Cuáles son los riesgos de los emails comprometidos y cómo prevenirlos

Los ataques de emails comprometidos (BEC, por sus siglas en inglés “Business Email Compromise”) pueden ser un gran riesgo para las finanzas y la reputación de las empresas.

Según el Informe de Delitos en Internet del FBI de 2020, solo en ese año se registraron 791.790 denuncias de presuntos delitos en internet, un aumento de más de 300.000 desde 2019. Las pérdidas denunciadas en 2020 superaron los 4.200 millones de dólares. El informe señala que estas víctimas perdieron su dinero en su mayoría por estafas BEC.

Afortunadamente, dado que los ataques BEC suelen ser producto de errores humanos, muchos pueden evitarse con la debida diligencia y formación, dos factores que pueden mejorarse con las herramientas de prevención de fraude adecuadas.

Veamos en qué consisten los ataques de emails comprometidos y exploremos algunas de las muchas formas de combatirlos.

¿Qué es un ataque BEC?

Un ataque BEC se produce cuando los estafadores obtienen acceso no autorizado a la cuenta de una empresa. La forma más dañina de BEC son los ataques de robo de cuentas (ATO). Los estafadores utilizan tácticas de manipulación como el phishing por correo electrónico o se aprovechan de la filtración de datos de la empresa para acceder a una o varias cuentas de la misma y hacerse con ellas. También es frecuente que los estafadores se hagan pasar por un miembro de la organización, especialmente un directivo.

En otros casos, el objetivo puede ser un alto cargo a través de canales como servicios de mensajería, llamadas telefónicas o redes sociales. Una señal reveladora de que algo no va bien es que estas comunicaciones siempre solicitan información sensible. Vale la pena señalar aquí que siempre se puede actuar sobre las sospechas iniciales mediante la ejecución de una búsqueda rápida de correo electrónico contra una dirección asociada a un mensaje dudoso. Echa un vistazo al widget de búsqueda de direcciones de SEON para ver este método en acción.

Los ataques de emails comprometidos se llevan a cabo de muchas formas, de las que daremos algunos ejemplos a continuación. A pesar de su versatilidad, el ataque BEC implica invariablemente el uso indebido de credenciales de inicio de sesión comprometidas, con el objetivo de acceder a información sensible ubicada en varias cuentas empresariales (no solo bandejas de entrada de correo electrónico: los estafadores también atacan documentos de la intranet, registros de recursos humanos y muchos otros archivos sensibles).

Uno de los casos de uso de este tipo de ataque es cuando los estafadores utilizan los datos comprometidos para engañar al personal para que facilite más información, como sus datos bancarios o secretos de empresa. Los estafadores pueden hacer esto haciéndose pasar por el director general de la organización (consulta la sección sobre fraude al CEO para obtener más información al respecto).

En consecuencia, los ataques BEC no se limitan al robo de cuentas y de identidad, sino que también puede ser un medio para que los estafadores se conviertan en impostores que buscan someter a la empresa objetivo a nuevas filtraciones de datos.

Principales ejemplos de ataques BEC

Este tipo de ataque tiene un gran alcance porque es accesible a muchos estafadores y su finalidad es amplia: Los estafadores lo utilizan para explotar las infraestructuras de las empresas con credenciales de inicio de sesión robadas y ataques de robo de cuentas. Como tal, hay muchos ejemplos de cómo se puede llevar a cabo un ataque de emails comprometidos. Veamos algunos de los principales.

Filtración de datos de correo electrónico

Una filtración de datos de correo electrónico es simplemente un caso de filtración o robo de información confidencial debido al uso de phishing por correo electrónico o piratería informática por correo electrónico, como el uso de un troyano u otra infección de malware.

Si bien hay muchos métodos y consecuencias de un ataque BEC, una filtración de datos de correo electrónico que ocurre en una empresa es esencialmente el resultado de un ataque BEC exitoso.

Email del proveedor comprometido

Un ataque de email del proveedor comprometido (VEC, por sus siglas en inglés “Vendor Email Compromise”) se produce cuando los estafadores centran su ataque BEC en un proveedor, como un vendedor online de material de oficina. Hay dos formas principales de llevar a cabo un ataque VEC: haciéndose pasar por el proveedor o haciéndose pasar por el cliente o contacto del proveedor.

Estas suplantaciones pueden lograrse mediante el robo de cuentas o simplemente haciendo que los estafadores se hagan pasar por el contacto de correo electrónico mediante credenciales falsas, como una dirección de correo electrónico falsa pero convincente. Esto se consigue a menudo con sutiles cambios de caracteres: Piensa, por ejemplo, en lo mucho que se parece TheRealDeal1@gmail.com a TheRealDealI@gmail.com para un lector desprevenido.

Con trucos como este, los estafadores pueden salirse con la suya pidiendo al cliente del proveedor que envíe pagos como «cuotas de suscripción actualizadas»; o, en el otro extremo, pueden hacerse pasar por un cliente que «nunca recibió los productos por los que pagó» y pedir un reembolso.

