¿Qué es el compromiso del correo electrónico empresarial?

Blog

¿Qué es el Business Email Compromise? El BEC se produce cuando un hacker asume la identidad del propietario de un dominio para cometer un fraude contra la empresa.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 8 minutos
¿Qué es el compromiso del correo electrónico empresarial?
Índice-

Pasando directamente a la definición de lo que es Business Email Compromise: Business Email Compromise (BEC) se produce cuando un hacker accede a una cuenta de correo electrónico de una empresa o suplanta una de apariencia legítima y asume la identidad del titular de la cuenta para cometer fraude contra la empresa. Dirigidos a organizaciones comerciales, gubernamentales y sin ánimo de lucro, los ataques BEC pueden provocar enormes pérdidas de datos, fallos de seguridad y comprometer activos financieros. Es un error común pensar que los ciberdelincuentes suelen centrarse en las multinacionales y las organizaciones de nivel empresarial; hoy en día, las PYME son un objetivo del fraude por correo electrónico tanto como las grandes empresas del sector. Tomar la cuenta de correo electrónico de la víctima es digno de confianza. También puede denominarse ataque de suplantación de identidad, en el que un atacante pretende estafar a una empresa haciéndose pasar por personas con cargos de autoridad, como el director financiero o el director general, un socio comercial o cualquier otra persona en la que el objetivo pueda confiar implícitamente.

Un atacante suele crear una cuenta con una dirección de correo electrónico casi idéntica a una de la red de la empresa, a menudo utilizando técnicas como la "typosquatting" (por ejemplo, amaz0n.com en lugar de amazon.com) o dominios parecidos. El BEC también se ha denominado "ataque del hombre en el correo electrónico". Los ataques BEC básicos son peligrosos porque es bastante difícil detectarlos, ya que pueden parecer proceder de la dirección de correo electrónico legítima de una empresa, lo que dificulta el rastreo de los enlaces incrustados a URL dudosas utilizadas por los hackers.

No es de extrañar que el FBI haya clasificado el Business Email Compromise (BEC) como una "estafa de 26.000 millones de dólares", dado el coste medio para las empresas de 5,01 millones de dólares por brechay la amenaza no hace más que crecer. Los ataques Business Email Compromise (BEC) se dirigen a empleados que utilizan direcciones de correo electrónico empresariales ficticias o legítimas. En 1.800 millones de dólares fueron ganados por los estafadores de BEC en 2020, más que cualquier otra forma de ciberdelincuencia, siendo Estados Unidos un centro principal para este impacto. El ataque BEC afecta a más del 70% de las organizaciones en todo el mundo y conduce a la pérdida de miles de millones de dólares cada año.

Puntos clave

  1. Business Email Compromise (BEC) es un sofisticado ataque de suplantación de identidad dirigido a organizaciones de todos los tamaños, con el objetivo de estafar mediante correos electrónicos engañosos que se hacen pasar por entidades de confianza.
  2. Los BEC se basan en gran medida en la ingeniería social, utilizando tácticas como el fraude del CEO, facturas falsas y dominios parecidos para manipular a los empleados para que transfieran fondos o divulguen datos confidenciales.
  3. Implantar y hacer cumplir DMARC (con SPF y DKIM) con una política de "p=reject" es crucial para evitar la suplantación de dominios y bloquear correos electrónicos no autorizados.
  4. Es esencial una estrategia de defensa a varios niveles, que incluya la formación de los empleados, protocolos estrictos de verificación de pagos, MFA y vigilancia contra la "typosquatting".
  5. El uso de protocolos de seguridad de correo electrónico adicionales, como MTA-STS para el cifrado TLS y BIMI para el reconocimiento de marcas, puede mejorar aún más la protección y la confianza.

¿Qué es el compromiso del correo electrónico empresarial y cómo funciona?

En un ataque BEC, los actores de la amenaza se hacen pasar por trabajadores o socios de confianza. Persuaden a la víctima para que realice una acción, como conceder acceso a información confidencial o enviar dinero, a menudo utilizando sofisticados ataques de ingeniería social como phishing, fraude de CEO, facturas falsas y suplantación de correo electrónico. Los actores de las amenazas siguen teniendo éxito a pesar de que cada vez se sabe más sobre el compromiso del correo electrónico empresarial. Por ejemplo, la ciberbanda rusa Cosmic Lynx ha llevado a cabo numerosas y sofisticadas campañas BEC utilizando correos electrónicos de phishing bien redactados, lo que dificulta su detección. Además, los ciberdelincuentes explotan tendencias como el trabajo remoto enviando correos electrónicos fraudulentos que suplantan herramientas populares como Zoom para robar credenciales de inicio de sesión.

