Los ciberdelincuentes están buscando constantemente nuevas formas de atacar a las empresas. En años anteriores, han recurrido cada vez más a los ataques de compromiso de correo electrónico (conocidos como BEC por sus siglas en inglés) dirigidos contra la correspondencia corporativa.
Tan solo el Internet Crime Complaint Center (IC3) de los EE. UU. notificó 23.775 incidentes ante el FBI en el 2019, un aumento de 3500 con respecto al 2018, además de un aumento en los daños: de 1,2 a 1,7 mil millones de dólares.
¿Qué es un ataque BEC?
Un ataque BEC se define como una campaña de ciberdelincuentes dirigida que opera del siguiente modo:
- Inicia un intercambio de mensajes de correo electrónico con un empleado de la empresa; o bien, asume el control de una cuenta existente.
- Se gana la confianza del empleado.
- Fomenta acciones perjudiciales para los intereses de la empresa o de sus clientes.
Generalmente, las acciones se relacionan con la transferencia de fondos a las cuentas de los delincuentes o el envío de archivos confidenciales, pero no siempre. Por ejemplo, nuestros expertos encontraron recientemente una petición que parecía venir del CEO de una empresa, con instrucciones para enviar códigos de tarjetas de regalo mediante mensajes de texto a cierto número telefónico.
Aunque los intentos de BEC a menudo emplean trucos similares al phishing, el ataque es un tanto más sofisticado, pues entraña una parte de dominio tecnológico y otra de ingeniería social. Además, las técnicas usadas son únicas: los mensajes no contienen enlaces o archivos adjuntos maliciosos, pero los atacantes intentan engañar al cliente de correo y, por tanto, al destinatario, para que piensen que el correo electrónico es legítimo. La ingeniería social tiene un rol principal en todo esto.
Antes del ataque, se lleva a cabo una recopilación cuidadosa de datos acerca de la víctima; luego el delincuente los usa para ganarse su confianza. La correspondencia puede consistir en dos o tres mensajes, o puede durar varios meses.
Vale la pena mencionar como nota adicional que los ataques BEC combinan varios panoramas y tecnologías. Por ejemplo, los ciberdelincuentes pueden robar primero las credenciales de un trabajador común mediante el spear phishing y después lanzan un ataque contra un empleado de alto nivel de la empresa.
Situaciones comunes de ataques BEC
Existen bastantes escenarios de ataque BEC, pero los ciberdelincuentes siempre están ideando nuevos métodos. Según nuestras observaciones, la mayoría de los casos se pueden reducir a cuatro variantes:
- Grupo exterior falso. Los atacantes se hacen pasar por el representante de una organización con la que colabora la empresa del destinatario. En ocasiones, se trata de una empresa real con la que hace negocios la firma de la víctima. En otros casos, los ciberdelincuentes intentan engañar a las víctimas ingenuas o descuidadas haciéndose pasar por el representante de una empresa falsa.
- Órdenes del jefe. Aquí, los ciberdelincuentes crean un mensaje falso en nombre de un gerente (de rango elevado, generalmente) mediante estratagemas técnicas o ingeniería social.
- Mensaje de un abogado. Los estafadores escriben a un empleado de alto nivel (en ocasiones, incluso al CEO) para solicitar de modo urgente, y sobre todo de forma confidencial, el envío de fondos o de datos confidenciales. A menudo fingen ser un contratista, como un contable, un proveedor o una empresa de logística. Sin embargo, la mayoría de las situaciones que exigen una respuesta urgente y confidencial son de índole legal, así que los mensajes normalmente se envían a nombre de un abogado o bajo su firma.
- Secuestro del correo electrónico. El intruso puede ganar acceso a los correos del empleado y puede hacer dos cosas: solicitar la transferencia de fondos o el envío de datos; o bien, puede iniciar correspondencia con las personas autorizadas para ello. Esta opción es especialmente peligrosa porque el atacante puede ver mensajes en la bandeja de salida, con lo cual se le facilitará imitar el estilo de comunicación del empleado.
Técnicas de ataque BEC
Los ataques BEC también están evolucionando desde un punto de vista tecnológico. Si en el 2013 utilizaban las cuentas de correo electrónico secuestradas de los CEO o los CFO, ahora confían cada vez más en imitar de modo exitoso a otra persona mediante una combinación de evasivas técnicas, ingeniería social y descuido de la víctima. Estas son las estratagemas técnicas básicas que utilizan:
- Simulación del remitente del correo. El estafador simula los encabezados del correo. En consecuencia, por ejemplo, un mensaje enviado desde phisher@email.com parece venir de CEO@tuempresa.com en la bandeja de entrada de la víctima. Este método tiene muchas variantes y los encabezados se pueden cambiar de varias maneras. El peligro principal de este método de ataque no solo es que los atacantes puedan manipular los encabezados del mensaje, sino que, por varias razones, los remitentes legítimos también pueden hacerlo.
- Dominios idénticos. El ciberdelincuente registra un nombre de dominio muy similar al de la víctima. Por ejemplo, examp1e.com en lugar de example.com. Después, los mensajes se envían desde la dirección CEO@examp1e.com con la esperanza de que un empleado descuidado no pueda identificar el dominio falso. La dificultad aquí yace en el hecho de que el atacante realmente posee el dominio falso, así que la información sobre el remitente pasará todos los filtros de seguridad tradicionales.
- Mailsploits. Siempre se encuentran nuevas vulnerabilidades en los clientes de correo electrónico. A menudo pueden usarse para obligar al cliente a mostrar un nombre o dirección de remitente falso. Afortunadamente, dichas vulnerabilidades llaman rápidamente la atención de las empresas dedicadas a la seguridad informática, lo que permite que las soluciones de seguridad rastreen su uso y eviten ataques.
