¿Qué es el correo electrónico empresarial comprometido (BEC por sus siglas en inglés)?

En un ataque BEC, un ciberdelincuente (o grupo de ellos) envía a los empleados de la organización objetivo correos electrónicos que parecen provenir de un compañero de trabajo o de un proveedor, socio, cliente u otro asociado. Los correos electrónicos engañan a los empleados para que paguen facturas fraudulentas, transfieran transferencias a cuentas bancarias falsas o divulguen información confidencial como datos de clientes, propiedad intelectual o finanzas corporativas.

En casos excepcionales, los atacantes BEC intentan propagar ransomware o malware pidiendo a las víctimas que abran un archivo adjunto o hagan clic en un enlace malicioso. También investigan cuidadosamente a los empleados a los que se dirigen y las identidades que suplantan para que sus correos electrónicos parezcan legítimos. Las técnicas deingeniería social, como la suplantación de direcciones de correo electrónico y el pretexto, les ayudan a crear correos electrónicos de ataque convincentes que se ven y se leen como si fueran enviados por el remitente suplantado.

A veces, los estafadores piratean y secuestran la cuenta de correo electrónico del remitente, lo que hace que los correos electrónicos de ataque sean aún más creíbles, si no indistinguibles de los mensajes de correo electrónico legítimos. Los ataques de riesgo de correo electrónico empresarial están entre los ciberataques más costosos.

Según el informe Cost of a Data Breach 2022 de IBM, las estafas BEC son el segundo tipo de infracción más caro, y cuestan un promedio de 4,89 millones USD. Según el Informe sobre delitos en Internet del Centro de Denuncias de Delitos en Internet del FBI, las estafas BEC costaron a las víctimas estadounidenses un total de 2700 millones de dólares en 2022.

Los expertos en ciberseguridad y el FBI identifican seis tipos principales de ataques BEC.

El atacante BEC se hace pasar por un proveedor con el que trabaja la empresa y envía al empleado objetivo un correo electrónico con una factura falsa adjunta. Cuando la empresa paga la factura, el dinero va directamente al atacante. Para que estos ataques sean convincentes, el atacante puede interceptar facturas de proveedores reales y modificarlas para dirigir los pagos a sus propias cuentas bancarias.

En particular, los tribunales dictaminaron que las empresas que caen en la trampa de las facturas falsas siguen estando en peligro por sus contrapartes reales.

Una de los mayores estafas de facturas falsas se llevó a cabo en Facebook y Google. Entre 2013 y 2015, un estafador que se hizo pasar por Quanta Computer, un fabricante de hardware real con el que trabajan ambas empresas, robó 98 millones de dólares de Facebook y 23 millones de dólares de Google. Aunque el estafador fue detenido y ambas empresas recuperaron la mayor parte de su dinero, este resultado es poco frecuente en las estafas BEC.

Los estafadores se hacen pasar por un ejecutivo, normalmente un CEO, y piden a un empleado que transfiera dinero a alguna parte. Esta solicitud a menudo se hace bajo la apariencia de cerrar un trato, pagar una factura vencida o incluso comprar tarjetas de regalo para compañeros de trabajo.

Las estafas de fraude al CEO suelen crear una sensación de urgencia que empuja a la víctima a actuar de forma rápida y precipitada. Por ejemplo: "Esta factura está vencida y vamos a perder el servicio si no la pagamos inmediatamente". Otra técnica es crear una sensación de secreto para evitar que el objetivo consulte a sus compañeros de trabajo, por ejemplo: "Este acuerdo es confidencial, así que no se lo cuentes a nadie".

En 2016, un estafador que se hacía pasar por CEO del fabricante aeroespacial FACC utilizó una adquisición falsa para engañar a un empleado para que transfiriera 47 millones de dólares. Como resultado de la estafa, la junta directiva de la empresa despidió tanto al CFO como al CEO por "incumplir" sus deberes.

Los estafadores se apoderan de la cuenta de correo electrónico de un empleado no ejecutivo y luego envían facturas falsas a otras empresas o engañan a otros empleados para que compartan información confidencial. Los estafadores suelen utilizar EAC para suplantar las credenciales de cuentas de nivel superior, que pueden utilizar para cometer fraude a los CEO.

Los estafadores se hacen pasar por un abogado y le piden a la víctima que pague una factura o comparta información confidencial. Las estafas de suplantación de abogados se basan en el hecho de que las personas tienden a cooperar con los abogados, y no es extraño que un abogado solicite confidencialidad.

Los miembros de la banda rusa DE BEC Cosmic Lynx suelen hacerse pasar por abogados como parte de un ataque de doble suplantación de identidad. En primer lugar, el CEO de la empresa objetivo recibe un correo electrónico en el que se presenta al CEO a un "abogado" que ayuda a la empresa con una adquisición u otro acuerdo comercial. Luego, el abogado falso envía un correo electrónico al CEO y le solicita una transferencia bancaria para cerrar el acuerdo. En promedio, los ataques de Cosmic Lynx roban 1,27 millones de dólares de cada objetivo.

