{"id":18979,"date":"2020-06-01T13:03:54","date_gmt":"2020-06-01T19:03:54","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18979"},"modified":"2020-06-01T13:03:54","modified_gmt":"2020-06-01T19:03:54","slug":"fighting-internal-bec","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fighting-internal-bec\/18979\/","title":{"rendered":"C\u00f3mo lidiar con un ataque BEC"},"content":{"rendered":"

En a\u00f1os recientes, los ataques de correo corporativo comprometido (BEC, por sus siglas en ingl\u00e9s) se han vuelto m\u00e1s frecuentes. Su objetivo es comprometer la correspondencia empresarial con el fin de cometer fraude financiero, extraer informaci\u00f3n confidencial o da\u00f1ar la reputaci\u00f3n de una empresa. En nuestra publicaci\u00f3n anterior acerca de los tipos de BEC y de los modos de lidiar con ellos<\/a>, mencionamos el secuestro de correos electr\u00f3nicos. Hoy, sin embargo, hablamos del tipo m\u00e1s peligroso de ataque BEC: el BEC interno. Recientemente hemos desarrollado e implementado una nueva tecnolog\u00eda que protege de esta amenaza particular.<\/p>\n

Por qu\u00e9 un BEC interno es m\u00e1s peligroso que uno externo<\/h2>\n

Los ataques BEC internos se distinguen de otros escenarios de ataque en que los correos electr\u00f3nicos fraudulentos se env\u00edan de direcciones leg\u00edtimas dentro de una empresa. Es decir, para iniciar un ataque interno, un atacante tiene que haber accedido a la cuenta de correo de un empleado. Eso significa que no puedes confiar en los mecanismos de autentificaci\u00f3n del correo (DKIM, SPF, DMARC) para evitar uno; ni te ayudar\u00e1n las herramientas autom\u00e1ticas est\u00e1ndares de antiphishing<\/em> y antispam<\/em>, que buscan inconsistencias en encabezados t\u00e9cnicos o direcciones modificadas.<\/p>\n

Generalmente, los mensajes provenientes de una casilla de correo comprometida solicitan la transferencia de dinero (a un proveedor, un contratista o una oficina tributaria) o el env\u00edo de informaci\u00f3n confidencial. Y todo eso est\u00e1 sazonado con algunos trucos bastante est\u00e1ndares de ingenier\u00eda social<\/a>. Los cibercriminales intentan apresurar al destinatario (\u00a1si no pagamos la factura hoy, la empresa se har\u00e1 acreedora a una multa!), lo amenazan (le ped\u00ed que hiciera el pago el mes pasado,\u00bf\u00a1qu\u00e9 carajo est\u00e1 esperando!?), adoptan un tono autoritario que no tolera demoras o utilizan otras artima\u00f1as del libro de t\u00e1cticas de la ingenier\u00eda social. Junto con una direcci\u00f3n leg\u00edtima, pueden dar una impresi\u00f3n muy convincente.<\/p>\n

Los ataques BEC internos tambi\u00e9n pueden desplegar correos electr\u00f3nicos con enlaces a sitios falsos cuyas URL son diferentes de la direcci\u00f3n de la organizaci\u00f3n objetivo (o cualquier otra p\u00e1gina confiable) por una o dos letras (una \u201ci\u201d may\u00fascula en lugar de una \u201cL\u201d min\u00fascula, o viceversa, por ejemplo). El sitio puede albergar un formulario de pago o un cuestionario que solicite informaci\u00f3n confidencial. Imagina recibir un correo electr\u00f3nico o similar desde la direcci\u00f3n de tu jefe: \u201cHemos decidido enviarte a la conferencia. Reserva el boleto desde nuestra cuenta CUANTO ANTES para que podamos recibir el descuento por anticipaci\u00f3n.\u201d Incluye un adjunto que luce como el sitio del evento m\u00e1s importante de tu industria y luce muy convincente. \u00bfCu\u00e1les son las probabilidades de que te tomes la molestia de estudiar cuidadosamente cada letra en el nombre de la conferencia si todo, incluida la firma del correo, parece estar en orden?<\/p>\n