Fraude al CEO

El fraude al CEO es un término genérico para referirse a la explotación de la cuenta de un alto cargo de una organización, como un director ejecutivo o un inversor. Esta explotación puede basarse en someter al funcionario a un robo de cuentas, por ejemplo manipulándolo para que facilite las credenciales de su cuenta, o simplemente haciéndose pasar por él para cometer un ataque de phishing basado en ingeniería social.

Por ejemplo, el personal de alto nivel que practica una mala higiene de contraseñas -o que ha sido engañado para que facilite sus datos de acceso- es susceptible de convertirse en objetivo, y también es probable que tenga información sensible. Los estafadores buscan a personas que encajen en este perfil.

Sabiendo que los miembros más jóvenes del personal probablemente se lanzarán a dar a uno de sus jefes superiores la información que solicitan, algunos estafadores crean una dirección de correo electrónico que parece casi idéntica a la del funcionario real y prueban suerte con solicitudes de dinero, datos, etc.

¿Cómo afectan los ataques de emails comprometidos a tu empresa?

A continuación se exponen algunos de los principales problemas que pueden surgir, como los financieros, de reputación y de compromiso de los empleados, junto con algunas estadísticas asociadas:

• Pérdidas financieras: Los ataques BEC pueden ser extremadamente costosos. Según el Informe de Delitos en Internet de 2022 del Centro de Denuncias de Delitos en Internet (IC3) del FBI, el IC3 recibió 21.832 denuncias de ataques BEC con pérdidas ajustadas de más de 2.700 millones de dólares en 2022.
• Daños a la reputación: La preocupación por la reputación de una empresa va de la mano de su nivel de confianza en los nuevos contactos de correo electrónico. Resulta revelador que, según el informe Costo de una Filtración de Datos de 2022, de IBM, el 41% de las organizaciones habían implementado la arquitectura conocida como Confianza Cero (“Zero Trust») en sus operaciones. Esto significa que una proporción significativa de las empresas encuestadas decidió que los enfoques tradicionales de la seguridad del correo electrónico, como los firewalls, no eran suficientes y debían mejorarse con procesos de autenticación como la autenticación multifactor (MFA) y las tecnologías de cifrado.
• Reducción del compromiso de los empleados: El tiempo, el progreso y la concentración de tu personal reciben un golpe significativo cuando un costoso ataque BEC afecta tu negocio. Un informe de GreatHorn de 2021 afirma que el 43% de las organizaciones encuestadas experimentaron un incidente de seguridad en los 12 meses anteriores a la encuesta, y el 35% de ellas dijeron que los ataques BEC y otros ataques de phishing representaban más del 50% de esas amenazas.

Aunque todas y cada una de las organizaciones tendrán diferentes enfoques y contratiempos cuando se enfrenten a cuentas de email comprometidas, el hecho es que esto conlleva daños significativos para las finanzas, la confianza, la reputación, la moral y el compromiso general de los empleados de tu empresa.

Cómo prevenir los ataques BEC

Estos ataques pueden llevarse a cabo en gran medida mediante intentos de phishing basados en ataques de ingeniería social. Esto significa que muchos casos de cuentas de email comprometidas pueden prevenirse mitigando los errores humanos mediante la formación del personal. Junto a esto, existe la necesidad de utilizar las mejores prácticas de software, como la autenticación multifactor, para reducir el robo de cuentas y otros intentos de robo de identidad en línea.

A continuación analizamos algunas medidas preventivas:

• Mantener la mejor higiene posible de las contraseñas, sobre todo porque muchos ataques BEC se derivan de filtraciones de datos de credenciales de los usuarios. Una solución clave es asegurarte de que tus cuentas y contraseñas de trabajo sean siempre diferentes de tus credenciales personales, ya que es probable que los estafadores intenten entrar en tus cuentas privadas si conocen tus credenciales de trabajo, y viceversa. 
• Asegurarse de que tanto tu personal como tu software están equipados con las mejores prácticas de seguridad más recientes, como la última formación en ciberseguridad y el uso de aplicaciones de filtrado de correo electrónico y antispam.
• Utilizar la autenticación multifactor (MFA) para alertarte inmediatamente de un intento de inicio de sesión no reconocido.
• Desconfiar de cualquier correo electrónico que solicite información confidencial, sobre todo si procede de contactos no reconocidos.
• Considerar la posibilidad de utilizar una arquitectura de seguridad de Confianza Cero, ya que esto garantiza que cualquier solicitud de recursos en línea de la empresa pase primero por un proceso de autenticación y autorización, independientemente de si la fuente de la solicitud proviene de dentro o fuera de tu organización.

Es importante recordar que los ataques de cuentas de email comprometidas son como muchos otros ciberataques: La mejor manera de prevenirlos es asegurarse de que se está seguro en línea. Limitar los errores humanos con formación y optimizar tu equipo con el mejor software reducirá considerablemente las posibilidades de que las cuentas de email se vean comprometidas.

