El correo electrónico empresarial comprometido, o BEC, es una estafa de correo electrónico de suplantación de identidad que intenta robar dinero o datos confidenciales de una empresa.
En un ataque BEC, un ciberdelincuente (o grupo de ellos) envía a los empleados de la organización objetivo correos electrónicos que parecen provenir de un compañero de trabajo o de un proveedor, socio, cliente u otro asociado.El texto de los correos electrónicos trata de engañar a los empleados para que paguen facturas fraudulentas, realicen transferencias bancarias a cuentas falsas o divulguen información confidencial como datos de clientes, de ropiedad intelectual o de finanzas corporativas.
En casos más raros, los estafadores BEC pueden intentar difundir ransomware o malware pidiendo a las víctimas que abran un adjunto o hagan clic en un enlace malicioso.
Para hacer que sus correos electrónicos parezcan legítimos, los atacantes de BEC investigan cuidadosamente a los empleados a los que se dirigen y las identidades por las que se hacen pasar.Utilizan técnicas de ingeniería social, como suplantación de direcciones de correo electrónico y pretexto, para crear correos electrónicos de ataque que se vean y leen como si los enviara el remitente suplantado.En algunos casos, los estafadores piratean y secuestran la cuenta de correo electrónico del remitente, lo que hace que los mensajes de ataque sean aún más creíbles, cuando no prácticamente indistinguibles de los mensajes legítimos.
Los ataques de riesgo de correo electrónico empresarial están entre los ciberataques más costosos.Según el informe IBM Cost of a Data Breach 2022, las estafas BEC son el segundo tipo de infracción más costoso, y cuestan un promedio de 4,89 millones USD.Según el Informe sobre delitos en Internet del Centro de denuncias de delitos en Internet del FBI (PDF, el enlace se encuentra fuera de ibm.com) Las estafas BEC cuestan a las víctimas estadounidenses un total de 2.709 millones de USD en 2022.
Los expertos en ciberseguridad y el FBI identifican seis tipos principales de ataques BEC.
Esquemas de facturación falsos
El atacante de BEC finge ser un proveedor con el que trabaja la empresa y envía al empleado objetivo un correo electrónico con una factura falsa adjunta; cuando la empresa paga la factura, el dinero va directamente al atacante.Para que estos ataques sean convincentes, el atacante puede interceptar facturas de proveedores reales y modificarlas para dirigir los pagos a sus propias cuentas bancarias.
Cabe destacar que los tribunales han dictaminado (el enlace se encuentra fuera de ibm.com) que las empresas que caen en la trampa de facturas falsas siguen teniendo que enfrentarse a sus homólogas reales.
Una de los mayores estafas de facturas falsas se llevó a cabo en Facebook y Google.De 2013 a 2015, un estafador se hizo pasar por Quanta Computer, un fabricante de hardware real con el que trabajan ambas empresas, y robó 98 millones de USD a Facebook y 23 millones de USD a Google.Aunque el estafador fue detenido y ambas empresas recuperaron la mayor parte de su dinero, este resultado es poco frecuente en las estafas BEC.
Fraude de CEO
Los estafadores se hacen pasar por un ejecutivo, normalmente un director general, y piden a un empleado que envíe dinero electrónicamente a algún sitio, a menudo con el pretexto de cerrar un trato, pagar una factura atrasada o incluso comprar tarjetas regalo para compañeros de trabajo.
Los esquemas de fraude de CEO suelen crear una sensación de urgencia, para que el objetivo actúe con rapidez y precipitación (por ejemplo, " Esta factura está vencida y vamos a perder el servicio si no la pagamos inmediatamente") o de secretismo, para que el objetivo no consulte a sus compañeros de trabajo (por ejemplo, " Este acuerdo es confidencial, así que no se lo digas a nadie").
En 2016, un estafador que fingía ser CEO del fabricante aeroespacial FACC utilizó una adquisición falsa para engañar a un empleado para que transfiriese 47 millones de USD (el enlace reside fuera de ibm.com).Como resultado de la estafa, la junta directiva de la empresa despidió tanto al director financiero como al director ejecutivo por "incumplir" sus deberes.
Compromiso de cuenta de correo electrónico (EAC)
Los estafadores se apoderan de la cuenta de correo electrónico de un empleado no ejecutivo.Pueden usarla para enviar facturas falsas a otras empresas o engañar a otros empleados para que compartan información confidencial.Los estafadores suelen utilizar EAC para suplantar las credenciales de cuentas de nivel superior, que pueden utilizar para cometer fraude a los directores ejecutivos.
Suplantación de abogado
Los estafadores se hacen pasar por un abogado y le piden a la víctima que pague una factura o comparta información confidencial.Las estafas de suplantación de abogados se apoyan en el hecho de que mucha gente coopera con los abogados, y no es extraño que un abogado pida confidencialidad.
Los miembros de la banda de BEC rusa Cosmic Lynx suelen fingir ser abogados como parte de un ataque de suplantación doble (el enlace reside fuera de ibm.com).En primer lugar, el CEO de la empresa objetivo recibe un correo electrónico en el que se presenta al CEO a un "abogado" que ayuda a la empresa con una adquisición u otro acuerdo comercial.Luego, el abogado falso envía un correo electrónico al CEO solicitando una transferencia bancaria para cerrar el acuerdo.En promedio, los ataques Cosmic Lynx roban 1,27 millones de USD de cada objetivo.
Robo de datos
Muchos ataques BEC instan a los empleados de RR. HH. y finanzas a robar información de identificación personal (PII) y otros datos confidenciales que pueden utilizar para cometer robo de identidad o llevar a cabo futuros ataques.
Por ejemplo, en 2017, el IRS advirtió (el enlace reside fuera de ibm.com) de una estafa BEC que robaba datos de empleados: los estafadores se hacían pasar por un ejecutivo de la empresa y pedían a un empleado de nóminas que enviara copias de los formularios W-2 de los empleados (que incluyen sus números de la Seguridad Social y otra información sensible).Algunos de estos mismos empleados de nómina recibieron correos electrónicos de "seguimiento" que solicitaron que se realicen transferencias bancarias a una cuenta fraudulenta.Los estafadores asumieron que los objetivos que consideraban creíble la solicitud de W2 eran objetivos excelentes para una solicitud de transferencia bancaria.
Robo de mercancías
A principios de 2023, el FBI advirtió (enlace reside fuera de ibm.com) de un nuevo tipo de ataque, en el que los estafadores se hacen pasar por clientes corporativos para robar productos de la empresa objetivo.Utilizando información financiera falsa y haciéndose pasar por empleados del departamento de compras de otra empresa, los estafadores negocian una gran compra a crédito.La empresa objetivo envía el pedido, normalmente materiales de construcción o hardware informático, pero los estafadores nunca pagan.
Técnicamente, el BEC es un tipo de spear phishing, un ataque de suplantación de identidad dirigido a una persona o grupo de personas específico.Lo que hace que el BEC sea único entre los ataques de spear phishing es que el objetivo es el empleado o asociado de una empresa u organización, y que el estafador se hace pasar por otro empleado o asociado que el objetivo conoce o en el que tiende a confiar.
Si bien algunos ataques BEC son obra de estafadores solitarios, otros (ver arriba) son llevados a cabo por bandas BEC.Estas bandas operan como negocios legítimos y emplean a expertos, como especialistas en generación de leads que buscan objetivos, piratas informáticos que irrumpen en las cuentas de correo electrónico y escritores profesionales que se aseguran de que los correos electrónicos de suplantación de identidad no contengan errores y sean convincentes.
Una vez que el estafador o la banda ha elegido un negocio para robar, los ataques BEC suelen seguir un mismo patrón.
Elegir una organización de destino
Casi cualquier empresa, organización sin ánimo de lucro o administración pública son un objetivo adecuado para los ataques BEC.Las grandes organizaciones con mucho dinero y clientes, y con suficientes transacciones como para que las proezas BEC pasen desapercibidas entre ellas, son objetivos obvios.
