¿Qué es el compromiso del correo electrónico empresarial?

Saltando directamente a la definición de lo que es Business Email Compromise: Business Email Compromise (BEC) se produce cuando un hacker accede a una cuenta de correo electrónico de la empresa y asume la identidad del titular de la cuenta para cometer un fraude contra la empresa. Tomando la cuenta de correo electrónico de la víctima es de confianza. 

Un atacante suele crear una cuenta con una dirección de correo electrónico casi idéntica a la de la red de la empresa. El BEC también se ha denominado "ataque del hombre en el correo electrónico".

No es de extrañar que el FBI haya clasificado el Business Email Compromise (BEC) como una "estafa de 26 millones de dólares", dado el coste medio para las empresas de 5,01 millones de dólares por infraccióny la amenaza no hace más que crecer. Los ataques de Business Email Compromise (BEC) se dirigen a empleados que utilizan direcciones de correo electrónico empresariales ficticias o legítimas. En 1.800 millones de dólares fueron ganados por los estafadores BEC en 2020, más que cualquier otra forma de ciberdelincuencia.

¿Qué es el compromiso del correo electrónico empresarial y cómo funciona?

En un ataque BEC, los actores de la amenaza se hacen pasar por trabajadores o socios de confianza. Persuaden a la víctima para que realice una acción, como dar acceso a información confidencial o enviar dinero. Los actores de la amenaza siguen teniendo éxito a pesar del mayor conocimiento del compromiso del correo electrónico empresarial.

La frecuencia de estos asaltos dirigidos a consumidores anormales aumentó un impresionante 84% durante el primer y el segundo semestre de 2021. A pesar de ello, en el segundo semestre de 2021, la tasa de asaltos aumentó a 0,82 por cada mil buzones.

¿Cuáles son los principales tipos de ataques que comprometen el correo electrónico de las empresas?

Según el FBI, los principales tipos de estafas BEC son:

Falsas organizaciones benéficas

En los ataques BEC, una de las formas más comunes consiste en el envío de correos electrónicos de falsas organizaciones benéficas que afirman estar recaudando dinero para una causa digna. Estos correos electrónicos suelen incluir archivos adjuntos que contienen software malicioso diseñado para infectar los ordenadores con virus y otros programas maliciosos.

Problemas de viaje

Otra estafa común de BEC consiste en el envío de correos electrónicos de falsas agencias de viajes que afirman que ha habido un problema con su reserva de vuelo o de hotel, normalmente porque alguien ha cancelado su reserva en el último momento. El correo electrónico le pedirá que actualice su información de viaje haciendo clic en un archivo adjunto o en un enlace incluido en el mensaje. Si lo hace, podría instalar inadvertidamente un malware en su ordenador o permitir que los hackers accedan a datos sensibles almacenados en su dispositivo.

Amenazas fiscales

Este ataque implica la amenaza de un organismo gubernamental de emprender acciones legales u oficiales si las víctimas no pagan dinero. Estas estafas suelen incluir facturas falsas y solicitudes de pago para evitar consecuencias legales.

Suplantación de Abogados

Estos correos electrónicos afirman que un abogado necesita su ayuda con un asunto legal, ya sea que haya sido arrestado o que esté tratando de cobrar el dinero que le debe otra persona. En estos casos, los estafadores piden tus datos personales para poder "ayudar" con el asunto legal en cuestión (como devolver el dinero).

La trama de las facturas falsas

En esta estafa, una empresa envía una factura a otra, normalmente por una cantidad importante. En la factura se indica que el receptor debe dinero por servicios o artículos que no ha recibido. Es posible que se les pida que envíen dinero para pagar la factura falsa.

Robo de datos

Esta estafa consiste en robar datos sensibles de su empresa y venderlos a la competencia o a otras partes interesadas. Los ladrones también pueden amenazar con publicar tus datos si no accedes a sus demandas.

¿Cómo funcionan los ataques BEC?

