriminal dirigida que opera del siguiente modo:

  1. Los cibercriminales inician un intercambio de mensajes de correo electrónico con un empleado de la empresa; o bien, ellos asumen el control de una cuenta existente mediante secuestro o hackeo;
  2. Los cibercriminales se ganan la confianza del empleado mediante ingeniería social;
  3. Y, finalmente, los cibercriminales fomentan acciones perjudiciales para los intereses de la empresa o de sus clientes.

Generalmente, las acciones se relacionan con los fondos de transferencia hacia cuentas de los cibercriminales o el envío de archivos confidenciales, pero no siempre. Por ejemplo, nuestros expertos encontraron recientemente una petición que parecía venir del CEO (director general) de una empresa, con instrucciones para enviar códigos de tarjetas de regalo mediante mensajes de texto a cierto número telefónico.

Aunque los intentos de BEC a menudo emplean trucos similares al phishing, el ataque es un tanto más sofisticado, pues entraña una parte de dominio tecnológico y otra de ingeniería social. Además, las técnicas usadas son únicas: los mensajes no contienen enlaces o archivos adjuntos maliciosos, pero los atacantes intentan engañar al cliente de correo electrónico (software usado para leer y enviar correo) y, por tanto, al destinatario, para que piensen que el correo electrónico es legítimo. La ingeniería social tiene un papel estelar en estos fraudes online.

Antes de un ataque, los cibercriminales realizan una cuidadosa recolección de datos de la víctima; luego, los cibercriminales los usan posteriormente para ganarse su confianza. La correspondencia entre cibercriminal y víctima puede consistir únicamente en dos o tres mensajes, o puede durar varios meses.

Vale la pena mencionar como nota adicional que los ataques BEC que combinan varios panoramas y tecnologías. Por ejemplo, los cibercriminales pueden robar primero las credenciales de un trabajador común mediante el spear phishing y después lanzan un ataque contra un empleado de alto nivel de la empresa.

 

Escenarios comunes de ataques BEC

Existen bastantes escenarios de ataques BEC, pero los cibercriminales siempre están ideando nuevos métodos. Según nuestras observaciones, la mayoría de los casos se pueden reducir a cuatro variantes:

  • Grupo exterior falso. Los cibercriminales se hicieron pasar por el representante de una organización con la cual colabora la empresa del destinatario. En ocasiones, se trata de una empresa real con la cual hace negocios la firma de la víctima. En otros casos, los cibercriminales intentan engañar a las víctimas ingenuas o descuidadas haciéndose pasar por el representante de una empresa falsa.
  • Órdenes del jefe. Aquí, los cibercriminales crean un mensaje falso en nombre de un gerente (de rango elevado, generalmente) mediante estratagemas técnicas o ingeniería social.
  • Mensaje de un abogado. Los estafadores escriben a un empleado de alto nivel (en ocasiones, incluso al CEO) para solicitar de modo urgente, y sobre todo confidencialmente, el envío de fondos o de datos confidenciales. A menudo fingen ser un contratista, como un contador, proveedor o empresa de logística externos. Sin embargo, la mayoría de las situaciones que exigen una respuesta urgente y confidencial de índole legal, así que los mensajes normalmente se envían a nombre de un abogado o firma.
  • Secuestro de correo electrónico. El cibercriminal puede ganar acceso a los correos del empleado, y puede hacer dos cosas: solicitar la transferencia de fondos o el envío de datos; o bien, puede iniciar correspondencia con las personas autorizadas para ello. Esta opción es especialmente peligrosa porque el atacante puede ver mensajes en la bandeja de salida, con lo cual se le facilitará imitar el estilo de comunicación del empleado o robar datos confidenciales, lo cual conduce a costosas multas por filtración de datos.

