El compromiso de correo electrónico empresarial (BEC) se ha convertido en una amenaza líder para las organizaciones a nivel mundial. Provoca pérdidas anuales de miles de millones de dólares. A medida que los atacantes continúan perfeccionando sus tácticas, todas las empresas deben comprender estos ataques. Esta guía examina el BEC para ayudarte a identificar amenazas y reducir el riesgo de tu organización.
¿Qué es la vulneración del correo electrónico empresarial (o BEC, en inglés)?
La vulneración del correo electrónico empresarial es un ataque dirigido basado en correo electrónico que se basa en la ingeniería social. Los atacantes suelen hacerse pasar por personas de confianza, como ejecutivos, empleados, proveedores o asesores legales. Engañan a los destinatarios para que transfieran fondos, revelen información confidencial o hagan otras acciones perjudiciales.
A diferencia de las campañas de phishing más amplias, la BEC se planifica cuidadosamente y es muy personalizado. Esto aumenta la probabilidad de éxito y, a menudo, evita las medidas tradicionales de seguridad del correo electrónico.
La magnitud de la amenaza es considerable. Según los reportes del Centro de Denuncias por Delitos en Internet del FBI, los ataques por BEC provocaron pérdidas ajustadas de más de 2 700 millones de dólares solo en 2022. Estos ataques se aprovechan tanto de la confianza humana como de las vulnerabilidades técnicas, lo que los hace especialmente peligrosos y difíciles de detectar.
Los cinco tipos principales de ataques por BEC
La mayoría de los fraudes por BEC se dividen en cinco categorías principales:
1. Ataques de facturas fraudulentas
Esta es una de las formas más prevalentes de BEC. Los atacantes se hacen pasar por un proveedor de confianza y envían facturas o solicitudes de pago fraudulentas. Los correos electrónicos a menudo provienen de cuentas comprometidas o suplantadas de manera convincente, lo que los hace parecer completamente legítimos.
En algunos casos, los atacantes aprovechan plataformas de confianza como QuickBooks o PayPal para enviar facturas. Aprovechan el hecho de que los mensajes de estos servicios rara vez activan alertas de seguridad o sospechas.
Ejemplo: Un gerente financiero de una empresa de tamaño mediano recibe una factura de lo que parece ser un proveedor de larga trayectoria. El correo electrónico proviene de una dirección auténtica de QuickBooks. Dado que QuickBooks goza de gran confianza y el tono coincide con la correspondencia anterior, la solicitud de pago se procesa sin más comprobaciones. Una vez enviados, los fondos se transfieren a una cuenta controlada por el atacante.
2. Fraude de CEO
El fraude de CEO, también conocido como suplantación de ejecutivos, implica que los atacantes se hacen pasar por un alto ejecutivo. Usando una cuenta vulnerada o una suplantación bien elaborada, envían correos electrónicos al personal de finanzas o de recursos humanos solicitando una acción urgente. Esta suele implicar una transferencia bancaria, la divulgación de datos confidenciales o un cambio en los detalles de nómina.
La urgencia y la autoridad asociadas con las solicitudes ejecutivas las hacen muy efectivas.
Ejemplo: al final de un trimestre intenso, el CFO recibe un correo electrónico que parece ser del CEO. El correo electrónico solicita que se haga una transferencia electrónica "confidencial" a un nuevo proveedor antes del cierre del negocio. Como la solicitud es urgente y el lenguaje es familiar, el director financiero responde rápidamente. Más tarde, descubre que los fondos se han transferido a una cuenta fraudulenta en el extranjero.
3. Vulneración de cuentas
En los ataques de vulneración de cuentas o de toma de control de cuentas (en inglés, ATO), los atacantes vulneran la cuenta de correo electrónico de un usuario real. Esto suele ocurrir debido a la reutilización de credenciales o al phishing. A continuación, el atacante utiliza la cuenta para actividades maliciosas. Dado que el atacante ahora controla una cuenta legítima y de confianza, sus solicitudes parecen razonables y fiables para el resto de los integrantes de la organización.
4. Suplantación de identidad de abogado.
Los atacantes suelen hacerse pasar por asesores legales, a veces utilizando dominios muy similares a los de bufetes de abogados legítimos. Presionan a los empleados para que compartan información sensible de la compañía o de los clientes, o para que hagan pagos urgentes. La aparición de una solicitud legal, que a menudo hace referencia a acuerdos o disputas en curso, puede incitar a los destinatarios a actuar sin la debida diligencia.
5. Exflitracion de datos
Este ataque se dirige a los empleados, generalmente en recursos humanos o finanzas, con el objetivo de obtener datos confidenciales de empleados o clientes. Estos incluyen declaraciones de impuestos, listas de nóminas o información de identificación personal (en inglés, PII). Los atacantes suelen utilizar los datos robados para cometer nuevos fraudes, robos de identidad u otros ataques, tanto dentro como fuera de la empresa.