La frecuencia de estos asaltos dirigidos a consumidores Anormales aumentó un impresionante 84% durante el primer y el segundo semestre de 2021. A pesar de ello, en el segundo semestre de 2021, la tasa de asaltos aumentó a 0,82 por cada mil buzones de correo. Los actores de amenazas suelen seguir etapas específicas para ejecutar estafas BEC:

  1. Direccionamiento de listas de correo electrónico: Los ciberdelincuentes recopilan correos electrónicos de LinkedIn, bases de datos o sitios web.
  2. Ataque de lanzamiento: Envían correos electrónicos utilizando dominios falsos o parecidos y nombres de remitente falsos.
  3. Ingeniería social: Los atacantes se hacen pasar por funcionarios de confianza, creando urgencia para solicitar transferencias de dinero o compartir datos.
  4. Beneficios financieros: La etapa final en la que se produce el robo financiero o la violación de datos.

¡Simplifique la seguridad con PowerDMARC!

Prueba de 15 díasAgendar demo

¿Cuáles son los principales tipos de ataques que comprometen el correo electrónico de las empresas?

Según el FBI, los principales tipos de estafas BEC son:

Falsas organizaciones benéficas

En los ataques BEC, una de las formas más comunes consiste en el envío de correos electrónicos de organizaciones benéficas falsas que afirman estar recaudando dinero para una causa benéfica. Estos correos suelen incluir archivos adjuntos que contienen programas maliciosos diseñados para infectar los ordenadores con virus y otros programas maliciosos. Las organizaciones sin ánimo de lucro también se enfrentan a amenazas de seguridad similares a través de donaciones de spam y ataques de carding, que pueden comprometer la confianza de los donantes y la integridad de los datos. 

Problemas de viaje

Otra estafa habitual de los BEC consiste en el envío de correos electrónicos de falsas agencias de viajes que afirman que ha habido un problema con su reserva de vuelo u hotel, normalmente porque alguien ha cancelado su reserva en el último momento. El correo electrónico le pedirá que actualice su folleto de viaje haciendo clic en un archivo adjunto o enlace incluido en el mensaje. Si lo hace, podría instalar inadvertidamente malware en su ordenador o permitir a los piratas informáticos acceder a datos confidenciales almacenados en su dispositivo.

Amenazas fiscales

Este ataque implica la amenaza de un organismo gubernamental de emprender acciones legales u oficiales si las víctimas no pagan dinero. Estas estafas suelen incluir facturas falsas y solicitudes de pago para evitar consecuencias legales.

Suplantación de Abogados

Estos correos electrónicos afirman que un abogado necesita su ayuda con un asunto legal, ya sea que haya sido arrestado o que esté tratando de cobrar el dinero que le debe otra persona. En estos casos, los estafadores piden tus datos personales para poder "ayudar" con el asunto legal en cuestión (como devolver el dinero).

La trama de las facturas falsas

En esta estafa, una empresa envía una factura a otra, normalmente por una cantidad importante. En la factura se indica que el receptor debe dinero por servicios o artículos que no ha recibido. Es posible que se les pida que envíen dinero para pagar la factura falsa.

Robo de datos

Esta estafa consiste en robar datos sensibles de su empresa y venderlos a la competencia o a otras partes interesadas. Los ladrones también pueden amenazar con publicar tus datos si no accedes a sus demandas.

¿Cómo funcionan los ataques BEC?

