Compromiso del proceso de negocio (BPC)

Los ataques clasificados como business process compromise (BPC) o de compromiso de los procesos de negocio, alteran en silencio partes de procesos de negocio específicos, o máquinas que facilitan estos procesos, con el fin de generar un beneficio económico significativo para los atacantes. El alto grado de discreción con el que se llevan a cabo tales ataques a menudo significa que las empresas pueden no localizarlo fácilmente o detectar los cambios de la conducta normal esperada, puesto que las funciones del proceso comprometidas siguen funcionando como se esperaba, pero producen un resultado diferente de lo originalmente previsto, tal y como explica Trend Micro.

BPC se caracteriza por la comprensión profunda de los agentes amenazadores de las operaciones y sistemas internos de las redes objetivo, así como los estándares utilizados por sus organizaciones. Esto les permite hackear, infiltrar o secuestrar procesos empresariales tales como gestión de cuentas, adquisiciones, operaciones de fabricación, pagos y entregas.

El atraco al Banco Central de Bangladesh es un ejemplo reciente de BPC. En este ataque, que provocó pérdidas de hasta 81 millones de dólares, los ciberdelincuentes demostraron que tenían una idea clara de cómo funciona la plataforma financiera SWIFT y que conocían las debilidades de los bancos asociados que la utilizan. Al comprometer la red informática del Banco Central de Bangladesh, los cibercriminales fueron capaces de rastrear cómo se realizaron las transferencias y aprovechar las credenciales del banco para llevar a cabo transacciones no autorizadas.

BPC también se extiende más allá de las transacciones financieras. En 2013, un sistema de seguimiento de contenedores en el puerto marítimo de Amberes en Bélgica fue hackeado para pasar una tonelada de cocaína y heroína al margen de las autoridades portuarias.

BPC puede utilizar las mismas herramientas y técnicas que los ataques dirigidos, pero en lugar de apuntar a datos sensibles, los atacantes de BPC se centran exclusivamente en poder beneficiarse directamente de la alteración de los procesos de negocio. BPC es similar al compromiso de emails de negocio (BEC) en que ambos intentan secuestrar una transacción comercial normal, pero los atacantes BEC confían más en ingeniería social y menos en la alteración real de los procesos de negocio para lograr sus objetivos.

Tipos de Business Process Compromise

• Diversión

Los ataques que caen bajo este tipo de BPC aprovechan las brechas de seguridad en el sistema del flujo de efectivo de la organización. Los agentes de la amenaza son entonces capaces de transferir dinero a canales supuestamente legítimos.

• Piggybacking – o aprovecharse de un sistema existente

Este tipo de BPC aprovecha los procesos clave del negocio, como el transporte de mercancías ilegales y la transferencia de software malicioso, lo que se traduce en grandes ganancias financieras para los atacantes.

• Manipulación financiera

Esta clase de BPC incluye aquellos cuyo objetivo es influir en los resultados financieros y en decisiones importantes de negocios tales como las adquisiciones. Los atacantes hacen esto introduciendo variables maliciosas en un sistema o proceso empresarial clave.

Estrategias de defensa contra BPC

1. Analizar el flujo de información de diferentes sensores para detectar anomalías

2. Encontrar desviaciones estadísticas sobre prácticas y procesos similares de la industria

3. Reforzar la seguridad de los procesos de negocio a través de la recreación de estrategias de enfrentamiento con seguridad operacional (OPSEC)

4. Realizar regularmente una garantía de calidad, controles de calidad y pruebas de penetración

5. Restringir las acciones programables

6. Separar las funciones de los empleados

7. Requiere que dos personas (de diferentes equipos o configuraciones de red) realicen acciones críticas

8. Formar a los empleados para identificar ataques de ingeniería social