¿Qué son los accesos a correos electrónicos empresariales (BEC)?

Los accesos a correos electrónicos empresariales (o BEC: Business Email Compromise, según sus siglas en inglés) es una categoría de ciberataque que apunta a fijarse un en un blanco específico para suplantar o tomar posesión de las cuentas de correo de una empresa. Este modo de ataque ha ganado mucha popularidad recientemente debido a la continua transición de empresas, compañías y organizaciones a infraestructuras basadas en la nube.

Las redes con base en la nube son geniales para cualquier organización, pero se caracterizan por tener una seguridad notoriamente débil, especialmente considerando toda la información que se maneja en torno al funcionamiento interno de una empresa. Es comprensible que la nube se haya convertido en objetivo de alto valor para los piratas informáticos.

Los accesos a correos electrónicos empresariales son un problema a nivel global para pequeñas, medianas y grandes empresas en igual medida. Los ataques BEC han costado a las empresas miles de millones de dólares a lo largo de los años, pero no es difícil estar preparados ante estos, y no son imposibles de prevenir; sigue leyendo para que te enteres cómo puedes defenderte a ti a tu empresa contra los accesos a correos electrónicos empresariales.

¿Qué es BEC?

Antes de proceder a estudiar medidas de prevención, exploremos brevemente en profundidad la definición de los accesos a correos electrónicos empresariales. La pregunta puntual es: ¿qué es BEC?

Un BEC es un ataque de ingeniería social dirigido a una víctima dentro de una empresa; es alguien que recibe un mensaje de correo electrónico que luce legítimo e indica ser alguien de confianza dentro de la institución. Este correo generalmente solicita dinero o información específica por una razón que suena logísticamente genuina; sin embargo, tras una inspección profunda, queda en evidencia que el remitente no es quien dice ser.

¿Cómo funcionan los accesos a correos electrónicos empresariales?

Debido a la cantidad de daño que causa este tipo de estafa, el FBI ha investigado el modus operandi de esta estafa extensamente. Sus investigaciones permiten definir cinco categorías principales para clasificar los ataques BEC:

  • Esquema de factura falsificada: el pirata informático se hace pasar por un proveedor de bienes y servicios de la empresa y envía una factura para solicitar fondos a una cuenta específica.
  • Fraude a través del CEO: el atacante se hace pasar por alguien de alta jerarquía dentro de una empresa y envía correos a un empleado específico solicitando información o fondos.
  • Acceso a una cuenta de correo: el atacante toma el control de la cuenta de correos de un empleado y la usa para solicitar transacciones financieras por diversos servicios y que el dinero sea depositado en cuentas falsas del atacante.
  • Suplantación de identidad de un departamento legal: el atacante se hace pasar por un representante legal y empieza hilos de comunicación con los miembros de una empresa que tiene poco conocimiento de estos asuntos de la compañía, una vez que establece su autoridad de forma fraudulenta, solicitan fondos o información.
  • Robo de datos: los atacantes se enfocan en extraer información al departamento de recursos humanos de una empresa, o a empleados relacionados con esta estructura para acceder a información confidencial o información personal sobre ejecutivos de alto nivel, para usar esta información posteriormente a futuro.

Los métodos que hemos mencionado requieren que el atacante se aproveche de un error humano para tener acceso a la información que busca. Existen tres formas puntuales de lograr este objetivo:

  • Suplantación de un dominio oficial: el pirata informático crea un sitio web falso o una cuenta de correo que refleja el dominio oficial para engañar a las personas, ganar su confianza y obtener lo que necesiten de ellos.
  • Falsificación de un dominio: los atacantes crean un dominio que contiene un error ortográfico apenas visible en la dirección URL, también puede ser un dominio con una ligera alteración del nombre oficial. Como es de esperar, este método de estafa involucra un sitio web falso o una cuenta de correo que replica la versión oficial intencionalmente, ya que el objetivo es explotar a la víctima y aprovechar su falta de atención a los detalles.
  • Cuentas afectadas: los piratas informáticos obtienen acceso a una cuenta oficial y la usan para sacar provecho a la lista de correo del individuo afectado, por ende, cualquiera que confíe en esa cuenta está en riesgo a partir de ese momento, ya que los atacantes se aprovechan de esto para estafar a cuanta gente les sea posible.

Ejemplos de accesos a correos electrónicos empresariales

Ahora que sabemos cómo funcionan los ataques BEC, pasemos a analizar casos reales. A continuación, te mostramos algunos ejemplos conocidos de accesos a correos electrónicos empresariales en los últimos años:

  • Toyota, año 2019: un ataque fue dirigido al director ejecutivo de la Boshoku Corporation en Japón, el cual terminó costándole a la empresa 37 millones de dólares debido a una transferencia bancaria falsa.
  • Organizaciones de salud de COVID-19, año 2020: el interés del público general por obtener información sobre la pandemia tuvo un punto muy álgido en sus inicios, lo cual tuvo como consecuencia que se incrementaran las estafas. Piratas informáticos usaron dominios falsos con el fin de hacerse pasar por organizaciones confiables, tales como la Organización Mundial de la Salud, para propagar malware y desinformación de una manera altamente eficiente; tanto o más que la enfermedad misma.
  • Treasure Island Homeless Charity, año 2021: los atacantes siempre están a la caza de eslabones débiles para explotar sus flaquezas. Es un hecho conocido que muchas organizaciones benéficas carecen de seguro contra delitos cibernéticos o defensas apropiadas contra estos. La sede de TIHC con sede en San Francisco no es la excepción, ya que los piratas informáticos ingresaron al sistema a través del correo electrónico de un administrador y llevaron a cabo una redada que duró aproximadamente un mes, lo cual resultó en pérdidas calculadas en 625.000 dólares.

