El Business Email Compromise (BEC) es una forma dañina de ciberdelincuencia con potencial para costar a las empresas grandes sumas de dinero. Incluso los más astutos pueden ser víctimas de uno de estos sofisticados engaños.

BEC (Business Email Compromise)

A diferencia de los ataques de phishing tradicionales, los BEC son dirigidos y diseñados para cada víctima. En la mayoría de las ocasiones los ciberdelincuentes estudian las últimas noticias de las empresas e investigan las redes sociales de los empleados para hacer que el ataque sea lo más convincente posible. Este nivel de personalización hace que sean capaces de engañar a los incautos.

Según datos del FBI, desde junio de 2016 hasta julio de 2019, los ataques BEC provocaron pérdidas por valor de más de 43 mil millones de dólares.

¿Qué es el Business Email Compromise?

Es un ciberataque que está diseñado para obtener acceso a información comercial crítica o extraer dinero a través de una estafa por correo electrónico.

Los ciberdelincuentes envían correos electrónicos que parecen proceder de un miembro de la red de confianza, alguien que ocupa un puesto importante en el trabajo, como un gerente, el director financiero o el director general, un socio comercial o alguien de confianza. Estos correos electrónicos son utilizados con el fin de intentar persuadir a la víctima para que revele información comercial o financiera crítica, o para que procese una solicitud de pago que de otra manera nunca se hubiera hecho.

En muchos casos, este ataque también puede ser llevado a cabo para intentar comprometer una cuenta de correo electrónico a través de un email de phishing de credenciales. Una vez que la cuenta está comprometida, los delincuentes utilizan el acceso ilegal para obtener información sobre contactos de confianza, extraer información confidencial, intentar redirigir los pagos por transferencia electrónica o utilizar la cuenta para apoyar o facilitar más ciberdelitos.

Una vez se obtiene el acceso a la cuenta de correo corporativa, el atacante se centra en recopilar información confidencial de la empresa atacada, así como de sus clientes y transacciones económicas pendientes de abono.

 El informe sobre cibercrimen del FBI de 2019 indica que las pérdidas por los ataques de Business Email Compromise son de aproximadamente 1.700 millones de dólares, lo que representa casi la mitad de todas las pérdidas debidas a los cibercrímenes.

El FBI ha hablado también del papel que juegan las mulas, personas que mueven los fondos y facilitan que los actores de BEC puedan acceder a ese dinero. Su rapidez para operar con el dinero juegan en contra de que las víctimas puedan recuperar los fondos.
 

Las ‘mulas bancarias’: personas que ponían sus cuentas personales al servicio de la trama (a veces voluntariamente, otras mediante extorsión) y, tras recibir el dinero de las transacciones, se quedaban con el 2% y remitían el resto a la cúpula de la organización.

Los ataques BEC lideran las pérdidas en ciberdelincuencia

La vulneración de correo electrónico de empresas o ataques BEC (Business Email Compromise) destaca por ser una estrategia eficaz, acaparando un 27% de las pérdidas en ciberdelincuencia. El año pasado, las empresas globales perdieron más de 2.700 millones de dólares por estas estafas, unos 300 millones más que en 2021. Unas pérdidas casi 80 veces mayores que las del ransomware. Cada incidente BEC puede costarle a la empresa afectada unos 124.000 dólares. 

El número de víctimas de los ataques BEC crece asimismo año tras año, casi un 10%. Según el informe State of the Phish 2023 de Proofpoint, el 75% de los encuestados dijo que su organización había sufrido al menos un ataque BEC en 2022. Un dato que recoge la realidad de 7.500 usuarios y 1.050 profesionales de seguridad TI en 15 países, incluido España. Aquí se refleja también esa subida: un 90% de empresas españolas encuestadas experimentó un ataque BEC en 2022, un 13% más respecto al año anterior. Esto puede deberse a que ha aumentado el uso de idiomas como el español en estas amenazas.

Entre las estafas más comunes se encuentran aquellas que incluyen emails de proveedores, redireccionamiento de nóminas o fraudes inmobiliarios, aunque poco a poco dejan a paso a tácticas más sofisticadas. El FBI ha detectado casos en los que los ciberdelincuentes convencen a sus víctimas para que envíen fondos a plataformas de criptomonedas, que luego se transfieren rápidamente sin ser rastreados por las instituciones bancarias; falsificaciones de números de teléfono de empresas legítimas para dar datos bancarios fraudulentos a los usuarios; o suplantaciones de la Administración Pública.

¿Por qué son difíciles de detectar los ataques BEC?

Otras razones por las que los ataques BEC son difíciles de localizar pueden ser las siguientes:

  • Tienen un volumen bajo: los picos inusuales de tráfico de correo electrónico pueden alertar a los filtros de seguridad de correo electrónico de un ataque en curso. Pero los ataques BEC tienen un volumen muy bajo, con frecuencia son solo uno o dos correos electrónicos. Pueden llevarse a cabo sin generar un pico de tráfico de correo electrónico. Este bajo volumen permite que una campaña BEC cambie regularmente su dirección IP de origen, lo cual hace más difícil bloquear la campaña.
  • Utilizan una fuente o un dominio legítimo: los ataques de phishing a gran escala suelen proceder de direcciones IP que se bloquean rápidamente. Los ataques BEC, al tener bajo volumen, pueden utilizar como fuente direcciones IP con una reputación neutral o buena. También utilizan la suplantación de dominio de correo electrónico para que parezca que los correos electrónicos proceden de una persona real.
  • Pueden proceder en realidad de una cuenta de correo electrónico legítima: los ataques BEC pueden utilizar una bandeja de entrada de correo electrónico que se ha puesto en riesgo previamente para enviar sus mensajes maliciosos en nombre de una persona sin que esta sea consciente de ello, por lo que el correo electrónico puede proceder en realidad de una dirección de correo electrónico legítima. (Esto requiere un esfuerzo significativamente mayor por parte del atacante, pero ese gasto de esfuerzo concentrado es típico de las campañas BEC).
  • Pasan las comprobaciones de DMARC: la autenticación de mensajes, informes y conformidad basada en dominios (DMARC) es un protocolo para identificar los correos electrónicos que se envían desde un dominio sin autorización. Ayuda a evitar la suplantación de un dominio. Las campañas BEC pueden pasar el DMARC por un par de razones: 1) puede que las organizaciones no hayan configurado el DMARC para bloquear estrictamente los correos electrónicos; 2) los atacantes pueden enviar correos electrónicos desde una fuente legítima.

Fuente y redacción: elhacker.net

Compartir