La anatomía de un ataque BEC
Los ataques por BEC no son aleatorios. Los atacantes suelen seguir un manual metódico:
- Investigue el objetivo: los atacantes aprovechan la inteligencia de código abierto, las redes sociales, los comunicados de prensa de las empresas y los datos filtrados. Identifican la estructura organizativa, los procesos empresariales y quién tiene la autoridad financiera.
- Preparar y diseñar el ataque: utilizando la información recopilada, los atacantes crean correos electrónicos personalizados. Pueden registrar dominios muy similares al dominio de una empresa (lo que se conoce como "typosquatting") o vulnerar cuentas legítimas. Los correos electrónicos imitan el lenguaje, las firmas y el formato reales.
- Generar confianza y colocar la trampa: algunos ataques son "uno y listo", pero campañas sofisticadas pueden implicar comunicación de ida y vuelta. Los atacantes crean gradualmente confianza y relación con el objetivo, aumentando su credibilidad antes de hacer la solicitud crítica.
- Ejecución: cuando el momento parece adecuado, el atacante envía una solicitud de dinero, información u otros activos. A menudo, generan urgencia o secretismo. Para cuando la víctima se da cuenta del error, el atacante generalmente ha transferido los fondos o exfiltrado los datos, dejando pocos rastros.
Por qué es tan difícil detener la vulneración del correo electrónico empresarial
Hay varios factores que hacen que la BEC sea un reto incluso para las organizaciones preocupadas por la seguridad:
- Evasión de la seguridad del correo electrónico: muchos correos electrónicos de BEC no contienen enlaces maliciosos ni archivos adjuntos. Las soluciones tradicionales de seguridad de correo electrónico, que se centran en bloquear el malware y el phishing, pueden no detectar estas amenazas.
- Uso de plataformas de confianza: los atacantes pueden aprovechar plataformas como QuickBooks, OneDrive o PayPal que envían mensajes legítimos generados por el sistema.
- Personalización y sincronización: los correos electrónicos son sumamente contextuales, a menudo vinculados a ciclos de negocios reales, proyectos en curso o procedimientos internos obtenidos de brechas anteriores o LinkedIn.
- Aprovecharse de la naturaleza humana: la autoridad, la confianza, la urgencia y el secretismo son desencadenantes psicológicos que los correos electrónicos de BEC explotan con destreza.
Ejemplo hipotético: desviación de nómina
Considere un especialista en recursos humanos que recibe un correo electrónico que parece ser de un gerente senior. El correo electrónico solicita una actualización urgente de la información de depósito directo, citando nuevos datos bancarios. El mensaje proviene de la cuenta de correo electrónico real del gerente, que ha sido comprometida.
Al considerar que la solicitud es legítima y no querer retrasar el pago del sueldo de un empleado sénior, el especialista en recursos humanos procesa el cambio. Cuando llega el día de pago, el salario se deposita en una cuenta controlada por el atacante. El empleado real nunca recibe su compensación.
El impacto del BEC
Los costos financieros de la BEC pueden ser considerables. Un solo ataque puede provocar pérdidas de entre decenas de miles y millones de dólares. Sin embargo, la pérdida financiera directa es solo una parte del panorama.
Daño a la reputación, sanciones regulatorias por brechas de datos y pérdida de relaciones comerciales son posibles efectos secundarios. Dado que estos ataques suelen tener como objetivo la información financiera o los datos confidenciales, las organizaciones también pueden enfrentarse a elevados costos de investigación y remediación.
Defender y prevenir el compromiso del correo electrónico empresarial con estrategias clave
La prevención de la BEC exige un enfoque integral de seguridad. Este combina tecnología, procesos y concienciación del usuario.
Educación y concienciación del usuario
La capacitación continua es esencial. Los empleados deben reconocer tácticas comunes, como cambios inesperados en los detalles de pago, solicitudes urgentes de secreto y direcciones de correo electrónico inusuales del remitente. Deben sentirse capacitados para verificar solicitudes sospechosas a través de canales alternativos.
Controles técnicos
Las soluciones de seguridad modernas utilizan inteligencia artificial y procesamiento del lenguaje natural. Detectan las señales contextuales y de comportamiento características de los emails de BEC. Estas soluciones pueden marcar las solicitudes sospechosas, analizar la legitimidad del remitente y detectar anomalías en comparación con comunicaciones anteriores.
Verificación del proceso
Las organizaciones deben implementar controles internos estrictos. Esto incluye autenticación multifactor para las transacciones confidenciales, doble aprobación para transferencias de fondos y procedimientos establecidos para verificar la identidad. Esto es especialmente importante para cualquier solicitud que implique cambios en información financiera o sensible.
Auditorías y simulaciones periódicas
Las evaluaciones periódicas de la postura de seguridad del correo electrónico y las pruebas de phishing por etapas ayudan a garantizar la preparación. También revelan las debilidades del proceso.
A continuación, se presentan dos controles esenciales para defenderse contra la BEC:
- Verificación de solicitudes de pago: para cualquier solicitud de cambio de detalles de pago del proveedor, adición de nuevos proveedores o transferencia de fondos, se requiere una verificación secundaria a través de canales telefónicos o en persona. Nunca confíe únicamente en el correo electrónico.
- Limitación del intercambio de información: limite la cantidad de información detallada sobre la empresa y los empleados que se publica en línea. Los atacantes emplean estos datos para el reconocimiento.
Cómo protegen las soluciones avanzadas contra la BEC
A medida que los atacantes emplean cada vez más la inteligencia artificial para crear mensajes de BEC convincentes, las herramientas de seguridad han evolucionado para contrarrestar estas amenazas. Varonis Interceptor aprovecha la inteligencia artificial avanzada, el procesamiento del lenguaje natural y el análisis del comportamiento para detectar anomalías sutiles en el contenido de los correos electrónicos, el comportamiento de los remitentes y el contexto.
Esto incluye lo siguiente:
- detección de patrones de comunicación inusuales, como una solicitud repentina de pago de un contacto que rara vez realiza tales solicitudes
- Análisis de las relaciones dentro de la organización para detectar intentos de suplantación.
- respuesta en tiempo real a solicitudes sospechosas o desviaciones de comportamiento
Estas tecnologías trabajan juntas para reducir la dependencia únicamente de la vigilancia de los usuarios. Cierran la brecha que deja el filtrado tradicional de correo electrónico basado en firmas.
No espere a que se produzca una vulneración.
Los ataques de BEC representan uno de los riesgos cibernéticos más graves de la actualidad. Combinan sofisticación técnica con manipulación psicológica. Al comprender las diversas formas que puede adoptar la BEC, reconocer los signos de un ataque y adoptar estrategias de defensa por capas, las organizaciones pueden reducir significativamente su exposición y su riesgo financiero.
En un panorama en el que los atacantes perfeccionan constantemente sus técnicas, es esencial mantener la vigilancia y adoptar una postura de seguridad proactiva. Al asociarse con socios avanzados y priorizar la mejora continua, las empresas pueden mantenerse a la vanguardia de las amenazas en evolución. Así mantienen la integridad de sus procesos financieros y operativos.
¿Está listo para ver cómo Varonis puede ayudar a defender su organización de BEC y otras amenazas avanzadas basadas en correo electrónico? Póngase en contacto con nosotros hoy mismo para descubrir cómo nuestras soluciones impulsadas por IA pueden proteger sus comunicaciones antes de que los atacantes lleguen a su bandeja de entrada.
Preguntas frecuentes sobre la vulneración del correo electrónico empresarial
¿Cómo funcionan los ataques BEC?
Los ataques BEC generalmente comienzan con atacantes investigando sus objetivos. Recopilan información sobre la estructura organizativa y los procesos empresariales. Luego elaboran correos electrónicos convincentes y personalizados, a menudo suplantando la identidad de ejecutivos o proveedores, para generar confianza en la víctima. El atacante finalmente envía una solicitud fraudulenta—normalmente de dinero, información sensible o cambios de cuenta—bajo el pretexto de urgencia o confidencialidad.
¿Cuál es un ejemplo de vulneración del correo electrónico empresarial?
Un ejemplo de un ataque BEC es cuando un gerente de finanzas recibe una factura de lo que parece ser un proveedor de confianza. A veces, los atacantes utilizan una plataforma de apariencia legítima, como QuickBooks. El gerente procesa una solicitud de pago que, en realidad, es fraudulenta, lo que resulta en que los fondos se envíen a una cuenta controlada por el atacante.
¿Cuál es la diferencia entre phishing y BEC?
Tanto el phishing como la BEC implican correos electrónicos engañosos, pero difieren significativamente. Los mensajes de phishing tienden a ser genéricos y se envían ampliamente a muchos destinatarios. Esperan engañar a personas desprevenidas para que hagan clic en enlaces maliciosos o proporcionen sus credenciales.
En cambio, los ataques BEC son muy dirigidos, personalizados y a menudo dependen únicamente de la ingeniería social sin el uso de enlaces o archivos adjuntos. Esto hace que sean más difíciles de detectar.
¿Qué es una vulneración de la cuenta de correo electrónico?
El compromiso de cuentas de correo electrónico es una forma de BEC en la que un atacante obtiene acceso no autorizado a la cuenta de correo electrónico de un usuario legítimo. Esto suele ocurrir mediante robo de credenciales o phishing. A continuación, el atacante utiliza esa cuenta para enviar solicitudes fraudulentas a otras personas de la organización, aprovechando la confianza asociada a la cuenta comprometida.
Tenga en cuenta que este blog se tradujo con la ayuda de IA y un traductor humano lo revisó.
