¿Qué es el Business Email Compromise (BEC)?

El galardonado ThreatDown MDR detiene las amenazas que otros pasan por alto

Explorar MDR

Introducción

El correo electrónico, también conocido como e-mail, es uno de los inventos empresariales más importantes de finales del sigloXX. Permite a los profesionales intercambiar rápidamente mensajes entre dispositivos cercanos o en cualquier parte del mundo. Muchos de estos mensajes contienen instrucciones, órdenes, solicitudes, archivos adjuntos y otros tipos de comunicación.

Los usuarios que trabajan en entornos de trabajo dinámicos suelen confiar en el sistema de correo electrónico para optimizar la productividad y el flujo de trabajo. Y los actores maliciosos aprovechan precisamente esta confianza en el sistema para lanzar ataques de compromiso del correo electrónico empresarial (BEC) con gran eficacia. Las estafas y los fraudes BEC son una amenaza tan creciente hoy en día que el FBI los ha calificado como «uno de los delitos online más perjudiciales desde el punto de vista financiero».

Lea esta guía detallada para obtener más información sobre:

  • ¿Qué es el correo electrónico empresarial comprometido?
  • El objetivo principal del compromiso del correo electrónico empresarial.
  • Ejemplos de ataques BEC.
  • Cómo evitar que el correo electrónico empresarial se vea comprometido.

Definición de correo electrónico comercial comprometido: Qué es el correo electrónico comercial comprometido (BEC)

A continuación, se ofrece una breve definición de «compromiso del correo electrónico empresarial» (BEC, por sus siglas en inglés): el BEC es un tipo de delito cibernético yataque de ingeniería socialen el que los estafadores utilizan el correo electrónico para engañar a una víctima y que esta envíe dinero o comparta datos confidenciales con fines delictivos. El autor de la amenaza puede utilizar el correo electrónico de diferentes maneras para llevar a cabo una estafa BEC, desde unataque de suplantación de identidadhasta un compromiso real de la cuenta de correo electrónico (EAC, por sus siglas en inglés).

Cómo evitar que el correo electrónico empresarial se vea comprometido

Correo electrónico seguro

Utilice los filtros antispam y antimalware de su correo electrónico para bloquear los mensajes no seguros. Combine las herramientas de protección integradas de su correo electrónico con software de seguridad para maximizar su defensa contra los BEC. Considere la posibilidad de cifrar los datos confidenciales cuando los envíe por correo electrónico para evitar escuchas. Por último, marque los correos electrónicos en los que las direcciones de remitente y respuesta no coincidan.

Autenticación multifactor (AMF)

La AMF puede mitigar el riesgo de que un pirata informático utilice credenciales de inicio de sesión robadas para acceder a una cuenta de correo electrónico para una estafa BEC. Con MFA, un actor de amenazas puede necesitar una segunda forma de identificación para acceder a una cuenta de correo electrónico. Todos los empleados de alto riesgo de su organización, incluidos ejecutivos, profesionales de finanzas, recursos humanos y administradores, deben activar MFA en las cuentas de correo electrónico de la empresa.

Alfabetización en ciberseguridad

Su organización puede mejorar significativamente su postura de ciberseguridad a través de la formación. He aquí algunas prácticas que los empleados deberían intentar seguir:

  • Nunca haga clic en enlaces de correo electrónico no solicitados, ya que pueden llevar a los usuarios a sitios web maliciosos o a programas maliciosos.
  • Evite compartir información confidencial en línea, como detalles de una transacción comercial o planes de viaje. Los actores de amenazas pueden utilizar información sensible para crear ataques de spear phishing más convincentes.
  • Piénselo dos veces antes de descargar software desconocido.

Ejercicios de compromiso del correo electrónico empresarial

Trabaje con su equipo de seguridad para realizar simulaciones de ataques de ingeniería social. Estos ejercicios mantendrán a su personal alerta y le ayudarán a identificar los puntos débiles en la lucha contra las estafas que ponen en peligro el correo electrónico de las empresas. Actualice también periódicamente sus políticas y su formación para mantener su postura de ciberseguridad reforzada.