- Secuestro de correo electrónico. Los atacantes ganan acceso total a una cuenta de correo con la que pueden enviar mensajes que son casi idénticos a los reales. La única forma de protegerse automáticamente contra este tipo de ataques es utilizar las herramientas de aprendizaje automático para determinar la autoría de dichos correos electrónicos.
Los casos que hemos encontrado
Respetamos la confidencialidad de nuestros clientes, así que los siguientes no son mensajes verdaderos sino ejemplos que ilustran algunas posibilidades comunes de ataques BEC.
Nombre falso
El atacante intenta establecer contacto con una víctima potencial, haciéndose pasar por su jefe. Con el fin de que el destinatario no intente contactar con el verdadero ejecutivo, el estafador enfatiza la urgencia de la solicitud y la falta de disponibilidad presente del jefe mediante otros canales de comunicación:
Tras revisar cuidadosamente, puedes ver que el remitente (Bob) no corresponde con la dirección real de correo electrónico (not_bob@gmail.com). En este caso, el atacante falsificó solamente el nombre que aparece al abrir el mensaje. Este tipo de ataque es especialmente eficaz en dispositivos móviles, que solo muestran por defecto el nombre del remitente, no su dirección.
Dirección falsa
El ciberdelincuente busca un empleado del área de contabilidad autorizado para modificar los datos bancarios y le escribe:
Aquí, el encabezado del mensaje se ha modificado de modo que el cliente muestre tanto el nombre como la dirección de correo electrónico del empleado legítimo, pero la dirección de correo del atacante se muestra en la opción “responder a”. En consecuencia, las respuestas a este mensaje se envían a not_bob@gmail.com. Muchos clientes ocultan el campo de “responder a” por defecto, así que este mensaje parece genuino incluso al inspeccionarlo detenidamente. En teoría, se podría detener al atacante que se vale de dicho mensaje mediante la correcta configuración de SPF, DKIM y DMARC en el servidor de correo corporativo.
Simulación fantasma
El atacante finge ser un gerente y convence a un empleado de la necesidad de cooperar con un abogado falso, quien supuestamente pronto se pondrá en contacto con él:
Aquí, el campo del remitente contiene no solo el nombre, sino también la dirección de correo simulada. No es la técnica más sofisticada que existe, pero aun así mucha gente cae, especialmente si la dirección real no se muestra en la pantalla del receptor (porque es muy larga, por ejemplo).
Dominio idéntico
Otros ciberdelincuentes intentan iniciar un intercambio de correos electrónicos con un empleado de la empresa:
Este es un ejemplo del método del dominio idéntico, que hemos mencionado arriba. El estafador primero registra un nombre de dominio similar a uno de confianza (en este caso, examp1e.com en lugar de example.com) y espera que el destinatario no se dé cuenta.
Ataques BEC contra ejecutivos de alto perfil
Un reciente número de informes han resaltado que los ataques BEC causan daños significativos a las empresas de todo tipo y tamaño. He aquí algunos de los más interesantes:
- Un ciberdelincuente creó un dominio que imitaba al de un fabricante taiwanés de electrónica y luego lo usó para enviar recibos a empresas grandes (entre las que se encontraban Facebook y Google) durante un periodo de dos años, en cuyo proceso se embolsó 120 millones de dólares.
- Unos ciberdelincuentes, fingiendo ser una empresa de construcción, persuadieron a la Universidad del Sur de Oregón para que transfiriera 2 millones de dólares a cuentas falsas.
- Algunos estafadores se entrometieron en la correspondencia entre dos clubes de fútbol al registrar un dominio con el nombre de uno de ellos, pero con una extensión de dominio diferente. Los dos clubes, Boca Juniors y Paris Saint-Germain, estaban discutiendo la transferencia de un jugador y la comisión por el trato. En consecuencia, casi 520.000 euros fueron a parar a varias cuentas fraudulentas en México.
- La división europea de Toyota sufrió la pérdida de más de 37 millones de dólares cuando los ciberdelincuentes dieron instrucciones para una transferencia bancaria falsa que un empleado tomó por legítima.
Cómo lidiar con los ataques BEC
Los ciberdelincuentes usan una variedad muy amplia de trucos técnicos y de métodos de ingeniería social para ganarse la confianza y cometer fraudes. Sin embargo, adoptar una serie de medidas eficaces puede reducir al mínimo la amenaza de ataques BEC:
- Instala SPF, usa firmas DKIM e implementa una política de DMARC para defenderte de la correspondencia interna falsa. En teoría, estas medidas también permiten a otras empresas autentificar los correos electrónicos enviados a nombre de tu organización (teniendo en cuenta que esa empresa tenga esas tecnologías configuradas). Este método es insuficiente en ciertos aspectos (como el de no ser capaz de evitar la simulación fantasma o los dominios idénticos), pero cuantas más empresas usen SPF, DKIM y DMARC, menos libertad de acción tendrán los ciberdelincuentes. El uso de estas tecnologías contribuye a un tipo de inmunidad colectiva en contra de los diversos tipos de operaciones maliciosas relacionadas con los encabezados de correos.
- Forma a tus empleados periódicamente para que detecten la ingeniería social. Una combinación de talleres y simulaciones ayudará a que tus empleados estén más atentos e identifiquen los ataques BEC que pudieran evadir otras barreras de defensa.
- Usa soluciones de seguridad con tecnología especializada antiBEC para desarticular los diferentes vectores de ataque descritos en esta publicación.
Las soluciones de Kaspersky con filtrado de contenido, creadas especialmente en nuestro laboratorio, identifican ya muchos tipos de ataques BEC y nuestros expertos están desarrollando continuamente tecnologías para extender la protección contra los fraudes más avanzados y sofisticados.