Sin embargo, los eventos globales o locales pueden guiar a los atacantes BEC a oportunidades más específicas.Por ejemplo, durante la pandemia de COVID-19, el FBI advirtió de que estafadores BEC que se hacían pasar por proveedores de equipos y suministros médicos estaban facturando a hospitales y organismos sanitarios.En el otro extremo (pero no menos lucrativo) del espectro, en 2021 los estafadores del BEC se aprovecharon de proyectos educativos y de construcción muy publicitados en Peterborough, New Hampshire, y desviaron 2,3 millones USD de fondos municipales a cuentas bancarias fraudulentas (el enlace está fuera de ibm.com).
Investigación de objetivos de empleados e identidades de remitentes
A continuación, los estafadores comienzan a investigar la organización objetivo y sus actividades para determinar los empleados que recibirán los correos electrónicos de phishing, y las identidades de los remitentes que los estafadores suplantarán.
Las estafas BEC suelen dirigirse a empleados de nivel medio, por ejemplo, gerentes del departamento de finanzas o de recursos humanos (RRHH), que tienen autoridad para emitir pagos o tienen acceso a datos confidenciales y que están dispuestos a cumplir con una solicitud de un alto directivo o ejecutivo.Algunos ataques BEC pueden dirigirse a nuevos empleados que pueden tener poca o ninguna formación de concienciación sobre la seguridad y una comprensión limitada de los procedimientos y aprobaciones adecuados de pago o intercambio de datos.
Para la identidad de un remitente, los estafadores eligen a un compañero de trabajo o asociado que pueda solicitar o influir de forma creíble en la acción que el estafador desea que lleve a cabo el empleado objetivo.Las identidades de los compañeros de trabajo suelen ser gerentes, ejecutivos o abogados de alto nivel de la organización.Las identidades externas pueden ser ejecutivos de organizaciones de proveedores o socios, pero también pueden ser compañeros o colegas del empleado objetivo; por ejemplo, un proveedor con el que el empleado objetivo trabaja habitualmente, un abogado que asesora en una transacción o un cliente existente o nuevo.
Muchos estafadores utilizan las mismas herramientas de generación de contactos que los profesionales legítimos del marketing y las ventas —LinkedIn y otras redes sociales, fuentes de noticias empresariales y sectoriales, programas informáticos de prospección y creación de listas— para encontrar posibles empleados objetivo y utilizar las identidades de los remitentes.
Piratear las redes del objetivo y del remitente
No todos los atacantes de BEC dan el paso de piratear las redes de las organizaciones objetivo y remitente.Pero aquellos que tienen comportamientos de malware, observan objetivos y remitentes y acumulan información y privilegios de acceso durante semanas antes del ataque real.Esto puede permitir a los atacantes:
Elegir los mejores empleados objetivo e identidades de remitentes en función de los comportamientos observados y los privilegios de acceso.
Obtener más información sobre cómo se envían las facturas y cómo se gestionan los pagos o las solicitudes de datos confidenciales, para así suplantar mejor las solicitudes en sus correos electrónicos de ataque
Determinar las fechas de vencimiento para pagos específicos a proveedores, abogados, etc.
Interceptar una factura de proveedor o una orden de compra legítimas y modificarla para especificar el pago a la cuenta bancaria del atacante
Tomar el control de la cuenta de correo electrónico real del remitente (consulte la sección Compromiso de cuenta de correo electrónico, más arriba), lo que permite al estafador enviar correos electrónicos de ataque directamente desde la cuenta y, a veces, incluso insertarlos en conversaciones de correo electrónico legítimas en curso, para garantizar la máxima autenticidad.
Preparación y lanzamiento del ataque
Una suplantación convincente es clave para el éxito de los ataques BEC, y los estafadores elaboran sus correos electrónicos de ataque para conseguir la máxima autenticidad y credibilidad.
Si no han pirateado el correo electrónico del remitente, los estafadores crearán una cuenta de correo que falsee la dirección de correo electrónico del remitente para que parezca legítima.(Por ejemplo, pueden utilizar errores ortográficos creativos de nombre o nombre de dominio, como jsmith@company.com o jane.smith@cornpany.com para jane.smith@company.com).Pueden agregar otras señas visuales, como una firma con el logotipo de la empresa del remitente o una declaración de privacidad detallada (y falsa).