Pagos seguros

Utilice siempre medios de pago seguros. Evite enviar pagos mediante tarjetas regalo o depósitos en criptomoneda. Cuando envíes una transferencia bancaria, coteja la información bancaria con tus registros.

Autenticación del correo electrónico

Aprender a reconocer los correos electrónicos de phishing es esencial para reducir el riesgo de estafas BEC. He aquí algunos consejos que pueden ayudar a los empleados a autenticar los correos electrónicos:

  • Cuidado con la terminología inusual, los saludos extraños o los errores gramaticales y ortográficos.
  • Evite abrir archivos adjuntos no solicitados.
  • Desconfíe de las solicitudes de contraseñas u otros datos confidenciales.
  • Compruebe siempre la dirección de correo electrónico para asegurarse de que coincide con la dirección real del remitente.
  • Examine cuidadosamente las solicitudes de transferencia de fondos por correo electrónico.
  • Cuidado con las facturas con avisos de pago cortos.
  • Compruebe dos veces las solicitudes de pago inusuales, incluso si proceden de entidades en las que confía.
  • Investigue las solicitudes de pago que le obliguen a saltarse las comprobaciones de autorización.
  • Confíe en su instinto si observa algo inusual en una solicitud de pago. Respira hondo e investiga primero.

Seguridad de los puntos finales

Utilice software antimalware en todos los dispositivos para protegerse de los programas espía. Recomendamos a las empresas que instalen el softwareendpoint protection para proteger los ordenadores de sobremesa, portátiles y teléfonos inteligentes de programas maliciosos que pueden ayudar a los estafadores con BEC.

Seguridad del servidor

Las amenazas a sus servidores pueden ser incluso más letales que las amenazas a sus terminales. Tras violar la seguridad de sus terminales, los autores de las amenazas pueden acceder a datos críticos, como información financiera, propiedad intelectual y mucho más, para crear estafas BEC que son casi idénticas a los correos electrónicos auténticos. Invierta hoy mismo enla seguridad de sus servidorespara evitar la pérdida de tiempo, dinero, productividad y la reputación de su organización.

Gestión de la cadena de suministro

Cree protocolos de seguridad para verificar las solicitudes de pago, los correos electrónicos y las consultas de sus proveedores y vendedores. Autentique cualquier solicitud inusual, como cambios en la información de contacto o de pago.

¿Cómo funciona el correo electrónico comercial comprometido (BEC)?

Un ataque típico que pone en peligro el correo electrónico de una empresa suele constar de varias fases:

Recopilación de información
Los atacantes investigan al objetivo, ya sea una persona, como el director financiero de una empresa o un agente de viajes de una pequeña empresa, o un equipo, como el departamento de recursos humanos o contabilidad de una organización. También pueden recopilar información sobre los proveedores, socios comerciales, clientes, empleados, sistemas de correo electrónico y medidas de ciberseguridad de la organización objetivo.

Las herramientas que utilizan los actores maliciosos para recopilar información incluyen motores de búsqueda y páginas de redes sociales como LinkedIn. El objetivo de la recopilación de información es desarrollar un perfil preciso para llevar a cabo un ataque de ingeniería social convincente e identificar los objetivos más vulnerables.

Planificaciónde un ataque de tipo «
» Tras recopilar información, los atacantes determinan los mejores métodos y herramientas para obtener el mayor retorno de la inversión en el ataque BEC. Por ejemplo, pueden utilizar una cuenta de correo electrónico falsificada, un sitio web falsificado, una cuenta de correo electrónico pirateada, ataques de phishing o un ordenador o dispositivoinfectado con malware.

Grooming
Dependiendo de la naturaleza del ataque, los actores maliciosos pueden utilizar diferentes tácticas de ingeniería social para preparar a sus víctimas y, finalmente, emplear sus dotes de persuasión para engañarlas y que tomen decisiones erróneas. También pueden intentar replicar flujos de trabajo comunes, como solicitar una contraseña o enviar un documento importante.

El objetivo del grooming puede ser cualquiera de los siguientes:

  • Más recopilación de información.
  • Soltar malware como troyanos o spyware.
  • Hackear una cuenta de correo electrónico.
  • Preparar un objetivo para la penúltima fase del ataque de compromiso del correo electrónico empresarial.

Ejecución
Aunque la naturaleza de la fase de ejecución depende del tipo de ataque, casi siempre implica la suplantación de identidad a través del correo electrónico.
A continuación se presentan algunos escenarios de BEC:

  • Los empleados de finanzas de una organización reciben un correo electrónico de un ejecutivo de la empresa solicitando una transferencia de pago. El correo electrónico procede de una cuenta de correo falsa que parece real porque la dirección solo varía ligeramente de la real.
  • Los piratas informáticos envían un correo electrónico desde la cuenta pirateada de un director general a un socio comercial solicitando una transferencia bancaria para una transacción comercial.
  • Los demandados en un caso en curso reciben un correo electrónico urgente de su abogado solicitando un ingreso en una cuenta bancaria.
  • Tras acceder con malware a la cuenta de correo electrónico de un gestor de cuentas de deudores, los estafadores envían facturas con sus propios números de cuenta bancaria a todos los clientes de la empresa.
  • Un correo electrónico procedente de la cuenta de un minorista pirateada pide a los clientes información confidencial, como números de tarjetas de crédito.

Ganancia monetaria
Ya sea que los piratas informáticos utilicen correos electrónicos falsificados, correos electrónicos falsos o malware en una estafa de compromiso del correo electrónico empresarial, el objetivo siempre es la ganancia monetaria. El dinero suele ir a parar a lugares extraterritoriales donde es difícil rastrearlo.

BEC frente a EAC

ElFBIy otros expertos describen el compromiso del correo electrónico empresarial (BEC) y el compromiso de la cuenta de correo electrónico (EAC) como lo mismo. Sin embargo, algunos expertos consideran que el EAC es una variante cercana al BEC. Si se quiere entrar en detalles, se puede considerar el EAC como un subconjunto del BEC.

En pocas palabras, BEC es un término genérico que engloba cualquier tipo de fraude por correo electrónico que los atacantes utilizan para engañar a las víctimas y que envíen dinero. Por ejemplo, los atacantes pueden utilizar direcciones de correo electrónico falsificadas, sitios web falsificados, spear phishing y cuentas de correo electrónico pirateadas para ejecutar un ataque de compromiso del correo electrónico empresarial.

El EAC es un tipo de fraude por correo electrónico en el que los atacantes utilizan una cuenta de correo electrónico pirateada. Las formas típicas de piratear una cuenta de correo electrónico para el EAC incluyen el phishing, los ataques de fuerza bruta y el relleno de credenciales. También pueden utilizar keyloggers para robar las credenciales de inicio de sesión de la víctima.

BEC frente a phishing


La diferencia entre un ataque de compromiso de correo electrónico empresarial y un ataque de phishing puede parecer confusa, pero es bastante sencilla. Un ataque de phishing es un tipo de ataque de ingeniería social en el que los atacantes utilizan correos electrónicos comprometidos para diversos fines, entre los que se incluyen el robo de identidad, el robo de propiedad intelectual, el trolling, las infecciones de malware, la recopilación de información y el BEC.

Por ejemplo, pueden utilizar el spear phishing para hackear la cuenta de correo electrónico de un director ejecutivo o engañarlo para que envíe una transferencia bancaria a la cuenta de un estafador. Los ataques de spear phishing que se dirigen a directores generales para una estafa BEC también se pueden definir como whale phishing.

Consulte nuestra sección Conceptos básicos de ciberseguridad si se pregunta:¿Qué es un ataque de whaling

Tipos de correos electrónicos empresariales comprometidos

  • Apropiación de cuentas de correo electrónico empresariales: Estos ataques suelen dirigirse a profesionales, como ejecutivos o profesionales de las finanzas. Tras hackear la cuenta, el actor de la amenaza solicita dinero a los contactos de la víctima, como clientes o proveedores.
  • Spear phishing: El spear phishing es una versión más específica del phishing dirigida a un individuo o a un pequeño grupo de personas. A diferencia de los ataques de phishing típicos, los ataques de spear phishing son más peligrosos porque están personalizados para engañar a un objetivo específico.
  • Programas maliciosos: los estafadores de BEC pueden utilizar distintos tipos de programas maliciosos para secuestrar la cuenta de un ejecutivo financiero e iniciar diversas estafas.
  • Robo de datos: El acto de robar datos es a veces un trampolín para un atacante BEC. Pueden utilizar los datos confidenciales robados para crear estafas BEC más creíbles o piratear cuentas de correo electrónico.
  • Fraude del director general: En esta estafa, los estafadores piratean o falsifican la cuenta de correo electrónico de un alto ejecutivo para engañar a un empleado, socio comercial o proveedor para que envíe fondos, normalmente a través de una transferencia bancaria. El estafador también puede pedir tarjetas regalo o información confidencial. 
  • Suplantación de abogados: Los bufetes de abogados son el objetivo de este tipo de estafas. Tras piratear la cuenta de correo electrónico de un abogado, el estafador intentará estafar a los clientes del bufete, normalmente con facturas falsas.
  • Estafa de facturas falsas: Los clientes de bufetes de abogados no son las únicas empresas víctimas de estafas de facturas falsas. Los clientes de agencias inmobiliarias, diseñadores web y otras pequeñas y medianas empresas pueden ser víctimas de estos ataques BEC.
  • Compromiso del correo electrónico del proveedor: las empresas estadounidenses y europeas con proveedores en el extranjero son objetivos típicos de este tipo de ataque BEC. Los estafadores se hacen pasar por proveedores que solicitan el pago. Las diferentes zonas horarias y las barreras lingüísticas aumentan la confusión y convencen a las empresas para que paguen las facturas fraudulentas que parecen urgentes.
  • Estafas con tarjetas regalo: En lugar de pedir transferencias bancarias, muchos estafadores BEC de bajo nivel piden pagos a través de tarjetas de regalo porque estos medios de pago son casi imposibles de rastrear. Sin embargo, las estafas BEC con tarjetas regalo suelen ser menos dañinas económicamente que las estafas que comprometen el correo electrónico del negocio de las transferencias bancarias.
  • Estafas de desvío de pagos: En este tipo de fraude, un estafador que se hace pasar por director general puede pedir al departamento financiero que detenga un pago en curso y lo envíe a una cuenta diferente, según la "petición del vendedor".
  • Ataque Man in the Middle (MitM): un hacker intercepta el tráfico entre dos entidades para recopilar información o manipular la comunicación en un ataque MitM. El MitM puede permitir a los atacantes BEC robar credenciales de inicio de sesión en cuentas de correo electrónico para iniciar su campaña de fraude.
  • Relleno de credenciales: Cuando los atacantes "rellenan" las "credenciales" robadas en un sistema de inicio de sesión con la esperanza de obtener acceso no autorizado a una cuenta de correo electrónico, la técnica se denomina relleno de credenciales. Las organizaciones que evitan cambiar las contraseñas periódicamente son más propensas a las estafas BEC alimentadas por el relleno de credenciales.

