En los últimos meses estamos asistiendo a un incremento significativo de casos relacionados de manera directa con ataques BEC (Business Email Compromise). Este aumento es consecuencia de que este tipo de incidentes, aunque requieren de poco conocimiento técnico e infraestructura, pueden llegar a reportar grandes cantidades de dinero a los atacantes de una manera rápida.
Tradicionalmente el BEC se ha asociado siempre al denominado “fraude del CEO”, cuya ejecución consiste en el envío de emails suplantando la identidad de un alto cargo de la empresa buscando normalmente el lucro o la obtención de información sensible mediante el uso de ingeniería social.
Debido a que tradicionalmente este tipo de ataque se trataba únicamente de una suplantación de identidad y no del compromiso de la cuenta como tal, una buena política de seguridad podía impedir incluso que este tipo de email pudiera llegar al usuario final. Pero en los últimos tiempos los atacantes han ido perfeccionando sus técnicas, hasta el punto de que en muchas ocasiones las medidas de seguridad aplicadas no son capaces de poder detectar este tipo de ataques.
Es por ello, que resulta imprescindible que las compañías conozcan la tipología y alcance este tipo de ataques y dispongan de una política para hacer frente a posibles incidentes de forma efectiva.
Como comentábamos, normalmente en este tipo de incidentes lo que buscan los atacantes es un robo de información o directamente lucrarse mediante el engaño de terceros. Normalmente estas consideraciones se suelen ver muy fácilmente, pero no son las únicas. En ocasiones, el vector de entrada para el ataque ha sido una cuenta corporativa de un tercero, o incluso se ha dado el caso del envío de facturas falsas desde una cuenta de e-mail comprometida, con consecuencias tanto económicas como legales.
Adicionalmente, no hay que olvidar la aplicación del nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés), ya que existen datos personales dentro de las cuentas de correo vulneradas que pueden verse comprometidos, y acabar siendo expuestos y/o estar en manos del atacante.
De hecho, en muchos de los incidentes que hemos observado el atacante poseía mucha más información del cliente afectado de la esperada (tales como información de facturación, nombres, emails, etc.). Esta brecha de seguridad fue consecuencia del compromiso de la cuenta de uno de los proveedores de la compañía, por lo que el atacante pudo acceder a esta información.
En esta variante el atacante busca poder obtener los credenciales de la cuenta de correo de un alto cargo de la empresa mediante el envío de emails con phishings o mediante el uso de otras técnicas de ingeniería social. De esa manera el atacante puede hacerse con el control de la cuenta de correo del afectado, y así poder enviar los emails fraudulentos desde la misma evitando ser bloqueado por cualquier medida de seguridad aplicada para la detección de suplantación de identidad vía email.
En este caso, la concienciación es vital para evitar caer en este tipo de engaños. Se debe tener en cuenta que el vector inicial, con el que el atacante se pudo hacer con los credenciales de la víctima, fue mediante el envío de un phishing al que posteriormente la víctima facilitó sus datos de accesos al correo. En este tipo de casos y para evitar el robo de credenciales, es recomendable disponer de un segundo factor de autenticación.
Al sufrir un ataque de este tipo es importante valorar y analizar la posibilidad de que el atacante haya podido acceder al contenido de los correos almacenados y el compromiso de datos de carácter personal, para actuar en consecuencia.
Otra variante de este tipo de ataques es el envío de facturas falsas, previamente obtenidas mediante el compromiso de la cuenta de un proveedor. El atacante, una vez ha añadido un número de cuenta a la factura falsa, envía la misma al cliente con el pretexto de que existe una mercancía sin abonar, o directamente esperan al día oportuno para poder enviar la factura y así darle más credibilidad al email.
Este caso es un buen ejemplo de como este tipo de ataque ya no es solo un ataque donde la consecuencia no es solo económica. En ocasiones, el cliente final se negaba a pagar ciertas facturas, por lo que se producen consecuencias legales y de confianza.
En este tipo de ataques la principal complejidad pasa por identificar la suplantación, ya que los e-mails proceden de una cuenta legítima con la que las víctimas suelen tratar a diario y no dudan en realizar las transferencias económicas solicitadas.
Por ello, en este tipo de casos se recomienda siempre contar con algún tipo de doble verificación mediante la comunicación con el proveedor, utilizando otra vía como puede ser la telefónica sobre todo en aquellas trasferencias que debamos hacer donde la cuenta beneficiaria no se corresponda con una cuenta bancaria ya conocida.
Como se puede observar por los ejemplos descritos, el objetivo último de estos ataques es el engaño a través de la ingeniería social, por lo que es de vital importancia disponer de una buena política de formación frente a ciberamenazas, así como de medidas de seguridad para evitar que puedan ocurrir posibles incidentes de suplantación de identidad.
A la hora de diseñar estrategias de ciberseguridad, es importante recordar la premisa de que una compañía será tan robusta como el eslabón más débil de su cadena. Por lo tanto, no solo hay que garantizar la seguridad en nuestros sistemas o procesos, ya que los proveedores también pueden sufrir ataques y acabar siendo la puerta de entrada a nuestras infraestructuras o a la de nuestros propios clientes.
De este modo, para evitar que una cuenta de correo electrónico pueda verse comprometida, es necesario disponer de un segundo factor de autenticación, que requiera de una segunda contraseña para acceder a los buzones de correo corporativos, además de imposibilitar el acceso desde IPs de países extranjeros –o con los que no exista ningún vínculo- para minimizar la exposición del correo y evitar posibles conexiones fraudulentas.
Responsable técnico del Servicio de Respuesta ante Incidentes en Ciberseguridad de KPMG en España.
La certificación tipo es un procedimiento reconoc...
La gestión de riesgos es hoy crítica para la fij...
Si piensas en productos de consumo, es probable qu...