Soluciones para mitigar y prevenir los riesgos de emails comprometidos

La clave es garantizar que la infraestructura informática interna de tu empresa está optimizada para asegurar que se aplican las comprobaciones y medidas de seguridad necesarias, especialmente si tu organización utiliza una red interna propia. Cuenta con un software antivirus, ya que muchos ataques BEC engañan a los destinatarios de correo electrónico para que descarguen malware, y ponte siempre en contacto con tu proveedor de correo electrónico si sospechas o te encuentras con un ataque de este tipo.

La siguiente infografía muestra un enfoque paso a paso en siete partes que puede, en el mejor de los casos, permitir a tu personal prevenir los ataques BEC y, en el peor, mitigar los efectos de tales ataques:

Para explicarlo con más detalle, los dos primeros pasos consisten en asegurarse de que la actividad de tu cuenta de correo electrónico está protegida por las actividades de seguridad más básicas: Cambiar tu contraseña y garantizar que tu dispositivo está protegido con MFA. Para defenderte de tu atacante más reciente, esto debe hacerse inmediatamente.

Después, es el momento de preguntarte cómo pudo ocurrir esto en primer lugar. Revisar las carpetas de elementos enviados y de correo eliminado te ayudará a responder a esta pregunta mostrando que tú o un compañero de trabajo se han puesto en contacto con contactos sospechosos, o incluso que han pasado por alto los correos amenazadores al eliminarlos sin denunciarlos. Así es como se intenta identificar la actividad sospechosa. Hacer esto hará que un ataque similar sea mucho menos probable en el futuro.

De forma similar a la importancia de mantener actualizado el uso de tu MFA, te beneficiará reconocer una triste verdad: además de tu cuenta de email del trabajo, tu cuenta de email de recuperación también puede haber sido comprometida. Por eso también deberías actualizar la información de recuperación de tu cuenta.

Ten en cuenta que hoy en día mucha gente tiene más de una dirección de correo electrónico, como la del trabajo y la personal. La mejor manera de estar seguro en internet es asegurarse de cambiar la contraseña de ambas. Las filtraciones de datos de contraseñas son habituales, y un email comprometido podría dar lugar a más intrusiones, especialmente si el incidente desembocó en un robo de cuentas.

Los dos últimos puntos no solo te ayudarán a combatir el peligro de los ataques BEC, sino que probablemente también te ayudarán en otras tareas relacionadas con la seguridad. Si ejecutas un análisis antivirus en los dispositivos afectados y notificas el incidente a tu proveedor de correo electrónico, todas las partes implicadas estarán mejor informadas sobre el modo más adecuado de protegerte si el problema vuelve a surgir.

La ayuda de SEON contra los ataques BEC 

Todas las funciones de SEON están ahí para reducir tus chances de encontrarte con varias formas de ciberataques, incluyendo los ataques BEC. La principal forma en que SEON logra esto es a través de sus capacidades de monitorear la actividad del usuario.

El monitoreo de cuentas de usuario es el proceso de analizar las acciones de los usuarios (como horarios de inicio de sesión inusuales) y comportamientos (como cuando los usuarios acceden repentinamente a funciones que no suelen utilizar). El monitoreo de cuentas de usuario de SEON ayuda a identificar señales potenciales de acceso no autorizado y otros comportamientos fraudulentos. 

Mientras tanto, la herramienta de búsqueda de IP de SEON permite a los usuarios introducir una dirección IP que deseen examinar. A continuación, SEON proporcionará rápidamente información de acceso, como datos de localización, para que puedas evaluar si la cuenta conectada a la dirección parece legítima.

Veamos  más de cerca algunas formas en las que las funciones de monitoreo de la actividad de los usuarios y de búsqueda de IP de SEON pueden ayudar a combatir los ataques BEC:

• SEON ayuda a determinar qué constituye actividad y comportamiento no deseados, establecer reglas contra esos problemas y hacer que el software marque o bloquee a los usuarios sospechosos en consecuencia. Por ejemplo, si un usuario sigue entrando y saliendo de una cuenta rápidamente, puede estar cometiendo un robo de cuenta contra uno de tus empleados con el único propósito de un ataque BEC. SEON es capaz de registrar el uso de la cuenta y el historial de inicio de sesión de los usuarios; los comportamientos y tiempos inusuales te ayudarán a determinar el nivel de riesgo de un usuario.
• La herramienta de búsqueda de IP de SEON puede identificar actividades de geolocalización dudosas. Por ejemplo, el software de SEON puede detectar a alguien que afirma pertenecer a tu organización, pero que en realidad ha iniciado sesión desde otro país, y marcarlo para revisión.

La combinación de las funciones de monitoreo de la actividad de los usuarios y de búsqueda de IP de SEON te ayudará a determinar si determinados usuarios y contactos de correo electrónico deben ser tratados con precaución.

Fuentes

• FBI: IC3 Releases 2020 Internet Crime Report
• IBM: Cost of a Data Breach 2022
• IC3: Federal Bureau of Investigation Internet Crime Report 2022
• GreatHorn: New Report Explores State of Evolving Email Threats

Artículos relacionados

• Guía para la detección y prevención del fraude por robo de cuentas (ATO)
• Monitoreo de la actividad del usuario: Ejemplos, legalidad y consejos