C\u00f3mo proteger a la empresa de los ataques BEC internos<\/h2>\n

T\u00e9cnicamente, el correo es perfectamente legal, as\u00ed que el \u00fanico modo de reconocer uno falso es juzgando el contenido. Al analizar muchos mensajes maliciosos mediante algoritmos de aprendizaje autom\u00e1tico, es posible identificar rasgos que, combinados, pueden ayudar a determinar si un mensaje es verdadero o si es parte de un ataque BEC.<\/p>\n

Afortunadamente (o no), no enfrentamos escasez de muestras. Nuestras trampas de correo recogen millones de mensajes de spam<\/em> alrededor del mundo cada d\u00eda. Incluyen un n\u00famero considerable de correos de phishing<\/em>, que no son BEC internos, por supuesto, pero que emplean los mismos trucos y tienen el mismo cometido, as\u00ed que podemos utilizarlas para aprender. Para empezar, entrenamos un clasificador en este gran volumen de muestras para identificar los mensajes que contienen se\u00f1ales de fraude. La siguiente etapa del proceso de aprendizaje autom\u00e1tico opera directamente en el texto. Los algoritmos seleccionan los t\u00e9rminos para detectar los mensajes sospechosos, sobre cuyo fundamento desarrollamos la heur\u00edstica (reglas) que nuestros productos pueden utilizar para identificar ataques. Un conjunto enorme de clasificadores de aprendizaje autom\u00e1tico participa en el proceso.<\/p>\n

Pero esta no es una raz\u00f3n para descuidarse y relajarse. Nuestros productos ahora pueden detectar muchos m\u00e1s ataques BEC que antes, pero al ganar acceso a la cuenta del correo electr\u00f3nico de un empleado, un intruso puede estudiar su estilo e intentar imitarlo durante un ataque \u00fanico. As\u00ed que la vigilancia sigue siendo cr\u00edtica.<\/p>\n

Recomendamos que pases un tiempo mirando bien los mensajes que solicitan una transferencia financiera o la divulgaci\u00f3n de informaci\u00f3n confidencial. A\u00f1ade una capa extra de autentificaci\u00f3n que implique llamar por tel\u00e9fono o mandar un mensaje (en un dispositivo confiable) al colega en cuesti\u00f3n, o habla con ellos en persona para aclarar los detalles.<\/p>\n

Utilizamos la heur\u00edstica que nuestra nueva tecnolog\u00eda antiBEC genera en Kaspersky Security for Microsoft Office 365<\/a>, y tenemos planes para implementarlos tambi\u00e9n en otras soluciones.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Los ataques BEC que usan casillas de correo comprometidas son especialmente peligrosos. As\u00ed es como hemos aprendido a identificarlos. <\/p>\n","protected":false},"author":2598,"featured_media":18980,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[3796,3910,31,2056],"class_list":{"0":"post-18979","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-bec","11":"tag-correo","12":"tag-phishing","13":"tag-tecnologias"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fighting-internal-bec\/18979\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fighting-internal-bec\/21361\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fighting-internal-bec\/16823\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fighting-internal-bec\/22427\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fighting-internal-bec\/20566\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fighting-internal-bec\/22804\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fighting-internal-bec\/21831\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fighting-internal-bec\/28476\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fighting-internal-bec\/8380\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fighting-internal-bec\/35691\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fighting-internal-bec\/14965\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fighting-internal-bec\/15515\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/fighting-internal-bec\/13501\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fighting-internal-bec\/24133\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/fighting-internal-bec\/25462\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fighting-internal-bec\/22363\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fighting-internal-bec\/27640\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fighting-internal-bec\/27472\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/bec\/","name":"BEC"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18979","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=18979"}],"version-history":[{"count":6,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18979\/revisions"}],"predecessor-version":[{"id":18985,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/18979\/revisions\/18985"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/18980"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=18979"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=18979"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=18979"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}