Así es como funcionan los ataques BEC:

  • Cuenta de correo electrónico o sitio web falsificados: el atacante falsificará una dirección de correo electrónico o un sitio web que parezca legítimo, a veces utilizando técnicas como la "typosquatting" o dominios parecidos. Enviará uno o más correos electrónicos de phishing desde esta cuenta solicitando información financiera, como números de cuentas bancarias y PIN, o solicitando transferencias de fondos. Utilizar protocolos de autenticación de correo electrónico como DMARC, SPF y DKIM puede ayudarte a evitar que los hackers suplanten tu dominio.
  • Correos electrónicos de spear phishing - Los correos electrónicos de spear phishing son correos electrónicos muy selectivos enviados directamente a empleados concretos, a menudo a los de finanzas o recursos humanos. A menudo se disfrazan de comunicaciones internas de alguien de la empresa (por ejemplo, un ejecutivo), con asuntos como "transferencia urgente" o "factura urgente" que solicitan datos confidenciales o una acción inmediata.
  • Uso de malware: los atacantes pueden instalar software malicioso (malware) en el ordenador de la víctima, a menudo a través de enlaces maliciosos o archivos adjuntos en correos electrónicos de phishing. Utilizan el malware para rastrear la actividad, capturar las pulsaciones del teclado (keyloggers), hacer capturas de pantalla u obtener acceso persistente al sistema y a la red.

¿Qué hacer para evitar el compromiso del correo electrónico empresarial?

Un ataque BEC exitoso puede costar mucho dinero a una empresa y causar un daño significativo. Sin embargo, se pueden prevenir estos ataques siguiendo unos sencillos pasos, como por ejemplo:

1. Proteja su dominio con DMARC, SPF y DKIM

Los protocolos de autenticación de correo electrónico como Domain-based Message Authentication, Reporting and Conformance (DMARC), Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) son esenciales. SPF le permite especificar qué servidores de correo están autorizados a enviar correo electrónico para su dominio. DKIM añade una firma digital a los correos electrónicos, lo que permite a los receptores verificar que el correo electrónico no ha sido manipulado.
DMARC se basa en SPF y DKIM. Una organización puede identificar qué fuentes están enviando correos electrónicos en nombre de su dominio mediante la verificación del remitente y la alineación del dominio utilizando el protocolo, junto con una mayor visibilidad de sus canales de correo electrónico. DMARC permite a los propietarios de dominios especificar cómo deben tratar los receptores los correos electrónicos que no superan las comprobaciones SPF o DKIM.
Para prevenir eficazmente el BEC, es necesario implementar DMARC con una política de aplicación. Las políticas son:

  • p=none: Supervisa el tráfico de correo electrónico sin afectar a la entrega. No ofrece protección contra BEC.
  • p=quarantine: Envía los correos sospechosos a la carpeta de spam o basura del destinatario.
  • p=reject: Bloquea por completo los correos electrónicos que no superan las comprobaciones de autenticación. Esta es la política recomendada para la máxima protección BEC.

Implantación de DMARC requiere la publicación de registros SPF, DKIM y DMARC correctamente formateados en su DNS. Se recomienda Registro DMARC para su aplicación: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1; Esta política rechaza los correos electrónicos que fallan y envía informes agregados (rua) y forenses (ruf) a las direcciones especificadas para su supervisión. Sólo una política de aplicación de rechazo minimiza eficazmente el BEC al impedir que los correos electrónicos falsificados lleguen a las bandejas de entrada de los destinatarios. Mientras que los filtros antispam protegen contra el phishing entrante, DMARC protege su dominio de ser utilizado en ataques salientes de phishing y spoofing.
La supervisión periódica mediante informes DMARC (agregados y forenses) es crucial para rastrear el flujo de correo electrónico, identificar problemas de autenticación y detectar posibles intentos de suplantación.

2. Protecciones contra la suplantación de identidad

Utilice software antiphishing y pasarelas de seguridad de correo electrónico que analicen los mensajes entrantes en busca de enlaces maliciosos, archivos adjuntos y signos de ingeniería social para bloquear las amenazas antes de que lleguen a los usuarios.

3. Separación de funciones y protocolos de pago

Asegúrese de que las funciones críticas, especialmente las transacciones financieras como las transferencias bancarias, no las realiza una sola persona. Desarrolle protocolos estrictos para la aprobación de pagos, exigiendo autorizaciones múltiples y confirmación secundaria (por ejemplo, llamada telefónica o verificación en persona) para las solicitudes, especialmente las urgentes o las que impliquen cambios en los detalles del pago.

4. Etiquetado de correos electrónicos externos

Configure su sistema de correo electrónico para etiquetar claramente los mensajes procedentes de fuera de su organización. Esto ayuda a los empleados a identificar rápidamente los mensajes potencialmente sospechosos que intentan hacerse pasar por remitentes internos.

