Emails comprometidos (BEC)

¿Qué son las cuentas de email comprometidas?

Los emails comprometidos (BEC, por sus siglas en inglés “Business Email Compromise”) son un tipo de fraude en el que un delincuente, que se hace pasar por un contacto legítimo, consigue las credenciales de inicio de sesión de una cuenta de correo empresarial oficial, lo que da lugar al robo de cuentas, la explotación de los recursos de la empresa mediante la suplantación de identidad y la filtración de datos corporativos confidenciales. La víctima cree que está entregando sus datos de acceso por una razón legítima y urgente. Este tipo de ataques puede conducir a filtraciones de datos extremadamente perjudiciales de información sensible o financiera, o pueden utilizarse directamente para intentar robar dinero bajo la apariencia de procesos empresariales válidos. 

Este proceso, que se apunta maliciosamente a las credenciales de inicio de sesión, suele ser una forma de phishing. Como se produce en línea, entra dentro de la definición legal de fraude electrónico, según la legislación estadounidense, y esta forma de fraude va en aumento a medida que los estafadores se vuelven más expertos en el engaño y la coacción. En una encuesta realizada en 2022 entre las principales instituciones financieras, LexisNexis informó que el 71% de todas las fintech habían sufrido un ataque BEC. El personal de todos los niveles es vulnerable a este tipo de ataques, por lo que es necesario utilizar términos como «fraude del CEO» para referirse a los correos electrónicos comprometidos a nivel ejecutivo. Se trata de una vulnerabilidad especialmente amenazante si no se informa a todo el personal de las tácticas más comunes de BEC, y si no se cuenta con ningún tipo de software de verificación del email.

A modo de ejercicio, puedes probar la herramienta gratuita de búsqueda de correo electrónico de SEON para ver qué información puede asociarse a una cuenta de email y qué puntos de datos enriquecidos podrían ser indicadores de alerta si surgiera una discrepancia repentina e inesperada. 

Cómo saber qué cuentas de email están comprometidas

El BEC funciona convenciendo a un empleado para que revele información que lleve a una parte no autorizada a acceder a su cuenta de correo electrónico. A partir de ahí, los estafadores pueden hacerse pasar por ese empleado para solicitar pagos o información confidencial, o para utilizar esa cuenta y obtener más acceso a la infraestructura de datos confidenciales de la empresa. Para ello, los estafadores utilizan la información disponible en internet, junto con datos obtenidos mediante tácticas de phishing. Esto puede incluir la suplantación de cuentas de correo electrónico parecidas, phishing o malware oculto en documentos descargables. En algunos casos, las credenciales de inicio de sesión obtenidas simplemente se ponen a la venta en la dark web.

Los estafadores pueden hacerse pasar por un contacto empresarial legítimo -normalmente un alto ejecutivo o un proveedor conocido- para aprovecharse de la confianza del empleado. A continuación, suelen utilizar una sensación de urgencia para convencer al empleado de que realice un pago rápido que eluda los protocolos normales, introduciendo potencialmente un elemento de confidencialidad para explicar por qué no se pueden seguir los procedimientos habituales e incluso pueden prometer un ascenso o una bonificación.

En otros casos, el acceso a una cuenta de correo electrónico con privilegios elevados podría bastar para obtener acceso a otras partes de la red de la empresa, lo que daría lugar a enormes filtraciones de datos. A menudo, este riesgo es mayor que el de que los estafadores se hagan pasar por ellos y se lleven los fondos de la empresa, ya que puede provocar un enorme daño a la reputación que afecte la confianza de los clientes y, en última instancia, la rentabilidad de la inversión.

¿Cómo se lleva a cabo un ataque BEC?

Hay diferentes etapas en un ataque de emails comprometidos, pero generalmente implican recopilar información, establecer contacto y luego enviar una solicitud, a veces acompañada de promesas adicionales, coacción u otras técnicas de ingeniería social.

1. Los estafadores dedican tiempo y esfuerzo a conocer una empresa, sus procesos, sus contactos y su personal antes de intentar llevar a cabo un fraude de cuentas de email comprometidas.
2. Una vez que han acumulado suficientes conocimientos, contactan a la organización por teléfono o correo electrónico, normalmente a una persona concreta. Para ello, pueden hacerse con el control de una cuenta de correo legítima o falsificar una dirección que se parezca mucho a una auténtica.
3. Los estafadores pueden hacerse pasar por un alto ejecutivo de la empresa o por un contacto legítimo de un proveedor u organización asociada de confianza. En ambos casos, informará al empleado objetivo de que necesita realizar un pago urgente, solicitará acceso a una parte concreta de la red o continuará la cadena de fraude y pedirá las credenciales de inicio de sesión de otra persona.
4. Es probable que le avisen al empleado que hay un elemento de confidencialidad relacionado con la solicitud y que debe hacerse con prisa.
5. Un elemento clave de este tipo de fraude es que los estafadores le dirán a la víctima que se salte los procedimientos normales de la empresa. Ofrecerá una explicación creíble sobre el motivo y, a continuación, se apresurará a que el empleado satisfaga su petición de dinero o datos.
6. El empleado, creyendo que está en contacto con una persona auténtica en la que confía, suele satisfacer la petición antes de darse cuenta de que algo va mal, o bien se siente intimidado por la falsa autoridad.

¿Qué tan común es este tipo de ataque?

Los ataques de emails comprometidos son cada vez más frecuentes. Según el informe Cyber Snapshot del tercer trimestre de 2022 de Beazley, en los nueve primeros meses de 2022 se produjeron casi tantos incidentes de este tipo como en todo 2021.

Los servicios profesionales y las asociaciones registraron el mayor número de incidentes BEC durante los nueve primeros meses de 2022, seguidos de las instituciones financieras y las organizaciones sanitarias. El sector educativo también experimentó un fuerte aumento de incidentes de este tipo entre 2021 y 2022.

¿Cómo se utilizan las cuentas de email comprometidas?

Los estafadores pueden utilizar las cuentas de email comprometidas para acceder a información de la empresa. Mediante una combinación de presión y persuasión, pueden convencer a los empleados para que revelen información confidencial y, en última instancia, realicen uno o varios pagos a la cuenta bancaria de los estafadores.

Los estafadores también pueden utilizar emails comprometidos para acceder a información sobre los contactos de una empresa. Pueden utilizar esto como parte de sus intentos de fraude BEC en una empresa, y luego hacer lo mismo en otra, utilizando la información que han obtenido en el primer ataque. 

Cómo detener los ataques de emails comprometidos

Para las empresas, la prevención eficaz de estos ataques implica una combinación de formación de concientización, implementación de procedimientos eficaces y utilización de software y herramientas adecuados que señalen actividades sospechosas o proporcionen información contextual adicional sobre cuentas de email, personas, etc.

Los ataques de emails comprometidos son eficaces porque los estafadores se han tomado el tiempo necesario para conocer la empresa, lo que significa que pueden hacerse pasar por un contacto legítimo. Hacen sus deberes y pueden ser extremadamente convincentes.

Hay varias medidas que las empresas pueden tomar para protegerse contra el fraude BEC. El intercambio de conocimientos desempeña un papel clave en la aplicación de medidas antifraude, por lo que las empresas deben asegurarse de estar al tanto de los últimos riesgos, comprender cuáles son los que más les afectan y educar regularmente a los empleados para que sean conscientes de los peligros. Como parte de esta labor, debe hacerse hincapié en la importancia de respetar siempre los procedimientos de la empresa.

Términos relacionados

Artículos relacionados

Fuentes