Hacía mucho tiempo que una amenaza no centraba la atención de los profesionales de la ciberseguridad tanto como el Business Email Compromise (BEC). Conocido como “el problema más caro de la ciberseguridad”, BEC generó titulares durante la última Cumbre de Seguridad de Gartner, donde fue señalado como una de las principales amenazas a las que se enfrentan las organizaciones de todo el mundo. Y, realmente, estamos ante una amenaza global. Con casos denunciados en 150 países, y España entre ellos, lo que hace que el aumento de BEC sea tan preocupante no es necesariamente su creciente prevalencia –los ataques aumentaron en un 297% a lo largo de 2018– sino una tasa de éxito alarmantemente alta. Sólo entre diciembre de 2016 y mayo de 2018, el valor de las pérdidas reconocidas aumentó en un 136%.
BEC es tan potencialmente perjudicial que el FBI se vio obligado en septiembre pasado a emitir un anuncio de servicio público en EEUU, advirtiendo de la amenaza y estimando que ha supuesto a las empresas de todo el mundo alrededor de 26.000 millones de dólares en pérdidas desde 2016.
Índice de temas
La anatomía de una amenaza BEC
Para entender el éxito creciente de BEC, primero debemos entender la mecánica de un ataque. El BEC tiene lugar cuando un ciberdelincuente se hace pasar por una persona de confianza dentro de una organización para desviar fondos o acceder a datos privilegiados. Esto ocurre ya haciendo un spoofing del dominio de una empresa o apropiándose de una cuenta legítima de correo electrónico.
Los ciberataques de BEC suelen ser muy selectivos y están dirigidos a los responsables específicos de la toma de decisiones o a personas autorizadas a realizar transacciones financieras en el curso normal de la actividad. Normalmente, podemos identificar cuatro etapas en un ciberataque de BEC:
- La investigación: A diferencia de los ataques masivos, generalmente los ciberdelincuentes de BEC se toman su tiempo para identificar a individuos específicos dentro de una organización.
- El trabajo preliminar: Los cibercriminales de BEC intentan construir relaciones con aquellos que tienen autoridad para tomar decisiones financieras. Usualmente a través de cuentas de correo electrónico falsas o comprometidas, esta interacción puede tener lugar durante días, incluso semanas o meses para crear confianza y familiaridad.
- La trampa: Una vez que el ciberdelincuente ha comprometido una cuenta, o cuentas, pide a la víctima que inicie una transferencia bancaria o cambie los detalles de pago en un pago pendiente real.
- El fraude: Creyendo que la solicitud es genuina, la víctima envía fondos a la cuenta del estafador. Por lo general, el dinero se transfiere rápidamente entre distintas cuentas, lo que dificulta su recuperación una vez se destapa el fraude.
Además, a diferencia de otros vectores de amenazas populares, BEC no lleva payload. No hay enlaces de phishing ni archivos adjuntos con malware, nada que pueda hacer saltar las alarmas. Los ciberataques suelen dirigirse a las personas, no a las redes, y juegan con la psicología humana básica. Los empleados de niveles más básicos, que suelen ser objeto de solicitudes fraudulentas, no suelen cuestionar la autoridad del CEO, director financiero o similar.
Además, una vez que se ha comprometido una cuenta de correo, el cibercriminal se encuentra dentro de la organización. Sin archivos adjuntos dudosos, ni enlaces falsos, las solicitudes fraudulentas pueden franquear la seguridad más sólida del correo electrónico y llegar a la bandeja de entrada de la víctima, que no es consciente del engaño.
La pregunta de los 26.000 millones de dólares, ¿cómo podemos defendernos contra BEC?
BEC es un ataque contra un objetivo humano y, por lo tanto, requiere una defensa humana. La única manera de evitar con éxito un ataque de este tipo es asegurar que todos en la organización sepan exactamente cómo detectarlo. El primer paso es formar a los empleados para que estén atentos a los cambios en el comportamiento de terceros. Todos los empleados -de todos los niveles- deben practicar también una higiene básica de seguridad, utilizando contraseñas sólidas y únicas para todas las cuentas, no sólo para las que están conectadas al trabajo, y haciendo uso de la autenticación de dos factores siempre que sea posible.
Todo lo que se necesita es un cambio en la política organizativa. Las organizaciones deberían considerar la introducción de sistemas de verificación para determinadas solicitudes, como cambios en los datos de pago, o nuevas solicitudes de pagos de cualquier tipo realizadas por correo electrónico. Sencillamente, si cualquier acción tiene una consecuencia financiera, no se debería llevar a cabo a través del correo electrónico.
Las solicitudes de esta naturaleza deben ser verificadas de forma independiente, fuera del sistema de correo electrónico de su empresa, a través de un número de teléfono conocido y reconocido. Este sencillo paso puede deshacer semanas o meses de duro trabajo para un ciberdelincuente y preservar los fondos fuera del alcance de sus manos.
En última instancia, BEC funciona porque es de bajo perfil. Así que entrene a sus empleados para que estén atentos a todas las formas de comunicación por correo electrónico. Cuando se recibe una solicitud, una verificación adicional puede añadir algunos minutos de más, pero eso no es nada comparado con el daño potencial de un ciberataque BEC exitoso.
