Business Email Compromise: La amenaza silenciosa que afecta a empresas de todos los tamaños

por

Leonel Marín R.
en

En el mundo de la ciberseguridad, existen amenazas que, pese a su aparente simplicidad, pueden causar daños financieros devastadores. Una de las más preocupantes es el Compromiso de Correo Electrónico Empresarial (BEC), un tipo de estafa que continúa evolucionando y afectando a organizaciones independientemente de su tamaño.

Recientemente, el podcast “Security Noise” de Trusted Sec dedicó un episodio completo a este tema, reuniendo a expertos como Olivia Kate y Rocky Brockway para analizar esta creciente amenaza. A continuación, compartimos los aspectos más relevantes y las recomendaciones clave para proteger a tu organización.

¿Qué es el Business Email Compromise?

El BEC es un tipo de fraude donde los atacantes se hacen pasar por personas de confianza (jefes, proveedores o clientes) para engañar a los empleados y lograr que revelen información sensible o realicen transferencias bancarias fraudulentas.

Como señaló Olivia Kate del equipo de respuesta a incidentes de Trusted Sec: “Últimamente hemos visto un gran aumento en los casos de compromiso de correo electrónico empresarial”. Esto no es casualidad, pues según mencionan en el podcast, más de dos tercios de todas las brechas de seguridad incluyen algún tipo de ataque de ingeniería social.

¿Cómo operan estos ataques?

Rocky Brockway, Director de Innovaciones de Asesoría en Trusted Sec, identifica dos estilos principales de ataques BEC:

  1. Ataques que utilizan cuentas comprometidas: Los atacantes obtienen acceso a cuentas de correo electrónico reales (de la empresa o de terceros) y las utilizan para enviar mensajes fraudulentos.
  2. Ataques basados puramente en ingeniería social: Utilizan dominios falsificados o similares para hacerse pasar por alguien de confianza sin realmente haber comprometido ninguna cuenta.

Las tácticas han evolucionado desde peticiones simples hasta el uso de páginas de inicio de sesión falsas para recopilar credenciales, lo que permite el acceso a plataformas en la nube como Microsoft 365 para extraer datos directamente.

El impacto puede ser devastador

Las consecuencias financieras de un ataque BEC exitoso pueden ser enormes. Durante el podcast, los expertos mencionaron casos donde las pérdidas superaron los $50,000, una cantidad que puede ser catastrófica para pequeñas empresas.

Uno de los ejemplos más impactantes compartidos por Olivia Kate fue el de un cliente que perdió $4 millones debido al compromiso del correo electrónico de un proveedor: “El cliente con el que estábamos trabajando ni siquiera fue comprometido, sino un proveedor de confianza. Acabaron transfiriendo $4 millones a un atacante y no se dieron cuenta durante meses”.

Nadie está a salvo

Un punto crucial destacado en el podcast es que cualquier organización, independientemente de su tamaño, está en riesgo. Los atacantes son oportunistas: algunos buscan grandes sumas de dinero mientras que otros se conforman con múltiples pagos más pequeños.

Recomendaciones para proteger tu organización

1. Implementa controles procedimentales sólidos

  • Establece protocolos de escalada claros: Anima a los empleados a informar sobre correos electrónicos sospechosos antes de tomar cualquier acción.
  • Implementa procesos de verificación adicionales: Para transacciones financieras, establece una segunda capa de autenticación como llamadas telefónicas o verificación en persona.
  • Requiere múltiples aprobaciones: Especialmente para transferencias bancarias o cambios en la información de proveedores.
  • Separa funciones y responsabilidades: Evita que una sola persona pueda iniciar y completar transacciones importantes sin supervisión.

2. Mejora la capacitación en seguridad

La capacitación tradicional en seguridad a menudo falla porque no conecta con los empleados a nivel personal. Rocky Brockway sugiere un enfoque más efectivo:

  • Hazlo personal: Enseña a los empleados cómo protegerse a sí mismos y a sus familias, lo que indirectamente beneficia a la empresa.
  • Adapta la capacitación según los roles: Crea formación personalizada para diferentes departamentos y niveles de responsabilidad.
  • Utiliza ejemplos reales: Incluye casos reales y simulaciones de phishing sofisticadas que reflejen las amenazas actuales.
  • Comunica claramente lo que nunca ocurrirá: Define qué tipo de solicitudes nunca harán los equipos de TI o finanzas a los empleados.

3. Implementa controles técnicos

  • Autenticación multifactor (MFA): Considerada una base esencial, aunque los atacantes están desarrollando métodos para eludirla.
  • Cifrado de correo electrónico: Especialmente para comunicaciones con proveedores externos.
  • Análisis de comportamiento de usuarios (UBA): Para detectar actividades anómalas en las cuentas.
  • Políticas de acceso condicional: Particularmente importantes en entornos de Microsoft 365.
  • Filtrado avanzado de correo electrónico: Para detectar patrones de phishing y archivos adjuntos maliciosos.
  • Monitoreo de dominios: Para identificar dominios falsificados que podrían utilizarse en ataques.
  • Implementa DKIM, DMARC y SPF: Estos protocolos ayudan a verificar la autenticidad de los correos electrónicos.

El desafío continuo

A pesar de las mejoras en los protocolos de autenticación, el correo electrónico sigue siendo un vector de ataque principal debido a su naturaleza inherente y la dificultad de imponer estándares de seguridad universales.

Como observó Jeff Walton, líder del equipo de seguridad de aplicaciones en Trusted Sec: “Desde mi perspectiva como usuario de correo electrónico, no parece que haya cambiado mucho en esa área”.

Conclusión

El Business Email Compromise representa una amenaza persistente y en evolución para organizaciones de todos los tamaños. Una defensa efectiva requiere un enfoque integral que combine:

  1. Controles procedimentales sólidos
  2. Capacitación personalizada y relevante
  3. Implementación de soluciones técnicas adecuadas
  4. Una cultura de vigilancia en toda la organización

Recuerda que muchas veces los ataques más devastadores no provienen de técnicas sofisticadas, sino de estrategias simples de ingeniería social que explotan el comportamiento humano. Como señaló Olivia Kate: “Es desafortunado que muchas veces estas mismas tácticas y procedimientos simples puedan permitirles acceder a muchos buzones de correo a través de diferentes empresas”.

La clave está en mantenerse alerta, implementar las medidas preventivas adecuadas y fomentar una cultura donde los empleados se sientan cómodos reportando actividades sospechosas sin temor a represalias.

¿Tu organización está preparada para hacer frente al Business Email Compromise?

Contáctanos

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *