El Business Email Compromise (BEC) se ha convertido en un quebradero de cabeza para organizaciones de todo el mundo por su elevado coste. En 2020, los ataques BEC costaron a las víctimas más de 1.800 millones de dólares a sus víctimas, lo cual supone casi la mitad del total de pérdidas económicas por cibercrimen.
Por su propia naturaleza, estos incidentes son increíblemente difíciles de detectar y disuadir. Están diseñados para pasar desapercibidos y no incluyen a menudo las típicas red flags o señales de alerta de URLs y payloads maliciosas. En su lugar, los ataques BEC se basan en una compleja red de técnicas de spoofing o suplantación de identidad, así como de ingeniería social, para engañar a los usuarios desprevenidos.
En la mayoría de los casos, el ciberdelincuente se hace pasar por una persona o entidad de confianza, ya sea un compañero de trabajo, un socio empresarial o un proveedor. A continuación, el atacante envía un correo electrónico en el que requiere a la víctima que realice una acción, como cambiar los datos bancarios de una factura o realizar una transferencia.
No obstante, aunque la mayoría de los ataques sigue este modelo, cada uno tiene sus propias características. Los ciberdelincuentes se muestran asimismo cada vez más sofisticados y tenaces en sus intentos por obtener una mayor recompensa a costa del dinero de las empresas.
A continuación, con el objetivo de poner de relieve la magnitud del problema, resumimos algunos de los ataques BEC más audaces de los últimos tiempos, junto con consejos para evitar el mismo destino.
Ejemplo 1: Amenazas a autoridades sanitarias
La sanidad lleva mucho tiempo en el punto de mira de los ciberdelincuentes. La cantidad de datos confidenciales, la necesidad de un servicio ininterrumpido y una gran red de archivos y sistemas hacen del sector un objetivo increíblemente atractivo.
Si a esto le añadimos las alteraciones causadas por la Covid 19, mantener a raya las ciberamenazas se convierte en una tarea casi imposible, como saben bien las autoridades sanitarias en Alemania.
Durante el apogeo de la pandemia en Europa, cuatro ciberdelincuentes estuvieron a punto de convencerles para que les transfiriesen un pago de 14,7 millones de euros en concepto de EPIs. Sin embargo, solo consiguieron robar 2,4 millones de euros antes de que la Interpol y la policía alemana acabaran con la estafa.
Los estafadores llegaron a clonar el sitio web de un proveedor legítimo, comprometer direcciones de correo electrónico y hacer un pedido de 10 millones de mascarillas.
Mientras tanto, las autoridades sanitarias, al no cumplir con las demandas de los ciberdelincuentes quienes exigían pagos adicionales, empezaron a sospechar y acudieron a las fuerzas policiales en busca de ayuda. Afortunadamente, las víctimas de este caso recuperaron su dinero, aunque no suele ser lo habitual.
Ejemplo 2: Ciberrobo en el museo
Animados por su éxito en los últimos años, los ciberdelincuentes no se cortan a la hora de buscar grandes ganancias. Para ello, vemos que los atacantes de BEC fijan sus objetivos en bancos, gobiernos, grandes empresas e, incluso, marchantes de arte y museos que comercian con obras multimillonarias.
En enero de 2020, el Rijksmuseum Twenthe, un museo nacional de los Países Bajos, perdió 3,1 millones de dólares a manos de un ciberdelincuente que se hizo pasar por un famoso marchante de arte de Londres. El estafador intervino en una comunicación legítima ya establecida entre el museo y el verdadero marchante sobre la venta del cuadro de John Constable, fechado en 1824, ‘View of Hampstead Heath. Child’s Hill, Harrow in the distance’.
Al comprometer o suplantar la cuenta de correo electrónico del marchante, el estafador «actualizó» los datos del importe antes de cerrar la venta. El cuadro se envió y el pago se hizo a la cuenta bancaria del ciberdelincuente en Hong Kong.
En la actualidad, el Rijksmuseum Twenthe sigue reteniendo el cuadro a la espera del resultado de las demandas y contrademandas, en las que cada parte acusa a la otra de negligencia.
Ejemplo 3: Bandas cibercriminales especializadas
Dada la posibilidad de obtener importantes recompensas económicas, no han tardado en aparecer sofisticadas bandas cibercriminales enfocadas en los ataques BEC. Una de ellas, Cosmic Lynx, fue descubierta oficialmente en el verano de 2020, aunque los investigadores de ciberseguridad creen que ya llevaban activos al menos un año.
Por ahora, el grupo ha atacado al menos a 200 organizaciones multinacionales en 46 países. Además de centrarse en objetivos de alto valor y en pagos considerables, Cosmic Lynx es conocido por su compleja táctica de suplantación de identidad doble.
Este colectivo busca organizaciones sin autenticación DMARC (de mensajes, informes y conformidad basada en dominios) que estén próximas a adquirir o fusionarse con otra empresa. La falta de DMARC les permite suplantar a los ejecutivos de las empresas con relativa facilidad.
Pero la estafa no termina ahí. Los miembros de Cosmic Lynx también se hacen pasar por un abogado para ganar credibilidad. A continuación, los ciberdelincuentes envían un correo electrónico desde la cuenta del ejecutivo comprometido en el que se pide a un empleado con la autoridad pertinente que se ponga en contacto con el abogado impostor y procese el pago del acuerdo.
El pago medio solicitado por el grupo es de 1,27 millones de dólares, una cantidad muy superior a la que piden la mayoría de las bandas criminales de BEC.
Cómo prepararse para el BEC
Como muestran los ejemplos anteriores, los ataques BEC se presentan de muchas formas, perpetrados tanto por individuos oportunistas como por empresas criminales bien organizadas. Aunque es crucial mantenerse al día del panorama actual de las amenazas, hay varias soluciones eficaces que pueden ayudar a proteger a las organizaciones, sean cuales sean los métodos y los motivos de un ataque.
La primera es una protección fuerte del correo electrónico, capaz de analizar y filtrar el contenido de los mensajes maliciosos antes de que lleguen a la bandeja de entrada. La autentificación DMARC también es imprescindible. Al autenticar los dominios legítimos, DMARC ayuda a evitar que los correos electrónicos fraudulentos lleguen a su objetivo.
Una vez implantado, los correos electrónicos de sus dominios solo pueden enviarse desde servidores permitidos y autentificados. Y lo que es más importante, DMARC actúa como elemento disuasorio, ya que muchos ciberdelincuentes ponen sus miras en las organizaciones que no cuentan con esta capa de protección.
Es necesario asimismo complementar estas defensas con un profundo conocimiento de las personas más atacadas en la empresa (VAP o Very Attacked People). Cuanto más se sepa sobre el tipo y la frecuencia de los ataques a los que se enfrenta cada usuario, mejor podrán adaptar sus defensas las organizaciones, asignando las herramientas donde más se necesiten.
Y, por último, la más imprescindible de estas herramientas es la formación en materia de seguridad. El BEC es un ataque al personal de una organización. Son ellos los que responden a las solicitudes urgentes, alteran la información sobre pagos y autorizan las transferencias bancarias. Por tanto, deben saber detectar las señales de que unas cuentas de correo electrónico están comprometidas y de que una actividad es sospechosa.
Mediante una formación continua y adaptable, el objetivo es construir una cultura en la que la ciberseguridad sea responsabilidad de todos. Cuando un solo clic equivocado abre la puerta a pérdidas económicas y de reputación devastadoras, los usuarios necesitan no tener ninguna duda sobre las consecuencias de una mala práctica en cuestiones de ciberseguridad.
Aunque ninguna de estas estrategias por sí sola puede hacer frente a los modernos ataques BEC, juntas consiguen que las organizaciones tengan más posibilidades de mantenerse fuera de la lista de objetivos de los atacantes.
Andrew Rose, CISO interno de Proofpoint en la región de EMEA