Ejemplos de correos electrónicos comprometidos

El BEC es un delito emergente que puede afectar a una organización de cualquier tamaño o sector. Las pequeñas y grandes organizaciones deben tomar medidas de precaución para mitigar el riesgo de que el correo electrónico empresarial se vea comprometido. Estos son algunos de los ejemplos recientes más tristemente célebres de incidentes que han puesto en peligro el correo electrónico de las empresas:

  • 2013-2015: Los líderes tecnológicos Facebook y Google perdieron más de 120 millones de dólares en una estafa BEC que aprovechó el nombre de un proveedor de hardware real.
  • 2015: La empresa de TI Ubiquiti perdió más de 45 millones de dólares por una estafa BEC en la que los actores de la amenaza se hicieron pasar por un proveedor.
  • 2019: La conocida empresa automovilística Toyota ha sufrido varios ataques BEC a lo largo de los años. En 2019, una filial europea de la empresa perdió casi 40 millones de dólares por una estafa BEC.
  • 2020: En los titulares de todo el mundo, el gobierno de Puerto Rico fue engañado por un estafador para que enviara 2,6 millones de dólares a una cuenta fraudulenta.

Ejemplo de correo electrónico comprometedor para una empresa de pagos


Estimado [Su nombre],
Espero que se encuentre bien. Tenemos una solicitud de pago urgente que requiere su atención inmediata. Nuestra empresa ha prestado recientemente servicios a su organización y aún no hemos recibido el pago del saldo pendiente.
Por lo tanto, le rogamos que realice el pago lo antes posible para evitar más retrasos. Adjuntamos la factura para su referencia. Los datos del pago son los siguientes:
Nombre del banco: [Nombre del banco]
Nombre de la cuenta: [Nombre de la cuenta]
Número de cuenta: [Número de cuenta]
Código Swift: [Código Swift]
Importe adeudado: [Importe adeudado]
Le agradeceríamos que liquidara este pago en las próximas 24 horas y nos facilitara los datos de confirmación una vez realizado el pago. Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros.
Gracias por su pronta atención a este asunto.
Atentamente,
[Nombre]
[Cargo]
[Nombre de la empresa]

Ejemplo de compromiso jurídico por correo electrónico


Asunto: Asunto legal urgente – Por favor, responda lo antes posible
Estimado [Su nombre],
Espero que se encuentre bien. Mi nombre es John Smith y soy el abogado que representa a XYZ Corporation en un asunto legal que involucra a su empresa. Nuestro cliente nos ha dado instrucciones de ponernos en contacto con usted directamente en relación con este asunto.
Hemos tenido conocimiento de que hay un asunto urgente que debe resolverse de inmediato, por lo que le rogamos que responda a este correo electrónico lo antes posible. También nos gustaría programar una llamada telefónica para discutir los detalles del caso.
Tenga en cuenta que esta comunicación es confidencial y privilegiada y no debe ser revelada a terceros sin nuestro consentimiento expreso por escrito.
Gracias por su atención a este asunto.
Atentamente,
John Smith
Abogado

Ejemplo de correo electrónico comercial fraudulento

Asunto: Solicitud urgente – Transferencia bancaria
Estimado [Su nombre],
Espero que esté teniendo un día productivo. Como sabe, estamos inmersos en un importante acuerdo comercial que nos obliga a transferir una cantidad considerable de fondos a nuestros socios en el extranjero. Lamentablemente, se ha producido un retraso en la tramitación de la transferencia bancaria debido a un problema con nuestro sistema bancario.
A la luz de este retraso, le solicito urgentemente que transfiera la suma de [importe] a la siguiente cuenta [datos de la cuenta]. Asegúrese de que la transferencia se procese inmediatamente, ya que el tiempo es esencial en este asunto.
Entiendo que se trata de una solicitud inusual, pero le aseguro que es un paso necesario para garantizar el éxito.

Comprender el objetivo principal del compromiso del correo electrónico empresarial

El objetivo principal del compromiso del correo electrónico empresarial es engañar a la víctima para que transfiera dinero, normalmente mediante transferencia bancaria. Algunos estafadores también solicitan tarjetas regalo, mientras que otros intentan robar datos confidenciales para piratear cuentas de correo electrónico.

