En los últimos años, los ataques que comprometen el correo corporativo (BEC, por sus siglas en inglés) se han vuelto cada vez más frecuentes. Su objetivo es comprometer la correspondencia empresarial con el fin de cometer fraude financiero, extraer información confidencial o dañar la reputación de una empresa. En nuestra publicación acerca de los tipos de ataques BEC y la forma de lidiar con ellos, mencionamos el secuestro de correos electrónicos. Hoy, sin embargo, hablamos del tipo más peligroso de ataque BEC: el BEC interno. Recientemente hemos desarrollado e implementado una nueva tecnología que protege de esta amenaza particular.
Por qué un BEC interno es más peligroso que uno externo
Los ataques BEC internos se distinguen de otras situaciones de ataque en que los correos electrónicos fraudulentos se envían desde direcciones legítimas de una empresa. Es decir, para iniciar un ataque interno, un atacante tiene que haber accedido a la cuenta de correo de un empleado. Por tanto, no puedes confiar en los mecanismos de autentificación del correo (DKIM, SPF, DMARC) para evitar el ataque; ni te ayudarán las herramientas automáticas estándares de antiphishing y antispam, que buscan inconsistencias en encabezados técnicos o direcciones modificadas.
Generalmente, los mensajes provenientes de un correo comprometido solicitan la transferencia de dinero (a un proveedor, un contratista o una oficina tributaria) o el envío de información confidencial. Todo ello aderezado con algunos trucos bastante estándares de ingeniería social. Los ciberdelincuentes meten prisa al destinatario (¡si no pagamos la factura hoy, la empresa recibirá una multa!), lo amenazan (te pedí que hicieras el pago el mes pasado, ¿¡qué estabas esperando!?), adoptan un tono autoritario que no admite demoras o utilizan otras artimañas del libro de tácticas de la ingeniería social. Junto con una dirección legítima, pueden dar una impresión muy convincente.
Los ataques BEC internos también pueden incluir correos electrónicos con enlaces a sitios falsos cuyas URL son diferentes de la dirección de la organización objetivo (o cualquier otra página de confianza) por una o dos letras (por ejemplo, una “i” mayúscula en lugar de una “L” minúscula, o viceversa,). El sitio puede albergar un formulario de pago o un cuestionario que solicite información confidencial. Imagina recibir un correo electrónico o similar desde la dirección de tu jefe: “Hemos decidido enviarte a la conferencia. Reserva el billete desde nuestra cuenta CUANTO ANTES para que podamos recibir el descuento por anticipación”. Junto con un enlace que parece muy similar al sitio del evento más importante de tu sector y que, casualmente, resulta muy convincente. ¿Cuál es la probabilidad de que te tomes la molestia de analizar cuidadosamente cada letra en el nombre de la conferencia si todo, incluida la firma del correo, parece estar en orden?
Cómo proteger a la empresa de los ataques BEC internos
Técnicamente, el correo electrónico es perfectamente legítimo, así que el único modo de reconocer si es falso es juzgando el contenido. Al analizar muchos mensajes maliciosos mediante algoritmos de aprendizaje automático, es posible identificar rasgos que, combinados, pueden ayudar a determinar si un mensaje es verdadero o si es parte de un ataque BEC.
Afortunadamente (o no), tenemos muchas muestras. Nuestras trampas de correos electrónico recopilan millones de mensajes de spam alrededor del mundo cada día. Incluyen un número considerable de correos de phishing, que no son BEC internos, por supuesto, pero que emplean los mismos trucos y tienen el mismo cometido, así que podemos utilizarlas para aprender. Para empezar, formamos a un clasificador teniendo en cuenta este gran volumen de muestras para identificar los mensajes que contienen señales de fraude. La siguiente etapa del proceso de aprendizaje automático opera directamente en el texto. Los algoritmos seleccionan los términos para detectar los mensajes sospechosos, sobre cuyo fundamento desarrollamos la heurística (reglas) que nuestros productos pueden utilizar para identificar ataques. Un conjunto enorme de clasificadores de aprendizaje automático participa en el proceso.
Pero esto no es motivo para descuidarse y relajarse. Nuestros productos ahora pueden detectar muchos más ataques BEC que antes, pero al ganar acceso a la cuenta de correo electrónico de un empleado, un intruso puede estudiar su estilo e intentar imitarlo durante un ataque único. Así que la vigilancia sigue siendo crítica.
Te recomendamos que observes detenidamente los mensajes que solicitan una transferencia financiera o la divulgación de información confidencial. Añade una capa extra de autentificación que implique llamar por teléfono o mandar un mensaje (en un dispositivo de confianza) al compañero en cuestión, o habla con ellos en persona para aclarar toda la información.
Utilizamos la heurística que nuestra nueva tecnología antiBEC genera en Kaspersky Security for Microsoft Office 365 y tenemos pensado implementarla también en otras soluciones.