 

Técnicas de ataque BEC

Los ataques BEC también están evolucionando desde un punto de vista tecnológico. Si en 2013 utilizaban las cuentas de correo electrónico secuestradas de los CEO o los CFO, ahora confían cada vez más en imitar de modo exitoso a otra persona mediante una combinación de subterfugios técnicos, ingeniería social y falta de cuidado de la víctima. Aquí están las técnicas de ataques BEC de las que se valen:

  • Simulación del remitente del correo. El estafador simula los encabezados del correo. En consecuencia, por ejemplo, un mensaje enviado de phisher@email.com parece venir de CEO@yourcompany.com en la bandeja de entrada de la víctima. Este método tiene muchas variantes y diversos encabezados se pueden cambiar de varias maneras. El peligro principal de este método de ataque no solo es que los atacantes puedan manipular los encabezados del mensaje, sino que, por varias razones, los remitentes legítimos también pueden hacerlo.
  • Dominios idénticos. El cibercriminal registra un nombre de dominio muy similar al de la víctima. Por ejemplo, com en lugar de example.com. Después, los mensajes se envían desde la dirección CEO@examp1e.com con la esperanza de que un empleado descuidado no pueda identificar el dominio falso. La dificultad aquí yace en el hecho de que el atacante realmente posee el dominio falso, así que la información sobre el remitente pasará todos los filtros de seguridad tradicionales.
  • Mailsploits. Siempre se encuentran nuevas vulnerabilidades en los clientes de correo electrónico. A menudo pueden usarse para obligar al cliente a mostrar un nombre o dirección de remitente falso. Afortunadamente, dichas vulnerabilidades llaman rápidamente la atención de las empresas dedicadas a la infosec, lo que permite que las soluciones de seguridad rastreen su uso y eviten ataques.
  • Secuestro de correo electrónico. Los atacantes ganan acceso total a una cuenta de correo con la cual pueden enviar mensajes que son casi idénticos a los reales. La única manera de protegerse automáticamente contra este tipo de ataques es utilizar las herramientas de aprendizaje automático para determinar la autoría de dichos correos electrónicos.

 

Los casos que hemos encontrado

Respetamos la confidencialidad de nuestros clientes, así que los siguientes no son mensajes verdaderos sino ejemplos que ilustran algunas posibilidades comunes de ataques BEC.

Nombre falso

El atacante intenta establecer contacto con una víctima potencial, haciéndose pasar por su jefe. Con el fin de que el destinatario no intente contactar al verdadero ejecutivo, el estafador enfatiza la urgencia de la solicitud y la falta de disponibilidad presente del jefe mediante otros canales de comunicación:

El truco del nombre falso

 

Tras revisar cuidadosamente, puedes notar que el remitente (Bob) no corresponde con la dirección real de correo electrónico (not_bob@gmail.com). En este caso, el atacante falsificó solamente el nombre exhibido al abrir el mensaje. Este tipo de ataque es especialmente eficaz en dispositivos móviles, los cuales solo muestran por defecto el nombre del remitente, no su dirección.

Dirección falsa

El cibercriminal busca un empleado del área de contabilidad autorizado para modificar los datos bancarios, y le escribe:

El truco de la dirección falsa

 

Aquí, el encabezado del mensaje se ha modificado de modo que el cliente de correo electrónico muestre tanto el nombre como la dirección de correo electrónico del empleado legítimo, pero la dirección de correo del atacante se muestra en la opción “responder a“. En consecuencia, las respuestas a este mensaje se envían a not_bob@gmail.com. Muchos clientes ocultan el campo de “responder a” por defecto, así que este mensaje parece genuino incluso al inspeccionarlo detenidamente. En teoría, se podría detener al atacante que se vale de dicho mensaje mediante la correcta configuración de SPF (protección contra falsificación), DKIM (técnica de autenticación) y DMARC (protocolo de autenticación) en el servidor de correo corporativo.

