¿Qué es el BEC? Protección contra los ataques de compromiso del correo electrónico empresarial

El compromiso del correo electrónico empresarial (BEC) es una forma específica de ciberdelincuencia en la que los atacantes se hacen pasar por personas u organizaciones de confianza para engañarle y que envíe dinero o comparta datos confidenciales. A diferencia de phishing generalizadas, un ataque BEC suele ser silencioso y preciso. Parece un correo electrónico normal de la empresa, ya que se basa en la ingeniería social, no en malware evidente.

En un incidente típico de BEC, los atacantes falsifican direcciones, se apoderan de cuentas de correo electrónico reales o registran dominios similares. Su objetivo suele ser el mismo: conseguir que alguien dentro de su empresa apruebe un pago, cambie los datos bancarios o comparta información que nunca debería salir de la organización.

Entre los escenarios más comunes se incluyen el fraude del director ejecutivo, la suplantación de identidad de proveedores, el desvío de nóminas y Ecorreo Unaccount Compromiso (EAC) que redirige silenciosamente los pagos o se dirige a socios intermedios. Los filtros de correo electrónico tradicionales a menudo pasan por alto estos ataques porque los mensajes provienen de cuentas reales o convincentes, no contienen contenido malicioso evidente y coinciden con la comunicación comercial habitual de la empresa.

Reducir el riesgo de BEC significa combinar procesos claros y centrados en las personas (como la formación y la verificación) con medidas técnicas como Sender Policy Framework SPF), DomainKeys Identified Mail DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Tipos comunes de ataques BEC y ejemplos reales

Reconocer los tipos de ataques BEC a tiempo te ayuda a detener el fraude antes de que el dinero o los datos salgan de tu entorno.

Suplantación de identidad del director general o de un ejecutivo

En el fraude del CEO, los atacantes se hacen pasar por altos directivos, como el CEO, el CFO o el director general, y envían solicitudes urgentes al personal. El correo electrónico puede solicitar un pago de emergencia, un acuerdo «extraoficial» con un proveedor o informes confidenciales que supuestamente son necesarios para un acuerdo o una auditoría. El tono se basa en gran medida en la autoridad y la urgencia, con frases como «Esto debe hacerse hoy» o «No podemos involucrar a nadie más».

A veces, el atacante solo falsifica solo nombre que aparece en pantalla, de modo que el mensaje parece correcto a primera vista. En otros casos, registran un dominio que es visualmente similar al suyo, intercambiando caracteres o añadiendo palabras cortas para que la diferencia sea fácil de pasar por alto.

VEC y facturas falsas

El compromiso del correo electrónico del proveedor (VEC) se centra en la relación entre su organización y sus proveedores.

Los atacantes envían mensajes que parecen comunicaciones rutinarias, como una factura o un extracto, pero el contenido cambia discretamente el destino del dinero, por ejemplo, añadiendo «datos bancarios actualizados».

Los equipos de cuentas por pagar son especialmente vulnerables si no tratan los cambios en los datos bancarios como eventos de alto riesgo que requieren una verificación fuera de banda.

Estafas relacionadas con nóminas, recursos humanos y tarjetas regalo

Las estafas BEC más pequeñas pero recurrentes suelen dirigirse a los departamentos de recursos humanos, nóminas y administración de oficinas. En una estafa de redireccionamiento de nóminas, los atacantes se hacen pasar por empleados y solicitan cambiar la cuenta bancaria utilizada para el pago de los salarios. La solicitud suele presentarse como urgente.

Las estafas con tarjetas regalo siguen un patrón similar. Un atacante se hace pasar por un alto cargo y pide a un asistente o miembro del equipo que compre urgentemente tarjetas regalo para «regalos a clientes» o «recompensas al equipo», y luego les pide que le envíen los códigos por correo electrónico. Cada pérdida puede ser menor que una gran transferencia bancaria, pero estos ataques son fáciles de repetir y, con frecuencia, no se denuncian.

EAC frente a BEC «puro»

No todos los incidentes de BEC comienzan con una dirección falsificada. En muchos casos, los atacantes obtienen primero credenciales válidas mediante phishing herramientas de robo de credenciales y acceden a buzones de correo reales. Esto se denomina EAC.

Una vez dentro de una cuenta, suelen borrar u ocultar los mensajes que podrían alertar a la víctima y responder dentro de hilos reales para solicitar cambios en los pagos o información confidencial.

Dado que estos mensajes provienen de cuentas legítimas y autenticadas, resultan más convincentes y difíciles de detectar.

Cómo identificar un ataque BEC

Los ataques BEC están diseñados para integrarse en los flujos de trabajo cotidianos. Aun así, la mayoría de los intentos dejan pistas tanto en el contenido del correo electrónico como en los datos técnicos, como los encabezados.