Aunque el objetivo de una estafa BEC es casi siempre financiero, los atacantes pueden utilizar una combinación de diferentes métodos para lograr sus objetivos, como malware, facturas falsas, suplantación de identidad y spear phishing. El objetivo final de estos ataques son personas con capacidad para enviar dinero, como ejecutivos de empresas, directores financieros y clientes de bufetes de abogados o empresas inmobiliarias. Los proveedores también son blanco de estas estafas, especialmente en los ataques dirigidos a la cadena de suministro.

Riesgos del correo electrónico comercial comprometido (BEC)

  • Pérdidas financieras: Las organizaciones pueden sufrir importantes pérdidas financieras.
  • Daños a la reputación: Los socios comerciales pueden perder la confianza en una empresa engañada por una estafa BEC.
  • Pérdidas operativas: Pagar a un estafador en lugar de al proveedor puede acarrear graves problemas de tesorería a corto y largo plazo.
  • Cuestiones de cumplimiento: Una violación de datos en la que se robe información sensible de los clientes puede acarrear problemas legales.

Recursos destacados

Preguntas frecuentes (FAQ) sobre

¿Por qué es tan problemático comprometer el correo electrónico de las empresas?

El compromiso del correo electrónico empresarial es un problema porque los correos electrónicos pueden ser vulnerables a diferentes tipos de estafas debido al ritmo acelerado de los lugares de trabajo modernos, el trabajo a distancia y las vulnerabilidades de seguridad de los sistemas de correo electrónico. Además, muchos empleados en entornos de trabajo híbridos no cuentan con la tecnología o la formación suficientes para defenderse de los delitos cibernéticos.

El BEC también es un problema importante porque un ataque exitoso puede dañar la reputación, las operaciones y la moral de una empresa, y dejarla expuesta a multas y acciones civiles.

Para una ciberseguridad avanzada, su organización debe invertir en unaplataforma EDR robusta. Endpoint Detection and Response de primera categoría puede evitar que diferentes tipos de malware, incluido el ransomware, dañen su negocio.

Con tecnología de vanguardia y una mayor concienciación de los empleados, su organización puede evitar pérdidas por ataques de compromiso del correo electrónico empresarial y optimizar el flujo de trabajo con confianza.

¿Cuáles son los indicadores de compromiso en un correo electrónico?

Entre los signos y síntomas de un ataque de correo electrónico empresarial comprometido (BEC) se incluyen:

  • Dirección de correo electrónico inusual.
  • Enlace o página web extraña.
  • Errores ortográficos y gramaticales.
  • Saludos, saludos y lenguaje extraños.
  • Una mayor sensación de urgencia en el pago.
  • Adjunto no solicitado.
  • Archivo adjunto con extensión .exe o .zip.
  • Demanda de información confidencial.
  • Factura con nuevos datos bancarios.
  • Solicitudes de tarjetas regalo o pagos en criptomoneda.

El FBI cuenta con equipos especialmente entrenados en todo Estados Unidos para investigar los delitos cibernéticos. Solicitan que las víctimas de delitos en línea o cometidos a través de Internet se pongan en contacto con elCentro de Denuncias de Delitos en Internet (IC3)para obtener ayuda. La rapidez con la que se denuncia un delito puede mejorar el resultado.

¿Quiénes son los destinatarios más frecuentes de los correos electrónicos de tipo BEC?

Ciberdelincuentes de cualquier rincón del mundo pueden ser responsables de un ataque BEC. Sin embargo, muchas estafas se originan en el extranjero, donde estos delitos son más difíciles de rastrear. Los ataques BEC se dirigen a empresas de todos los tamaños, gobiernos y organizaciones, pero con mayor frecuencia son atacadas las pequeñas empresas. BEC es un tipo de ataque de phishing en el que el ciberatacante busca robar información crítica, datos o dinero. Los departamentos de Recursos Humanos y Finanzas son objetivos cada vez más frecuentes de BEC.

¿Cuál es el objetivo principal de comprometer el correo electrónico empresarial?

El principal objetivo del correo electrónico empresarial comprometido es ganar dinero de forma fraudulenta.