Simulación fantasma (Ghost spoofing)

En este ataque BEC, el cibercriminal finge ser un gerente y convence a un empleado de la necesidad de cooperar con un abogado falso, quien supuestamente pronto se pondrá en contacto:

El truco de la simulación fantasma

 

Aquí, el campo del remitente contiene no solo el nombre, sino también la dirección de correo simulada. No es la técnica más sofisticada que existe, pero aun así mucha gente cae, especialmente si la dirección real no se muestra en la pantalla del receptor (porque es muy larga, por ejemplo).

Dominio idéntico

Otros cibercriminales intentan iniciar un intercambio de correos electrónicos con un empleado de la empresa:

El truco del dominio idéntico

Este es un ejemplo del método del dominio idéntico, que hemos mencionado arriba. El estafador primero registra un nombre de dominio similar a uno confiable (en este caso, examp1e.com en lugar de example.com), y espera que el destinatario no se dé cuenta.

Ataques BEC contra ejecutivos de alto perfil

Un reciente número de informes noticiosos han resaltado que los ataques BEC causan daños significativos a las empresas de todo tipo y tamaño. He aquí algunos de los más interesantes:

  • Un cibercriminal creó un dominio que imitaba al de un fabricante taiwanés de electrónica, y luego lo usó para enviar recibos a empresas grandes (entre las que estaban Facebook y Google) durante un periodo de dos años, en cuyo proceso se embolsó $120 millones de dólares.
  • Unos cibercriminales, fingiendo ser una empresa constructora, persuadieron a la University of South Oregon de transferir $2 millones de dólares a cuentas falsas.
  • Algunos estafadores se entrometieron en la correspondencia entre dos clubes de fútbol al registrar un dominio con el nombre de uno de ellos, pero con una extensión de dominio diferente. Los dos clubes, Boca Juniors y Paris Saint-Germain, estaban discutiendo la transferencia de un jugador y la comisión por el trato. En consecuencia, casi €520,000 fueron a parar a varias cuentas fraudulentas en México.
  • La sección europea de Toyota sufrió la pérdida de más de $37 millones de dólares cuando los cibercriminales dieron instrucciones para una transferencia bancaria falsa que un empleado tomó por legítima.

Cómo lidiar con ataques BEC

Los cibercriminales usan una variedad muy amplia de trucos técnicos y de métodos de ingeniería social para ganarse la confianza y cometer fraudes. Sin embargo, adoptar una serie de medidas eficaces puede reducir al mínimo la amenaza de ataques BEC:

  • Instala una SPF, usa firmas DKIM e implementa una política de DMARC para defenderte de correspondencia interna falsa. En teoría, estas medidas de seguridad contra ataques BEC también permiten a otras empresas autenticar los correos electrónicos enviados a nombre de tu organización (con el supuesto de que, desde luego, esa empresa tenga esas mismas tecnologías configuradas). Este método es insuficiente en ciertos aspectos (como el de no ser capaz de evitar la simulación fantasma o los dominios idénticos), pero mientras más empresas usen SPF, DKIM y DMARC, menos libertad de acción tendrán los cibercriminales. El uso de estas tecnologías contribuye a un tipo de inmunidad colectiva en contra de los diversos tipos de operaciones maliciosas con encabezados de correos.
  • Proporciona periódicamente capacitaciones en ciberseguridad a tus empleados para contrarrestar la ingeniería social y las ciberamanezas. Una combinación de talleres y simulaciones capacita los empleados para que estén atentos e identifiquen los ataques BEC que pudieran evadir otras barreras de defensa.
  • Usa soluciones de seguridad con tecnología especializada antiBEC para desarticular los diferentes vectores de ataque descritos en esta publicación.

Las soluciones de Kaspersky con filtrado de contenido, creadas especialmente en nuestro laboratorio, identifican ya muchos tipos de ataques BEC, y nuestros expertos desarrollan continuamente tecnologías de ciberseguridad para extender la protección contra los fraudes más avanzados y sofisticados.

Consejos