El compromiso del tráfico de correo electrónico empresarial (compromiso del correo electrónico empresarial o BEC, por sus siglas en inglés) se produce cuando el tráfico de correo electrónico se infiltra, compromete o manipula.
BEC también incluye cuando alguien se hace pasar por una persona de la empresa para conseguir que el destinatario comparta información confidencial, realice transacciones financieras o lleve a cabo otras acciones que pongan en peligro la seguridad de la empresa a largo plazo.
Los ciberdelincuentes utilizan varios enfoques para llevar a cabo con éxito ataques de compromiso del correo electrónico empresarial. Por un lado, se utilizan tácticas de ingeniería social para llevar a cabo el fraude y, por otro, se pueden realizar compromisos concretos y reales de cuentas de correo electrónico y sistemas.
En los casos en que los atacantes utilizan la ingeniería social dirigida para engañar a sus víctimas para que realicen determinadas acciones, el actor de la amenaza no tiene acceso real a los sistemas internos. Las personas afectadas son contactadas desde direcciones de correo electrónico externas. Para aumentar las posibilidades de éxito del ataque, los hackers criminales invierten tiempo y esfuerzo en hacer que sus ataques engañosos parezcan lo más realistas posible.
Intentan averiguar cómo está estructurada y organizada la empresa, quiénes son las personas relevantes y qué competencias y responsabilidades prevalecen. Una vez recopilada la información, los delincuentes escriben correos electrónicos en nombre de un empleado, del director general o incluso de un proveedor de servicios o socio comercial y se ponen en contacto con sus objetivos. Para engañar mejor a las víctimas potenciales, se imitan direcciones de correo electrónico reales o se modifican mínimamente para que las personas afectadas no puedan reconocer fácilmente el fraude. Un ejemplo típico sería el fraude al director general.
Mientras que en el caso anterior el atacante sólo finge formar parte de la organización, en el segundo tipo de ataque BEC el atacante tiene acceso real al servidor de correo electrónico o a la cuenta de correo electrónico de la víctima o de la persona que finge ser. Esto significa que el atacante tiene acceso a la cuenta de correo electrónico real y puede, por ejemplo, enviar correos electrónicos desde la dirección de correo electrónico comprometida o leerlos utilizando reglas de reenvío.
También es posible que los hackers criminales intercepten y manipulen correos electrónicos. Los hackers criminales acceden a cuentas o sistemas de correo electrónico mediante ataques de phishing, el uso de malware o vulnerabilidades de seguridad en las aplicaciones, entre otras cosas.
Un caso práctico para ilustrarlo:
Se instalaron ventanas nuevas en una empresa. Una vez finalizado el trabajo, se envió la factura final a la empresa. El departamento de contabilidad accedió y pagó el importe pendiente. Algún tiempo después, el instalador de las ventanas se puso en contacto con la empresa y le informó de que la factura seguía pendiente.
Cuando se aclararon los hechos del caso, se descubrió que la factura que había recibido la empresa había sido manipulada y se había cambiado la información de pago. Como se sospechaba que se trataba de un ciberataque, los expertos en ciberforense investigaron los sistemas, los correos electrónicos, el servidor de correo electrónico y el PDF de la factura. Resultó que el servidor de correo electrónico de la empresa se había visto comprometido, lo que permitió que el correo electrónico fuera interceptado y manipulado por el atacante.
En relación con los patrones de ataque mencionados:
En relación con otros patrones de ataque, incluidos los ataques de phishing:
