Puestos

Cuando se trata de cibercrimen y amenazas a la seguridad, el Vendor Email Compromise (VEC) es el gran padre del fraude por correo electrónico. Es el tipo de ataque para el que la mayoría de las organizaciones están menos preparadas, y uno de los más probables. En los últimos tres años, el VEC ha costado a las organizaciones más de 26.000 millones de dólares. Y puede ser sorprendentemente fácil de ejecutar.

Al igual que el VEC, los ataques BEC implican que el atacante se haga pasar por un ejecutivo de alto nivel en la organización, enviando correos electrónicos a un empleado recién contratado, a menudo en el departamento financiero. Solicitan transferencias de fondos o pagos de facturas falsas, que si se ejecutan lo suficientemente bien, pueden convencer a un empleado menos experimentado para que inicie la transacción.

Se puede entender por qué el BEC es un problema tan grande entre las grandes organizaciones. Es difícil controlar las actividades de todos los empleados, y los menos experimentados son más propensos a caer en un correo electrónico que parece provenir de su jefe o director financiero. Cuando las organizaciones nos preguntan cuál es el ciberataque más peligroso del que deben cuidarse, nuestra respuesta es siempre BEC.

Eso es, hasta que el Estornino Silencioso.

Sindicato de ciberdelincuentes organizados

El llamado Silent Starling es un grupo de ciberdelincuentes nigerianos con un historial de estafas y fraudes que se remonta a 2015. En julio de 2019, se comprometieron con una importante organización, haciéndose pasar por el director general de uno de sus socios comerciales. El correo electrónico pedía un cambio repentino y de última hora en los datos bancarios, solicitando una transferencia urgente.

Afortunadamente, descubrieron que el correo electrónico era falso antes de que se produjera ninguna transacción, pero en la investigación posterior salieron a la luz los inquietantes detalles de los métodos del grupo.

En lo que ahora se denomina Vendor Email Compromise (VEC), los atacantes lanzan un ataque significativamente más elaborado y organizado de lo que suele ocurrir en los BEC convencionales. El ataque tiene 3 fases separadas, intrincadamente planificadas, que parecen requerir mucho más esfuerzo que la mayoría de los ataques BEC. Así es como funciona.

VEC: Cómo defraudar a una empresa en 3 pasos

Paso 1: Introducción

Los atacantes primero obtienen acceso a la cuenta de correo electrónico de una o más personas de la organización. Se trata de un proceso cuidadosamente orquestado: averiguan qué empresas carecen de dominios autenticados por DMARC. Estos son objetivos fáciles de falsificar. Los atacantes obtienen el acceso enviando a los empleados un correo electrónico de phishing que parece una página de inicio de sesión y roban sus credenciales de acceso. Ahora tienen acceso completo al funcionamiento interno de la organización.

Paso 2: Recogida de información

Este segundo paso es como una fase de vigilancia. Los delincuentes pueden ahora leer los correos electrónicos confidenciales y utilizarlos para vigilar a los empleados que participan en el procesamiento de pagos y transacciones. Los atacantes identifican a los principales socios comerciales y proveedores de la organización objetivo. Recopilan información sobre el funcionamiento interno de la organización, como las prácticas de facturación, las condiciones de pago e incluso el aspecto de los documentos y facturas oficiales.

Paso 3: Pasar a la acción

Con toda esta información recopilada, los estafadores crean un correo electrónico extremadamente realista y esperan la oportunidad adecuada para enviarlo (normalmente justo antes de que se produzca una transacción). El correo electrónico se dirige a la persona adecuada en el momento oportuno, y llega a través de una cuenta de empresa auténtica, lo que hace que sea casi imposible de identificar.

Al coordinar perfectamente estos tres pasos, Silent Starling fue capaz de comprometer los sistemas de seguridad de su organización objetivo y casi logró robar decenas de miles de dólares. Fueron de los primeros en intentar un ciberataque tan elaborado y, por desgracia, seguramente no serán los últimos.

No quiero ser víctima del VEC. ¿Qué debo hacer?

Lo que realmente asusta del VEC es que, aunque hayas conseguido descubrirlo antes de que los estafadores pudieran robar algún dinero, no significa que no se haya producido ningún daño. Los atacantes aún lograron obtener un acceso completo a sus cuentas de correo electrónico y comunicaciones internas, y pudieron obtener un conocimiento detallado de cómo funcionan las finanzas, los sistemas de facturación y otros procesos internos de su empresa. La información, especialmente la información sensible como ésta, deja a su organización completamente expuesta, y el atacante siempre podría intentar otra estafa.

Entonces, ¿qué puede hacer al respecto? ¿Cómo puede evitar que le ocurra un ataque VEC?

1. Proteja sus canales de correo electrónico

Una de las formas más eficaces de detener el fraude por correo electrónico es no dejar que los atacantes comiencen siquiera el paso 1 del proceso VEC. Puedes impedir que los ciberdelincuentes obtengan el acceso inicial simplemente bloqueando los correos electrónicos de phishing que utilizan para robar tus credenciales de acceso.

La plataforma PowerDMARC le permite utilizar la autenticación DMARC para impedir que los atacantes se hagan pasar por su marca y envíen correos electrónicos de suplantación de identidad a sus propios empleados o socios comerciales. Le muestra todo lo que ocurre en sus canales de correo electrónico y le avisa al instante cuando algo va mal.

2. Educar a su personal

Uno de los mayores errores que cometen incluso las organizaciones más grandes es no invertir un poco más de tiempo y esfuerzo en educar a su personal con un conocimiento de fondo sobre las estafas en línea más comunes, cómo funcionan y a qué deben prestar atención.

Puede ser muy difícil distinguir entre un correo electrónico real y uno falso bien elaborado, pero a menudo hay muchos signos reveladores que incluso alguien no muy capacitado en ciberseguridad podría identificar.

3. Establecer políticas para los negocios a través del correo electrónico

Muchas empresas dan por sentado el correo electrónico, sin pensar realmente en los riesgos inherentes a un canal de comunicación abierto y no moderado. En lugar de confiar implícitamente en cada correspondencia, hay que actuar asumiendo que la persona que está al otro lado no es quien dice ser.

Si necesita completar alguna transacción o compartir información confidencial con ellos, puede utilizar un proceso de verificación secundario. Esto podría ser cualquier cosa, desde llamar al socio para confirmar, o que otra persona autorice la transacción.

Los atacantes siempre encuentran nuevas formas de comprometer los canales de correo electrónico de las empresas. No puede permitirse no estar preparado.