OpiniónCiberseguridad

Ataques BEC, el nuevo reto de ciberseguridad para las empresas

Sergio Bravo, director de Ventas en Bitdefender.

Sergio Bravo, director de Ventas en Bitdefender
Sergio Bravo, director de Ventas en Bitdefender

Las organizaciones se enfrentan a distintos ciberataques a través de una gran variedad de vectores, razón por la cual es tan difícil asegurar su entorno de manera efectiva. Los hackers que se dirigen a una organización lo hacen para robar sus datos, comprometer su reputación, buscar ganancias financieras u objetivos similares. Además, existe otro tipo de ataque que impacta directamente en los resultados económicos de una empresa, denominado ataque de compromiso de correo electrónico comercial (BEC por sus siglas en inglés).

En estos ataques, el hacker trata de robar dinero a su víctima mediante un correo electrónico fraudulento, que suele contener una factura falsa. El remitente se hace pasar por una persona con un cargo importante en una organización para presionar al destinatario del correo electrónico a transferir fondos sin necesidad de aprobación.

Los ataques BEC son bastante lucrativos y han costado a las empresas 1.800 millones de dólares solo en 2021, lo que los convierte en uno de los ciberataques más devastadores desde el punto de vista financiero.

Un ataque BEC se realiza tras una investigación previa y suele dirigirse a la persona que puede hacer la transferencia de fondos

Si bien estos ataques utilizan tecnología sencilla (algunos se llevan a cabo en forma de tarjetas de regalo fraudulentas), son sofisticados en su objetivo y pueden ser muy efectivos, mezclando ingeniería social y tácticas tradicionales de phishing. Según un estudio del IC3, los ataques BEC son 62 veces más rentables que el ransomware. Las razones por las que suelen ser más efectivos son las siguientes:

Están dirigidos a empleados desprevenidos: a diferencia de los ataques de spam y phishing que se lanzan indiscriminadamente a organizaciones y departamentos enteros, un ataque BEC se realiza tras una investigación previa y suele dirigirse a la persona que puede hacer la transferencia de fondos.

Según un estudio del IC3, los ataques BEC son 62 veces más rentables que el ransomware

El correo electrónico genera urgencia: los ataques BEC a menudo generan urgencia para que la transferencia se realice lo más rápido posible. Además, el remitente se suele hace pasar por el CEO o el director financiero de la compañía, lo que provoca que la víctima de prioridad a ese correo electrónico.

Está altamente dirigido: estos ataques son bastante sofisticados en su orientación, a menudo investigan tanto a la empresa como a la víctima específica para aumentar las probabilidades de éxito.

Destinatarios de los ataques BEC

Si bien técnicamente cualquier empresa puede sufrir ataques BEC, las grandes organizaciones están en una situación de mayor riesgo mientras que las pequeñas empresas tienen más probabilidades de descubrir el fraude antes de realizar cualquier transferencia bancaria. Por tanto, las grandes empresas, especialmente los bancos, que manejan una gran cantidad de transacciones y facturas, son el principal objetivo de los ataques BEC. Los hackers saben que tienen una cadena de mando más larga y más lenta, por lo que es más factible que se apruebe el pago de una sola factura. Además, llevará más tiempo descubrir el ataque, lo que da margen a los atacantes para borrar sus huellas y escapar con los bienes robados.

Las organizaciones políticas también han sufrido varios ataques BEC debido a que suelen trabajar con un gran número de proveedores y empresas subcontratadas, lo que hace más probable que no puedan distinguir correctamente una factura real de una falsa.

Cómo pueden las organizaciones defenderse de los ataques BEC

Los empleados suelen ser la primera y única línea de defensa, por lo que cualquier medida proactiva debe comenzar ahí. Bitdefender ha elaborado un listado de acciones empresariales de defensa que hay que tener en cuenta para evitar posibles ataques BEC:

  • Capacitación de concienciación sobre seguridad: el primer paso es tener un programa de concienciación sobre seguridad. Los empleados deben conocer los tipos de ataques a los que pueden enfrentarse, incluidos los ataques BEC.
  • Capacitación específica sobre los ataques BEC: los empleados y departamentos de alto riesgo (como los encargados de las finanzas) deben contar con conocimientos sobre este tipo de ataques, desde cómo aprender a detectarlos hasta las nociones más básicas de sus estrategias.
  • Capacitación de simulación: es imprescindible escenificar casos reales. Esto capacitará a los empleados y departamentos en el ámbito práctico de las amenazas y ayudará a detectar qué personas pueden necesitar más preparación.
  • Políticas de transferencia de fondos y facturas: establecer políticas que detengan o eviten que se paguen facturas sin la aprobación específica de ciertas partes puede ayudar a protegerse contra los ataques BEC al incluir pasos de verificación para detectar una factura o un correo electrónico sospechoso antes de que se pague.
  • Herramientas de monitorización y detección de correo electrónico: con el fin de filtrar posibles dominios sospechosos o remitentes de correo electrónico falsificados en la bandeja de mensajes. La finalidad es evitar correos automatizados y reducir el riesgo de que los empleados vean un correo electrónico comprometido.
Computing 815