5. Examine cuidadosamente las direcciones de correo electrónico y los detalles

Forme a los empleados para que examinen detenidamente la dirección de correo electrónico del remitente en busca de diferencias sutiles, errores tipográficos o dominios parecidos. Compruebe si la dirección de respuesta coincide con la dirección del remitente. Desconfíe de los correos electrónicos que exijan urgencia o confidencialidad.

6. Eduque a sus empleados

La mejor defensa contra los ataques BEC es la educación y concienciación de los empleados. Hay que enseñar a los empleados la amenaza de los BEC, cómo funcionan, las tácticas más comunes (como la urgencia o la suplantación de autoridad) y cómo pueden convertirse en objetivo. Deben conocer las políticas de la empresa sobre el uso del correo electrónico, el intercambio de datos y las transacciones financieras, incluidos los procedimientos de verificación. Realice pruebas de phishing simulado para medir la concienciación e identificar a las personas que necesitan más formación. Anime a los empleados a informar inmediatamente de cualquier correo electrónico o solicitud sospechosos sin temor a represalias.

7. Activar la autenticación multifactor (MFA)

Implemente MFA para todas las cuentas de correo electrónico y otros sistemas críticos. La MFA añade una capa adicional de seguridad más allá de una simple contraseña, reduciendo significativamente el riesgo de que la cuenta se vea comprometida incluso si las credenciales son robadas. Considere la MFA basada en el riesgo o en la ubicación para mejorar la seguridad.

8. Prohibir el reenvío automático de correo electrónico

Desactive el reenvío automático de correos electrónicos a direcciones externas en la configuración del sistema de correo electrónico de su organización. Los piratas informáticos pueden abusar de esta función para supervisar silenciosamente las comunicaciones o redirigir información confidencial después de comprometer una cuenta.

9. Implementar protocolos de seguridad adicionales

Considere la posibilidad de mejorar aún más la seguridad del correo electrónico con:

  • MTA-STS (Agente de Transferencia de Correo de Seguridad Estricta de Transporte): Garantiza el cifrado TLS de los correos electrónicos en tránsito, protegiéndolos contra escuchas y ataques man-in-the-middle. Utilice TLS-RPT (TLS Reporting) para obtener informes sobre los éxitos y fracasos de la negociación TLS.
  • BIMI (Indicadores de marca para la identificación de mensajes): Adjunta el logotipo verificado de su marca a los mensajes de correo electrónico autenticados, lo que aumenta el recuerdo de la marca y ayuda a los destinatarios a identificar visualmente los mensajes legítimos en los clientes de correo electrónico compatibles. BIMI requiere la aplicación de DMARC.
  • Gestión de registros SPF: Asegúrese de que su registro SPF se mantiene dentro del límite de 10 búsquedas DNS para evitar errores de validación. Herramientas como SPF flattening pueden ayudar a gestionar registros complejos.

10. Denunciar el fraude

Si sospecha o es víctima de una estafa BEC, notifíquelo inmediatamente a las autoridades competentes (como el IC3 del FBI en Estados Unidos) y a sus entidades financieras. La denuncia ayuda a las fuerzas de seguridad a rastrear estos delitos y a recuperar fondos.

Conclusión

Las estafas de Business Email Compromise se cuelan incluso en las medidas de seguridad más avanzadas, a menudo dirigidas a personal clave como el CEO o el CFO con un único correo electrónico bien elaborado. En definitiva, el BEC es un vector de ataque realmente insidioso que sigue siendo frecuente en el mundo empresarial. Y eso significa que debe tenerlo muy en cuenta, independientemente del tamaño de su organización. Una combinación de controles técnicos como la aplicación de DMARC, procedimientos internos sólidos y la formación continua de los empleados es necesaria para construir una defensa sólida.

Utilice el analizador DMARC de PowerDMARC para asegurarte de que los correos electrónicos de tu dominio se entregan y evitar el envío de correos falsos. Cuando detienes el spoofing, estás haciendo algo más que proteger tu marca. Está asegurando la supervivencia de su negocio al implementar una parte crucial de la pila de autenticación de correo electrónico, que también puede incluir SPF, DKIM, BIMI, MTA-STS y TLS-RPT para una protección completa.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
DMARC y listas de correoDMARC y listas de correoQué es el Smishing 01 01¿Qué es el Smishing?