Business Email Compromise, o BEC, es una estafa de correo electrónico spear phishing que intenta robar dinero o datos confidenciales de una empresa.
En un ataque BEC, un delincuente cibernético (o banda) envía a los empleados de la organización objetivo correos electrónicos que parecen proceder de un compañero de trabajo, o de un proveedor, socio, cliente u otro asociado. Los correos electrónicos se escriben para engañar a los empleados para que paguen facturas fraudulentas, hagan transferencias bancarias a cuentas bancarias falsas o divulguen información confidencial, como datos de clientes, propiedad intelectual o finanzas corporativas.
En casos más raros, los estafadores BEC pueden intentar propagar el ransomware o el malware, ya que piden a las víctimas que abran un archivo adjunto o hagan clic en un enlace malicioso.
Para que sus correos electrónicos parezcan legítimos, los atacantes BEC investigan cuidadosamente a los empleados a los que apuntan y las identidades por las que se hacen pasar. Utilizan técnicas de ingeniería social, como la suplantación de direcciones de correo electrónico y el pretexto, para elaborar correos electrónicos de ataque que parecen y leen como si el remitente suplantado los envió. En algunos casos, los estafadores hackean y secuestran la cuenta de correo electrónico del remitente, lo que hace que los correos electrónicos de ataque sean aún más creíbles, si no prácticamente indistinguibles de los mensajes de correo electrónico legítimos.
Los ataques BEC son algunos de los ciberataques más costosos. Según el Informe Cost of a Data Breach 2022 de IBM, las estafas BEC son el segundo tipo de filtración más costosa, lo que cuesta un promedio de 4.89 USD millones. Según el Internet Crime Report del FBI Internet Crime Complaint Center (PDF, enlace externo a ibm.com), las estafas BEC costaron a las víctimas estadounidenses un total de 2.7 USD mil millones en 2022.
Los expertos en ciberseguridad y el FBI identifican seis tipos principales de ataques BEC.
Esquemas de facturación falsos
El atacante BEC pretende ser un proveedor con el que trabaja la empresa y envía al empleado objetivo un correo electrónico con una factura falsa adjunta; cuando la empresa paga la factura, el dinero va directamente al atacante. Para que estos ataques sean convincentes, el atacante puede interceptar facturas de proveedores reales y modificarlas para dirigir pagos a sus propias cuentas bancarias.
En particular, los tribunales han dictaminado (enlace externo a ibm.com) que las empresas que caen ante facturas falsas siguen en la mira de sus contrapartes reales.
Una de las mayores estafas de facturas falsas se llevó a cabo contra Facebook y Google. De 2013 a 2015, un estafador se hizo pasar por Quanta Computer, un fabricante de hardware real con el que trabajan ambas empresas, y robó 98 USD millones de Facebook y 23 USD millones de Google. Aunque se atrapó al estafador y ambas empresas recuperaron la mayor parte de su dinero, este desenlace es poco frecuente para las estafas BEC.
Fraudes a directores ejecutivos (CEO)
Los estafadores se hacen pasar por un ejecutivo, normalmente un CEO, y piden a un empleado que gire dinero a algún sitio, a menudo con el pretexto de cerrar un trato, pagar una factura atrasada o incluso comprar tarjetas de regalo para compañeros de trabajo.
Los esquemas de fraude a CEO frecuentemente crean un sentido de urgencia, por lo que la persona objetivo debe actuar de manera rápida y precipitada, (por ejemplo: Esta factura está atrasada, y vamos a perder el servicio si no la pagamos de inmediato) de discreción, por lo que la persona objetivo no consultará a los compañeros de trabajo (por ejemplo, Este trato es confidencial, así que no se lo digas a nadie).
En 2016, un estafador que se hizo pasar por el CEO del fabricante aeroespacial FACC utilizó una adquisición falsa para engañar a un empleado para transferir 47 USD millones (enlace externo a ibm.com). Como resultado de la estafa, la junta directiva de la empresa despidió tanto al CFO como al CEO por "violar" sus deberes.