Muchos ataques BEC se dirigen a empleados de RR. HH. y finanzas para robar información de identificación personal (PII) y otros datos confidenciales con los que cometer robos de identidad o ciberdelitos.

Por ejemplo, en 2017, el IRS advirtió sobre una estafa BEC que robó datos de empleados. Los estafadores se hicieron pasar por un ejecutivo de la empresa y pidieron a un empleado de nómina que enviara copias de los formularios W-2 de los empleados (que incluyen los números de seguridad social de los empleados y otra información confidencial). Algunos de estos mismos empleados de nómina recibieron correos electrónicos de "seguimiento" que solicitaban la realización de transferencias bancarias a cuentas fraudulentas. Los estafadores asumieron que los objetivos que consideraban creíble la solicitud de W2 eran objetivos excelentes para una solicitud de transferencia bancaria.

A principios de 2023, el FBI advirtió sobre un nuevo tipo de ataque en el que los estafadores se hacen pasar por clientes corporativos para robar productos de la empresa objetivo. Utilizando información financiera falsa y haciéndose pasar por empleados del departamento de compras de otra empresa, los estafadores negocian una gran compra a crédito. La empresa objetivo envía el pedido, normalmente materiales de construcción o hardware informático, pero los estafadores nunca pagan.

Técnicamente, el BEC es un tipo de spear phishing, un ataque de suplantación de identidad dirigido a una persona o grupo de personas específico. El BEC es único entre los ataques de spear phishing porque se dirige a los empleados o asociados de una empresa u organización, y el estafador se hace pasar por un compañero de trabajo conocido por la víctima o en quien tiende a confiar.

Aunque algunos ataques BEC son obra de estafadores solitarios, otros son iniciados por bandas BEC. Estas bandas operan como negocios legítimos y emplean a expertos, como especialistas en generación de oportunidades que buscan objetivos, piratas informáticos que irrumpen en las cuentas de correo electrónico y escritores profesionales que se aseguran de que los correos electrónicos de suplantación de identidad no contengan errores y sean convincentes. 

Una vez que el estafador o la banda ha elegido un negocio para robar, los ataques BEC suelen seguir un mismo patrón.

Casi cualquier empresa, organización sin ánimo de lucro o gobierno son un objetivo adecuado para los ataques BEC. Las grandes organizaciones con muchos clientes y transacciones, que pueden hacer que los ataques BEC pasen desapercibidos, son objetivos obvios.

Sin embargo, los eventos globales o locales pueden guiar a los atacantes BEC a oportunidades más específicas. Por ejemplo, durante la pandemia de COVID-19, el FBI advirtió de que estafadores BEC que se hacían pasar por proveedores de equipos y suministros médicos estaban facturando a hospitales y organismos sanitarios.

En el otro extremo del espectro (pero no menos lucrativo), en 2021, los estafadores del BEC se beneficiaron de proyectos educativos y de construcción muy publicitados en Peterborough (Nuevo Hampshire) y desviaron 2,3 millones de dólares de los fondos municipales a cuentas bancarias fraudulentas.

A continuación, los estafadores comienzan a investigar la organización objetivo y sus actividades para determinar los empleados que recibirán los correos electrónicos de phishing, y las identidades de los remitentes que los estafadores suplantarán.

Las estafas BEC suelen dirigirse a empleados de nivel medio, como directores del departamento financiero o de recursos humanos (RR. HH.), que tienen autoridad para emitir pagos o acceso a datos confidenciales, y que tienden a cumplir este tipo de solicitudes de altos directivos o ejecutivos. Algunos ataques BEC pueden dirigirse a nuevos empleados que pueden tener poca o ninguna formación de concienciación sobre la seguridad y una comprensión limitada de los procedimientos y aprobaciones adecuados de pago o intercambio de datos.

Para la identidad de un remitente, los estafadores eligen a un compañero de trabajo o asociado que pueda solicitar o influir de forma creíble en la acción que el estafador desea que lleve a cabo el empleado objetivo. Las identidades de los compañeros de trabajo suelen ser gerentes, ejecutivos o abogados de alto nivel de la organización.

Las identidades externas pueden ser ejecutivos de organizaciones de proveedores o socios, pero también pueden ser compañeros o colegas del empleado objetivo; por ejemplo, un proveedor con el que el empleado objetivo trabaja habitualmente, un abogado que asesora en una transacción o un cliente existente o nuevo.

Muchos estafadores utilizan las mismas herramientas de generación de oportunidades que los profesionales legítimos del marketing y las ventas (LinkedIn y otras redes sociales, fuentes de noticias empresariales y sectoriales, programas informáticos de prospección y creación de listas) para encontrar posibles empleados objetivo y utilizar las identidades de los remitentes.