Señales de alerta en el correo electrónico

La primera serie de pistas se encuentra en el propio mensaje. Los pequeños cambios en el dominio son habituales: letras adicionales, errores ortográficos sutiles, guiones añadidos o un dominio de nivel superior diferente. Los nombres que se muestran suelen coincidir con la persona suplantada, pero la dirección de correo electrónico subyacente pertenece a un dominio desconocido.

El tono y el tipo de solicitud también son importantes. Una solicitud repentina para cambiar los datos bancarios, una petición urgente para saltarse los procedimientos de aprobación habituales o un pago fuera de lo normal a un nuevo beneficiario deberían despertar sospechas. También es posible que notes que el lenguaje es un poco extraño: demasiado formal o incómodo para la persona en cuestión.

El momento en que se envía el mensaje es otra señal. Vale la pena verificar los mensajes enviados fuera del horario laboral habitual, especialmente si proceden de responsables que rara vez se ponen en contacto contigo directamente para hablar de pagos. Si un correo electrónico tiene que ver con dinero, cuentas bancarias o datos confidenciales y algo te parece «raro», es más seguro tomarse un tiempo para verificarlo que dar por buena la solicitud.

Indicadores técnicos en los encabezados

Los indicadores técnicos pueden confirmar sus sospechas. Los encabezados de los mensajes pueden revelar las direcciones IP de envío y los resultados de la autenticación. Un ataque BEC que se basa en la suplantación de identidad puede fallar en DMARC SPF, DKIM o DMARC .

En qué se diferencia el BEC del phishing clásico

phishing tradicional phishing ser de gran volumen y genérico, con señuelos y enlaces obvios. El BEC es casi lo contrario. Es de bajo volumen, cuidadosamente dirigido y, a menudo, limpio: sin archivos adjuntos, sin enlaces, solo historia plausible.

Por eso, la primera línea de defensa más eficaz suele ser más bien procedimental que técnica. Trate cualquier correo electrónico que cambie el destino del dinero o solicite acceso a información confidencial como una solicitud de alto riesgo, e insista en verificar por teléfono, video u otro canal de confianza antes de actuar.

Respuesta paso a paso ante un incidente de BEC

1. Contener el incidente y asegurar las cuentas.

Empiece por bloquear el acceso del atacante. No responda a correos electrónicos sospechosos. Restablezca las contraseñas de cualquier cuenta que pueda verse afectada, aplique la autenticación multifactorial donde aún no se haya implementado y revoque las sesiones activas.

2. Escanee los dispositivos y busque malware.

Una vez que las cuentas estén protegidas, pase a los dispositivos que utilizan los usuarios. Realice análisis para comprobar si hay keyloggers, herramientas de acceso remoto o malware basado en navegadores que puedan haber capturado credenciales.

3. Rastrear el ataque y evaluar el impacto.

Conserve las pruebas relevantes antes de realizar cambios de gran alcance. Recopile encabezados de mensajes, direcciones IP y nombres de dominio. Utilícelos como pistas o indicadores de compromiso.

Distinga entre un único correo electrónico BEC enviado desde fuera de su entorno y un compromiso más amplio que afecte a varias cuentas. Esa distinción determinará tanto sus actividades de reparación como sus obligaciones de notificación.

4. Proteger los fondos y notificar a las partes interesadas.

Si cree que se ha enviado dinero a una cuenta controlada por un atacante, póngase en contacto con su banco inmediatamente para solicitar una congelación o una devolución. Proporcione tantos detalles como sea posible, incluyendo marcas de tiempo, importes e información de la cuenta.

Al mismo tiempo, informe a las partes interesadas internas. Si se ha hecho un uso indebido de la identidad de un proveedor o cliente, notifíqueselo para que puedan tomar precauciones y comprobar sus propios sistemas. Una comunicación clara y objetiva ayuda a reducir la confusión y limita la posibilidad de que se produzcan más pérdidas.

5. Informar a las fuerzas del orden y a los organismos reguladores.

Dependiendo de su entorno normativo, es posible que deba reporte incidente de BEC a las fuerzas del orden o a organismos específicos del sector. Si se trata de datos regulados, colabore con sus equipos de privacidad y cumplimiento normativo para confirmar si es necesario notificar la violación.

Muchos regímenes de protección de datos exigen notificar a las autoridades y, en algunos casos, a las personas afectadas, en un plazo determinado una vez que se tiene conocimiento de un incidente que cumple los requisitos.

6. Documentar las lecciones aprendidas y reforzar los controles.

Cuando la respuesta inmediata esté bajo control, realice una revisión estructurada posterior al incidente. Documente los sistemas y fondos afectados, las causas fundamentales y los factores contribuyentes, así como los controles que funcionaron o fallaron.

Utilícelo para actualizar su plan de respuesta ante incidentes, perfeccionar su material de formación, ajustar los procesos de aprobación y priorizar las mejoras técnicas.

Si aún no dispone de un manual formal de BEC, utilice este como referencia y considere programar una sesión con Sendmarc para revisar su postura de autenticación de correo electrónico y la configuración de su dominio, de modo que pueda subsanar las deficiencias.