Email Account Compromise (EAC)
Los estafadores se apropian de la cuenta de correo electrónico de un empleado no ejecutivo. Pueden usarla para enviar facturas falsas a otras empresas o engañar a otros empleados para que compartan información confidencial. Los estafadores suelen utilizar EAC para suplantar las credenciales de cuentas de nivel superior que pueden emplear para cometer fraude a los CEO.
Suplantación de abogados
Los estafadores se hacen pasar por un abogado y le piden a la víctima que pague una factura o comparta información confidencial. Las estafas de suplantación de abogados se basan en el hecho de que muchas personas cooperan con los abogados, y no es extraño que pidan confidencialidad.
Los miembros de la banda rusa BEC Cosmic Lynx suelen presentarse como abogados como parte de un ataque de suplantación doble (enlace externo a ibm.com). En primer lugar, el CEO de la empresa objetivo recibe un correo electrónico que presenta al CEO a un "abogado" que ayuda a la empresa con una adquisición u otro acuerdo comercial. Luego, el abogado impostor envía un correo electrónico al CEO en el que solicita un pago para cerrar el acuerdo. En promedio, los ataques de Cosmic Lynx roban 1.27 USD millones de cada objetivo.
Robo de datos
Muchos ataques BEC se dirigen a empleados de RR. HH. y finanzas para robar información de identificación personal (IIP) y otros datos confidenciales que pueden utilizar para cometer robo de identidad o llevar a cabo futuros ataques.
Por ejemplo, en 2017, el IRS advirtió (enlace externo a ibm.com) de una estafa BEC que robaba datos de los empleados: los estafadores se hacían pasar por un ejecutivo de la empresa y pedían a un empleado de nóminas que enviara copias de los formularios W-2 de los empleados (que incluyen los números de la Seguridad Social y otra información confidencial). Algunos de los mismos empleados de nómina recibieron correos electrónicos de "seguimiento" en los que solicitaban que se realizaran transferencias bancarias a una cuenta fraudulenta. Los estafadores asumieron que los objetivos que encontraron creíble la solicitud de formularios W-2 eran excelentes objetivos para una solicitud de transferencia bancaria.
Robo de mercancías
A principios de 2023, el FBI advirtió (enlace externo a ibm.com) un nuevo tipo de ataque, en el que los estafadores se hacen pasar por clientes corporativos para robar productos de la empresa objetivo. Mediante información financiera falsa y haciéndose pasar por empleados en el departamento de compras de otra empresa, los estafadores negocian una gran compra con crédito. La empresa objetivo envía el pedido (normalmente, materiales de construcción o hardware informático), pero los estafadores nunca pagan.
Técnicamente, BEC es un tipo de spear phishing, un ataque de phishing que se dirige a una persona o grupo de personas específicos. Lo que hace particular a BEC entre los ataques de spear phishing es que el objetivo es el empleado o asociado de una empresa u organización, y que el estafador se hace pasar por otro empleado o asociado que el objetivo conoce o en el que tiende a confiar.
Si bien algunos ataques BEC son obra de estafadores solitarios, otros (ver arriba) son por parte de bandas BEC. Estas bandas operan como empresas legítimas, ya que emplean a especialistas, tales como expertos en generación de contactos que cazan objetivos, hackers que irrumpen en cuentas de correo electrónico y redactores profesionales que se aseguran de que los correos electrónicos de phishing no contengan errores y sean convincentes.
Una vez que el estafador o la banda ha elegido un negocio para robar, un ataque BEC suele seguir el mismo patrón.
Elegir una organización objetivo
Casi cualquier empresa, organización sin fines de lucro o gobierno es un objetivo adecuado para los ataques BEC. Las grandes organizaciones con mucho dinero y clientes, y suficientes transacciones como para que los ataques BEC pasen desapercibidos entre ellas, son objetivos obvios.