Así es como funcionan los ataques BEC:

• Cuenta de correo electrónico o sitio web falsificados: el atacante falsificará una dirección de correo electrónico o un sitio web que parezca legítimo. Enviará uno o más correos electrónicos de phishing desde esta cuenta solicitando información financiera, como números de cuentas bancarias y PINs. El uso de DMARC puede ayudarle a evitar que los hackers suplanten su dominio.
• Correos electrónicos de Spear Phishing - Los correos electrónicos de Spear Phishing son correos electrónicos muy específicos enviados directamente a un empleado en su lugar de trabajo. A menudo se disfrazan de comunicaciones internas de alguien de la empresa (por ejemplo, un ejecutivo), y contienen líneas de asunto como "transferencia urgente" o "factura urgente" que solicitan datos sensibles inmediatamente.
• Uso de software malicioso: los atacantes pueden instalar software malicioso (malware) en el ordenador de la víctima y utilizarlo para rastrear su actividad, capturar las pulsaciones del teclado o hacer capturas de pantalla. Los keyloggers pueden incluso instalarse en los sistemas informáticos si el atacante tiene acceso físico a ellos.

¿Qué hacer para evitar el compromiso del correo electrónico empresarial?

Un ataque BEC exitoso puede costar mucho dinero a una empresa y causar un daño significativo. Sin embargo, se pueden prevenir estos ataques siguiendo unos sencillos pasos, como por ejemplo:

1. Proteja su dominio con DMARC

Estos correos electrónicos BEC se pueden bloquear utilizando DMARC. Una organización puede identificar qué fuentes están enviando correos electrónicos en nombre de su dominio a través de la verificación del remitente y la alineación del dominio mediante el uso del protocolo, junto con una mayor visibilidad de sus canales de correo electrónico. Las organizaciones pueden asegurarse de que todas las fuentes fiables están correctamente validadas utilizando esta información. Una organización puede implementar una política p=reject política DMARCy si todas las fuentes legítimas han sido completamente autenticadas.

Con esta política, todos los correos electrónicos maliciosos serán rechazados y ya no llegarán a la bandeja de entrada del destinatario, con lo que se reduce el riesgo de que lleguen a sus clientes correos electrónicos comprometidos con la empresa.

2. Protecciones contra la suplantación de identidad

Utilice un software antiphishing que analice los correos electrónicos entrantes en busca de enlaces y archivos adjuntos maliciosos que puedan infectar su red.

3. Separación de funciones

Asegúrese de que las funciones críticas no sean realizadas por una sola persona. Esto reduce el riesgo de que un empleado sea coaccionado para realizar acciones no autorizadas.

4. Etiquetado de correos electrónicos externos

Asegúrese de que todos los correos electrónicos externos se etiquetan como tales o se reenvían a través de una pasarela de correo electrónico segura para que no parezca que se envían directamente desde la red de su organización.

5. Examine cuidadosamente la dirección de correo electrónico

Examine cuidadosamente la dirección de correo electrónico. Si es de alguien que conoces, abre el correo y léelo. Si es de alguien que no conoce, pregunte por qué se pone en contacto con usted. Comprueba también que el asunto del correo electrónico contiene información sobre el mismo. El asunto debe coincidir con lo que hay en tu bandeja de entrada.

6. Eduque a sus empleados

La mejor defensa contra los ataques BEC es la educación de los empleados. Hay que enseñar a los empleados la amenaza de los BEC, cómo funcionan y cómo pueden ser el objetivo. También deben conocer las políticas de la empresa sobre el uso del correo electrónico empresarial y los usuarios autorizados del mismo.

Conclusión

Las estafas de Compromiso del Correo Electrónico Empresarial se escabullen incluso de las medidas de seguridad más avanzadas, y suelen atrapar a un director general o financiero desprevenido con un solo correo electrónico. En definitiva, el BEC es un vector de ataque realmente insidioso que sigue siendo frecuente en el mundo empresarial. Y eso significa que hay que tenerlo muy en cuenta.

Utilice el analizador DMARC de PowerDMARC para garantizar la entrega de los correos electrónicos de su dominio y evitar el envío de correos falsos. Cuando dejas de hacer spoofing, estás haciendo algo más que proteger tu marca. Estás asegurando la supervivencia de tu negocio.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• ¿Cómo configurar DMARC? - 27 de febrero de 2023
• Malware como servicio (MaaS): ¿Qué es y cómo prevenirlo? - 27 de febrero de 2023
• Comprender las limitaciones de SPF en la autenticación de correo electrónico - 27 de febrero de 2023