No todos los atacantes BEC dan el paso de piratear las redes de las organizaciones objetivo y remitente. Pero aquellos que sí se comportan como malware, observan a los objetivos y remitentes y acumulan información y privilegios de acceso durante semanas antes del ataque real. Esto puede permitir a los atacantes:

• Elegir los mejores empleados objetivo e identidades de remitentes en función de los comportamientos observados y los privilegios de acceso.
   

• Obtener más información sobre cómo se envían las facturas y cómo se gestionan los pagos o las solicitudes de datos confidenciales, para así suplantar mejor las solicitudes en sus correos electrónicos de ataque.
   

• Determinar las fechas de vencimiento para pagos específicos a proveedores, abogados, etc.
   

• Interceptar una factura de proveedor o una orden de compra legítimas y modificarla para especificar el pago a la cuenta bancaria del atacante.
   

• Tomar el control de la cuenta de correo electrónico real del remitente, lo que permite al estafador enviar correos electrónicos maliciosos directamente desde la cuenta y, en ocasiones, incluso insertarlos en conversaciones legítimas en curso, para lograr la máxima autenticidad.

Una suplantación convincente es clave para el éxito de los ataques BEC, y los estafadores elaboran sus correos electrónicos de ataque para conseguir la máxima autenticidad y credibilidad. Si no han pirateado el correo electrónico del remitente, los estafadores crearán una cuenta de correo que falsee la dirección de correo electrónico del remitente para que parezca legítima. (Por ejemplo, pueden utilizar errores ortográficos creativos de nombre o nombre de dominio, como jsmith@company.com o jane.smith@cornpany.com para jane.smith@company.com). Pueden agregar otras señas visuales, como una firma con el logotipo de la empresa del remitente o una declaración de privacidad detallada (y falsa).

Un componente clave del correo electrónico de ataque es el pretexto falso (pero plausible) escrito para obtener la confianza del objetivo y convencerle o presionarle el objetivo para hacer lo que el atacante quiere que haga. Los pretextos más eficaces combinan una situación reconocible con una sensación de urgencia e implicación de consecuencias. Un mensaje de un gerente o CEO que dice: "Estoy a punto de subirme a un avión. ¿Podéis echarme una mano procesando esta factura (adjunta) para evitar cargos por pagos atrasados?" es un ejemplo clásico de pretexto BEC.

Dependiendo de la solicitud, los estafadores también pueden crear sitios web falsos, registrar empresas falsas o incluso proporcionar un número de teléfono falso al que el objetivo pueda llamar para obtener confirmación.

Las estafas BEC son uno de los ciberdelitos más difíciles de impedir, porque rara vez utilizan malware que las herramientas de seguridad pueden detectar. En cambio, los estafadores confían en el engaño y la manipulación. Los estafadores ni siquiera necesitan vulnerar la seguridad de la empresa objetivo.

Pueden robar a las víctimas sumas masivas violando, o incluso suplantando, a un proveedor o cliente. Como resultado, los ataques BEC tardan un promedio de 308 días en identificarse y contenerse, según el informe "Cost of a Data Breach": el segundo tiempo de resolución más largo de todos los tipos de infracciones.

Dicho esto, las empresas pueden tomar las siguientes medidas para defenderse contra estas estafas:

• La formación de concienciación sobre ciberseguridad puede ayudar a los empleados a comprender los peligros de compartir información en exceso en las plataformas y aplicaciones de redes sociales que los estafadores utilizan para encontrar e investigar a sus objetivos. La formación también puede ayudar a los empleados a detectar intentos de BEC y adoptar las mejores prácticas, como verificar grandes solicitudes de pago antes de efectuarlas.

• Es posible que las herramientas de seguridad del correo electrónico no detecten todos los correos electrónicos de BEC, especialmente aquellos que provienen de cuentas afectadas. Sin embargo, pueden ayudar a detectar direcciones de correo electrónico falsificadas. Algunas herramientas también pueden marcar contenido sospechoso de correo electrónico que podría indicar un intento de BEC.

• La autenticación de dos factores o multifactor puede dificultar que los atacantes de BEC pirateen las cuentas de correo electrónico.

• Las herramientas de seguridad empresarial pueden ayudar a los equipos de seguridad a detener los ataques BEC más rápido identificando los intentos de explotar las vulnerabilidades de la red y marcando la actividad en los endpoints, en las cuentas de correo electrónico y en otros lugares que puedan indicar que los hackers están realizando un reconocimiento. Estas herramientas incluyen:
  • orquestación de seguridad
  • automatización y respuesta (SOAR)
  • gestión de información y eventos de seguridad (SIEM)
  • detección y respuesta de endpoints (EDR) 
  • detección y respuesta extendidas (XDR)