Pero los eventos globales o locales pueden llevar a los atacantes BEC a oportunidades más específicas, algunas más obvias que otras. Por ejemplo, durante la pandemia de COVID-19, el FBI advirtió que los estafadores BEC que se hacían pasar por proveedores de equipos y suministros médicos facturaban a hospitales y organismos de atención médica. En el otro (pero no menos lucrativo) extremo del espectro, en 2021, los estafadores BEC aprovecharon proyectos de educación y construcción bien publicitados en Peterborough, NH y desviaron 2.3 USD millones en fondos de la ciudad a cuentas bancarias fraudulentas (enlace externo a ibm.com).
Investigación de objetivos de empleados e identidades de remitentes
Luego, los estafadores comienzan a investigar la organización objetivo y sus actividades para determinar a los empleados que recibirán los correos electrónicos de phishing y las identidades de los remitentes que los estafadores suplantan.
Las estafas BEC generalmente se dirigen a empleados de nivel medio (p. ej., departamento de finanzas o gerentes de recursos humanos), que tienen autoridad para emitir pagos o tienen acceso a datos confidenciales, y que están inclinados a cumplir con una solicitud de hacerlo, ya sea de un gerente sénior o ejecutivo. Algunos ataques BEC pueden tener como objetivo nuevos empleados con poca o nula capacitación en materia de seguridad, y una comprensión limitada de los procedimientos y aprobaciones adecuados de pago o intercambio de datos.
Para una identidad de remitente, los estafadores eligen a un compañero de trabajo o asociado que pueda solicitar o influir creíblemente en la acción que el estafador quiere que haga el empleado objetivo. Las identidades de los compañeros de trabajo suelen ser gerentes, ejecutivos o abogados de alto nivel dentro de la organización. Las identidades externas pueden ser ejecutivos de organizaciones de proveedores o socios, pero también pueden ser compañeros o colegas del empleado objetivo; por ejemplo, un proveedor con el que el empleado objetivo trabaja habitualmente, un abogado que asesora en una transacción o un cliente existente o nuevo.
Muchos estafadores utilizan las mismas herramientas de generación de contactos que los profesionales legítimos del marketing y las ventas (LinkedIn y otras redes sociales, fuentes de noticias empresariales y sectoriales, programas informáticos de prospección y creación de listas) para encontrar posibles empleados y hacer coincidir las identidades de los remitentes.
Hackear las redes del objetivo y del remitente
No todos los atacantes BEC dan el paso de hackear las redes de las organizaciones objetivo y del remitente. Pero aquellos que se comportan como malware, observan objetivos y remitentes, y acumulan información y privilegios de acceso durante semanas antes del ataque real. Esto puede permitir a los atacantes:
Elegir los mejores empleados objetivo e identidades de remitente en función de los comportamientos observados y los privilegios de acceso.
Obtener más información sobre cómo se envían las facturas y cómo se manejan los pagos o las solicitudes de datos confidenciales, para que suplanten mejor las solicitudes en sus correos electrónicos de ataque.
Determinar las fechas de vencimiento para pagos específicos a proveedores, abogados, etc.
Interceptar una factura de proveedor legítima o una orden de compra y modificarla para especificar el pago a la cuenta bancaria del atacante.
Tomar el control de la cuenta de correo electrónico real del remitente (consulte Email Account Compromise más arriba), por lo que el estafador puede enviar correos electrónicos de ataque directamente desde la cuenta y, a veces, incluso insertarlos en conversaciones de correo electrónico legítimas en curso, para lograr total autenticidad.
Preparar y lanzar el ataque
Una suplantación convincente es clave para el éxito de BEC, y los estafadores elaboran sus correos electrónicos de ataque para conseguir la máxima autenticidad y credibilidad.
Si no han hackeado el correo electrónico del remitente, los estafadores crearán una cuenta de correo falsa que suplante la dirección de correo electrónico del remitente para que parezca legítima. (Por ejemplo, pueden usar nombre creativos o tener errores ortográficos en nombres de dominio, como jsmith@company.com o jane.smith@cornpany.com para jane.smith@company.com). Pueden agregar otras señales visuales, como una firma con el logotipo de la empresa del remitente o una declaración de privacidad detallada (y falsa).