Un componente clave del correo electrónico de ataque es el pretexto falso (pero plausible) escrito para obtener la confianza del objetivo y convencerle o presionarle el objetivo para hacer lo que el atacante quiere que haga.Los pretextos más eficaces combinan una situación reconocible con una sensación de urgencia e implicación de consecuencias.Un mensaje de un gerente o director ejecutivo que dice: Estoy a punto de subirme a un avión. ¿Pueden echarme una mano procesando esta factura (adjunta) para evitar cargos por pagos atrasados? es un ejemplo clásico de pretexto BEC.
Dependiendo de la solicitud, los estafadores también pueden crear sitios web falsos, registrar empresas falsas o incluso proporcionar un número de teléfono falso al que el objetivo pueda llamar para obtener confirmación.
Las estafas BEC son uno de los ciberdelitos más difíciles de impedir, porque rara vez utilizan malware que las herramientas de seguridad pueden detectar.En cambio, los estafadores confían en el engaño y la manipulación.Los estafadores ni siquiera necesitan acceder a su empresa objetivo; pueden estafar enormes sumas de dinero a las víctimas accediendo a un proveedor o cliente, o incluso haciéndose pasar por él.Como resultado, los ataques BEC tardan un promedio de 308 días en identificarse y contenerse, según el Informe sobre el coste de una infracción de datos: el segundo tiempo de resolución más largo de todos los tipos de infracciones.
Dicho esto, las empresas pueden tomar las siguientes medidas para defenderse contra estas estafas:
La formación de concienciación sobre ciberseguridad puede ayudar a los empleados a comprender los peligros de compartir información en exceso en las plataformas y aplicaciones de redes sociales que los estafadores utilizan para encontrar e investigar a sus objetivos.La formación también puede ayudar a los empleados a detectar intentos de BEC y adoptar las mejores prácticas, como verificar grandes solicitudes de pago antes de efectuarlas.
Es posible que las herramientas de seguridad del correo electrónico no detecten todos los correos electrónicos de BEC, especialmente aquellos que provienen de cuentas afectadas.Sin embargo, pueden ayudar a detectar direcciones de correo electrónico falsificadas.Algunas herramientas también pueden marcar contenido sospechoso de correo electrónico que podría indicar un intento de BEC.
La autenticación de dos factores o multifactor puede dificultar que los atacantes de BEC pirateen las cuentas de correo electrónico.
Herramientas de seguridad empresarial como orquestación de seguridad, automatización y respuesta (SOAR por sus siglas en inglés), gestión de información de seguridad y eventos (SIEM), detección y respuesta de puntos finales (EDR) y detección y respuesta ampliadas (XDR) pueden ayudar a los equipos de seguridad a identificar y detener los ataques BEC más rápidamente mediante la identificación de los intentos de sacar partido de las vulnerabilidades de la red, y marcar actividad en puntos finales, en cuentas de correo electrónico y en otros lugares que pueda indicar una actividadf de reconocimiento por parte de los hackers.
Detecte amenazas avanzadas que otros simplemente pasan por alto.QRadar SIEM saca partido del análisis y la inteligencia artificial para supervisar la información sobre amenazas, las anomalías del comportamiento del usuario y de la red y para priorizar dónde se necesita atención y remediación inmediatas.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de programas maliciosos y ataques de suplantación de identidad protegiendo a sus clientes minoristas y de empresa.
Proteja los puntos finales de los ciberataques, detecte comportamientos anómalos y active remediaciones casi en tiempo real con esta solución sofisticada pero fácil de usar de detección y respuesta en puntos finales (EDR por sus siglas en inglés).
Manténgase al día de las noticias, tendencias y técnicas de prevención de BEC en Security Intelligence, el blog de liderazgo intelectual alojado por IBM Security.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas, hasta que se paga un rescate.
Este informe, que ya se halla en su 17ª edición, comparte los últimos datos sobre el creciente panorama de las amenazas y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.