El compromiso del tráfico de correo electrónico empresarial (compromiso del correo electrónico empresarial o BEC, por sus siglas en inglés) se produce cuando el tráfico de correo electrónico se infiltra, compromete o manipula.
BEC también incluye cuando alguien se hace pasar por una persona de la empresa para conseguir que el destinatario comparta información confidencial, realice transacciones financieras o lleve a cabo otras acciones que supongan una amenaza duradera para la seguridad de la empresa.
¿Cómo actúan los ciberdelincuentes?
Los ciberdelincuentes utilizan diferentes enfoques para llevar a cabo con éxito ataques que comprometen el correo electrónico de las empresas. Por un lado, se utilizan tácticas de ingeniería social para llevar a cabo el fraude y, por otro, se pueden llevar a cabo compromisos concretos y reales de cuentas de correo electrónico y sistemas.
1. Fraude con ingeniería social
En los casos en que los atacantes engañan a sus víctimas para que realicen determinadas acciones mediante ingeniería social dirigida, el actor de la amenaza no tiene acceso real a los sistemas internos. Las personas afectadas son contactadas desde direcciones de correo electrónico externas. Para aumentar las posibilidades de éxito del ataque, los hackers criminales invierten tiempo y esfuerzo en hacer que sus ataques engañosos parezcan lo más realistas posible.
Intentan averiguar cómo está estructurada y constituida la empresa, quiénes son las personas relevantes y qué competencias y responsabilidades prevalecen. Una vez recopilada la información, los delincuentes escriben correos electrónicos en nombre de un empleado, del director general o incluso de un proveedor de servicios o socio comercial y se ponen en contacto con las personas objetivo. Para engañar mejor a las víctimas potenciales, se imitan direcciones de correo electrónico reales o se modifican mínimamente para que las personas afectadas no puedan reconocer fácilmente el fraude. Un ejemplo típico sería el fraude de CEO.
2. Compromiso de cuentas o sistemas de correo electrónico.
Mientras que en el caso anterior el atacante sólo finge formar parte de la organización, en el segundo tipo de ataque BEC tiene acceso real al servidor de correo electrónico o a la cuenta de correo electrónico de la víctima o de la persona que finge ser. Esto significa que el atacante tiene acceso a la cuenta de correo electrónico real existente y es capaz, por ejemplo, de enviar correos electrónicos desde la dirección de correo electrónico comprometida o leer junto con las reglas de reenvío.
También es posible que el hacker criminal intercepte y manipule correos electrónicos. Los hackers criminales acceden a cuentas o sistemas de correo electrónico mediante ataques de phishing, el uso de malware o a través de vulnerabilidades de seguridad en las aplicaciones, entre otras cosas.
Un caso práctico para ilustrarlo:
En una empresa se instalaron ventanas nuevas. Una vez finalizadas las obras, se envió a la empresa la factura final. El departamento de contabilidad accedió y abonó el importe pendiente. Algún tiempo después, el instalador de ventanas se puso en contacto con la empresa y le informó de que la factura seguía pendiente.
Cuando se aclararon los hechos, resultó que la factura que había recibido la empresa había sido manipulada y se habían cambiado los datos de pago. Sospechando que se trataba de un ciberataque, los ciberforenses investigaron los sistemas, los correos electrónicos, los servidores de correo electrónico y el PDF de la factura. Resultó que el servidor de correo electrónico de la empresa había sido comprometido, lo que permitió que el correo electrónico fuera interceptado y manipulado por el atacante.
¿Cómo protegerse?
Como empleado:
Con respecto a los patrones de ataque mencionados anteriormente:
- Comprueba si la dirección de correo electrónico del remitente es realmente la correspondiente o si contiene elementos inusuales (letras o números de más, nombre de dominio erróneo, etc.).
- Preste atención a la dirección, la redacción y los modismos.
- Mantén la cabeza fría incluso en situaciones de estrés y no te dejes llevar por los nervios.
- Confíe en su instinto. Si algo le parece extraño, suele tener algo de cierto.
- Pida una segunda opinión o tranquilícese mejor una vez de más que una vez de menos.
En relación con otros patrones de ataque, incluidos los ataques de phishing:
- Trate siempre con recelo los archivos adjuntos y los enlaces de los correos electrónicos.
- No haga clic en enlaces ni descargue archivos adjuntos en correos electrónicos que no le parezcan fiables.
- Visite únicamente sitios web fiables.
- No haga clic indiscriminadamente en ventanas emergentes o banners publicitarios.
- Descargue e instale sólo programas o aplicaciones de fuentes fiables.
Como director general:
- Para protegerse contra los ciberataques, como los ataques de phishing o los diversos ataques de ingeniería social, no basta con medidas de protección técnica como un cortafuegos activo y filtros de spam. Tiene que centrarse en sus empleados e implicarlos.
- Proporcione a sus empleados una concienciación sobre ciberseguridad completa y sostenible.
- Ofrezca educación y formación periódicas a la plantilla sobre los patrones o tipos de ataques actuales. También puede contratar a proveedores de servicios externos, como Perseus, para que formen a los empleados.
- Promueva una cultura corporativa en la que se anime a los empleados a hacer preguntas y a obtener una segunda opinión en caso de duda.