Un componente clave del correo electrónico de ataque es el pretexto: una historia falsa, pero plausible redactada para ganarse la confianza del objetivo y convencerlo o presionarlo para que haga lo que el atacante quiere. Los pretextos más eficaces combinan una situación reconocible con un sentido de urgencia e implicación de consecuencias. Un mensaje de un gerente o CEO que dice: Estoy a punto de subirme a un avión. ¿Pueden ayudarme a procesar esta factura (adjunta) para evitar cargos por pagos atrasados? es un ejemplo clásico de pretexto BEC.
Según la solicitud, los estafadores también pueden crear sitios web falsos, registrar empresas falsas o incluso proporcionar un número de teléfono falso al que el objetivo pueda llamar para obtener confirmación.
Las estafas BEC se encuentran entre los ciberdelitos más difíciles de prevenir porque rara vez usan malware que las herramientas de seguridad pueden detectar. En cambio, los estafadores confían en el engaño y la manipulación. Los estafadores ni siquiera necesitan violar su empresa objetivo; pueden robar a las víctimas sumas masivas mediante la filtración o incluso simplemente hacerse pasar por un proveedor o cliente. Como resultado, los ataques BEC tardan un promedio de 308 días en identificarse y contenerse, según el informe Cost of a Data Breach, el segundo tiempo de resolución más largo de todos los tipos de filtración.
Dicho esto, las empresas pueden tomar las siguientes medidas para defenderse de estas estafas:
La capacitación de concientización sobre ciberseguridad puede ayudar a los empleados a comprender los peligros de compartir de forma excesiva en las plataformas y aplicaciones de redes sociales que utilizan los estafadores para encontrar e investigar sus objetivos. La capacitación también puede ayudar a los empleados a detectar intentos de BEC y adoptar las mejores prácticas, como verificar grandes solicitudes de pago antes de llevarlas a cabo.
Es posible que las herramientas de seguridad del correo electrónico no detecten todos los correos electrónicos de BEC, especialmente aquellos que provienen de cuentas vulneradas. Sin embargo, pueden ayudar a detectar direcciones de correo electrónico suplantadas. Algunas herramientas también pueden marcar contenido sospechoso de correo electrónico que podría indicar un intento de BEC.
La autenticación de dos factores o multifactor puede dificultar que los atacantes BEC hackeen las cuentas de correo electrónico.
Herramientas de seguridad empresarial, como orquestación, automatización y respuesta de seguridad (SOAR), información de seguridad y gestión de eventos (SIEM), detección y respuesta de endpoints (EDR) y detección extendida y respuesta (XDR) pueden ayudar a los equipos de seguridad a detener los ataques BEC más rápidamente, ya que pueden identificar los intentos de atacar las vulnerabilidades de las redes, así como marcar la actividad en endpoints, en las cuentas de correo electrónico y en otros lugares que puedan indicar que los hackers están realizando un reconocimiento.
Detecte amenazas avanzadas que otros simplemente pasan por alto. QRadar SIEM aprovecha el análisis y la IA para monitorear la información sobre amenazas, la red y las anomalías del comportamiento del usuario, y para priorizar dónde se necesita atención y corrección inmediata.
IBM Trusteer Rapport ayuda a las instituciones financieras a detectar y prevenir infecciones de malware y ataques de phishing protegiendo a sus clientes minoristas y empresariales.
Proteja los endpoints de los ciberataques, detecte comportamientos anómalos y corrija casi en tiempo real con esta solución de detección y respuesta de endpoints (EDR) sofisticada, pero fácil de usar.
Manténgase al día sobre las novedades, tendencias y técnicas de prevención de BEC en Security Intelligence, el blog de liderazgo de pensamiento a cargo de IBM Security.
El ransomware es un malware que mantiene como rehenes los dispositivos y datos de las víctimas, hasta que se paga un rescate.
En su 17.ª edición, este informe comparte los datos más recientes sobre el creciente panorama de las amenazas, y ofrece recomendaciones para ahorrar tiempo y limitar las pérdidas.