¿Por qué los accesos a correos electrónicos empresariales son efectivos?

Los malware y virus pueden son prevenibles y es posible crear defensas ante estos, pero el error humano es el eslabón débil por el cual sufren todos los sistemas. Los ataques de accesos a correos electrónicos empresariales (BEC) aprovechan esta debilidad tanto como les sea posible.

Los atacantes pueden tener su vista puesta sobre alguien en el fondo de la escalera corporativa o una persona posicionada en los escalafones mayores; una vez que tiene su objetivo, los atacantes peinan el perfil digital de esa persona buscando el más mínimo detalle de información. Estos se aprovechan de esta información para solidificar su postura y adquirir más información con el fin de tener más poder y desviar fondos de la empresa. El proceso funciona igual sin importar si están lidiando con un equipo reducido de cinco personas o una corporación gigantesca con miles de empleados.

Cómo evitar los ataques BEC

Ya sabemos que los ataques BEC se aprovechan de errores minúsculos, pero hay medidas que podemos tomar para evitarlos. A continuación, te presentamos algunos consejos para ayudarte a ti y tu equipo a evitar los accesos a correos electrónicos empresariales:

No compartas muchos aspectos de tu vida en las redes sociales

Piensa muy bien qué es lo que vas a compartir en las redes sociales. Un pirata informático con suficiente determinación puede escarbar hasta el último detalle de información personal que publiques y encontrarán lo que necesite para usarlo de anzuelo y llevar a cabo su ataque.

No te apresures a tomar acciones en base a las solicitudes de un correo, especialmente si te están presionando

Los correos que preceden a una estafa se valen de la creación de una extrema sensación de urgencia en los mensajes enviados, es por eso que te recomendamos analizarlos con precisión quirúrgica (especialmente si vienen de fuentes que no confías o no reconoces) Pregúntate primero ¿Por qué la prisa? Si las solicitudes te resultan vagas o sospechosas, no cedas a estas peticiones. Mejor toma algo de tiempo para analizar el correo y no tomes decisiones apresuradas solo porque el mensaje tiene un tono frenético.

Verifica el remitente, la dirección URL, etc.

Para este paso necesitamos un ojo avizor, nos toca tener mucho cuidado para garantizar y verificar al menos dos veces la validez de cualquier dirección URL, dominio, remitente, etc. Una de las mejores formas de asegurarte de la veracidad del correo es hablar con el remitente por teléfono; también puedes verificar los enlaces en busca de errores ortográficos y asegurarte de que la dirección del remitente está en tu lista de contactos.

Configura la autenticación de dos factores o multifactor

La mayoría de las personas se quejan y tuercen los ojos ante los consejos de actualización de seguridad de sus cuentas, tales como el uso de la verificación multifactorial, pero el hecho es que estos protocolos funcionan al 100%. Es una capa adicional de protección que evita que los piratas informáticos se aprovechen de tu cuenta.

Etiqueta los mensajes de correos externos

Ten cuidado con las direcciones de correo que no están en tus contactos o directorios comerciales, es mejor tomar algo de tiempo para analizar el remitente que envían un mensaje por primera vez antes de abrir o interactuar con cualquier elemento que envíen.

Verifica las solicitudes a través de contacto directo, incluso si el mensaje viene de parte de tus supervisores

Cualquier solicitud, especialmente aquellas que sean relacionadas con información confidencial o delicada, así como transacciones financieras deben verificarse de persona a persona. Nunca tomes el mensaje amistoso del “jefe” al pie de la letra; confirma primero que es el remitente oficial.

Utiliza DMARC y Protección Anti-Phishing

DMARC (o la autenticación de dominio basada en mensajes, reportes y conformidad) así como otros protocolos antiphishing se han vuelto esenciales para reducir los intentos de ataques BEC para cualquier empleado en una empresa o compañía. La aplicación de estas medidas de seguridad reduce la posibilidad de ser afectados por el error humano que crea orificios en la seguridad de un sistema. 

Conclusiones y cierre

Cualquier sistema puede verse afectado por errores humanos que cualquiera puede cometer, es importante tener en cuenta que hay muchas formas de prevenir y defenderse de los ataques BEC. Te recomendamos ser cauteloso y asegurarte que todos los miembros de tu equipo se mantengan informados sobre estos métodos de defensa en línea.

Recuerda verificar las cuentas de correo, los remitentes que envían mensajes por primera vez, así como las direcciones URL; no te apresures en tomar decisiones precipitadas. Confirma las solicitudes importantes en persona y configura la verificación multifactor. Por último, te aconsejamos implementar medidas de seguridad como DMARC para reducir los ataques BEC y ayudar a mantener segura tu organización, así como a tus empleados y clientes.

¿Qué es una firma DKIM?

¿Qué es una firma DKIM?

En el año 2020, hubo un aumento vertiginoso en el uso de los correos...

Read More
Los 10 mejores canales de YouTube sobre seguridad cibernética

Los 10 mejores canales de YouTube sobre seguridad cibernética

Si tienes interés en iniciar una carrera en el desafiante mundo de la seguridad...

Read More
DMARC y su relación con las Instituciones Financieras de Sudáfrica

DMARC y su relación con las Instituciones Financieras de Sudáfrica

El sector financiero sudafricano, en especial los bancos, las compañías de préstamos y las...

Read More