¿Qué es el correo electrónico comercial comprometido (BEC) y cómo prevenir los ataques BEC?
Aprenda a proteger los entornos de correo electrónico y a prevenir los ataques de Business Email Compromise (BEC) en su organización.
¿Qué es el BEC?
El correo electrónico, también conocido como email, es uno de los inventos empresariales más importantes de finalesdel siglo XX. Permite a los profesionales intercambiar mensajes rápidamente entre dispositivos cercanos o de todo el mundo. Muchos de estos mensajes contienen instrucciones, órdenes, solicitudes, archivos adjuntos y otros tipos de comunicación.
Los usuarios de entornos de trabajo acelerados suelen confiar en el sistema de correo electrónico para optimizar la productividad y el flujo de trabajo. Y los actores de amenazas aprovechan esta misma fe en el sistema para iniciar ataques de compromiso del correo electrónico empresarial (BEC) con gran eficacia. Las estafas y fraudes BEC son una amenaza tan creciente hoy en día, que el FBI los ha calificado como "uno de los delitos en línea más perjudiciales económicamente".
Lea esta guía detallada para obtener más información:
- ¿Qué es el correo electrónico empresarial comprometido?
- El objetivo principal del compromiso del correo electrónico empresarial.
- Ejemplos de ataques BEC.
- Cómo evitar que el correo electrónico empresarial se vea comprometido.
Definición de correo electrónico comercial comprometido: Qué es el correo electrónico comercial comprometido (BEC)
He aquí una rápida definición de "business email compromise": BEC es un tipo de ciberdelincuencia y ataque de ingeniería social en el que los estafadores utilizan el correo electrónico para engañar a un objetivo para que envíe dinero o comparta datos confidenciales para un delito financiero. El actor de la amenaza puede utilizar el correo electrónico de diferentes maneras para una estafa BEC, desde un ataque de suplantación hasta un compromiso real de la cuenta de correo electrónico (EAC).
PREVENIR ATAQUES DE RANSOMWARE HOY MISMO.
Ultimate visibilidad, detección y corrección para erradicar el ransomware y otro malware de los endpoints de su organización. Descubra el EDR nativo en la nube ThreatDown con 72 horas ransomware rollback, y complementos de seguridad flexibles como Device Control, DNS Filtering, y Cloud Storage Scanning.
PRUEBE GRATIS LA SOLUCIÓN PARA EMPRESAS
Cómo evitar que el correo electrónico empresarial se vea comprometido
Correo electrónico seguro
Utilice los filtros antispam y antimalware de su correo electrónico para bloquear los mensajes no seguros. Combine las herramientas de protección integradas de su correo electrónico con software de seguridad para maximizar su defensa contra los BEC. Considere la posibilidad de cifrar los datos confidenciales cuando los envíe por correo electrónico para evitar escuchas. Por último, marque los correos electrónicos en los que las direcciones de remitente y respuesta no coincidan.
Autenticación multifactor (AMF)
La AMF puede mitigar el riesgo de que un pirata informático utilice credenciales de inicio de sesión robadas para acceder a una cuenta de correo electrónico para una estafa BEC. Con MFA, un actor de amenazas puede necesitar una segunda forma de identificación para acceder a una cuenta de correo electrónico. Todos los empleados de alto riesgo de su organización, incluidos ejecutivos, profesionales de finanzas, recursos humanos y administradores, deben activar MFA en las cuentas de correo electrónico de la empresa.
Alfabetización en ciberseguridad
Su organización puede mejorar significativamente su postura de ciberseguridad a través de la formación. He aquí algunas prácticas que los empleados deberían intentar seguir:
- Nunca haga clic en enlaces de correo electrónico no solicitados, ya que pueden llevar a los usuarios a sitios web maliciosos o a programas maliciosos.
- Evite compartir información confidencial en línea, como detalles de una transacción comercial o planes de viaje. Los actores de amenazas pueden utilizar información sensible para crear ataques de spear phishing más convincentes.
- Piénselo dos veces antes de descargar software desconocido.
Ejercicios de compromiso del correo electrónico empresarial
Trabaje con su equipo de seguridad para realizar simulaciones de ataques de ingeniería social. Estos ejercicios mantendrán a su personal alerta y le ayudarán a identificar los puntos débiles en la lucha contra las estafas que ponen en peligro el correo electrónico de las empresas. Actualice también periódicamente sus políticas y su formación para mantener su postura de ciberseguridad reforzada.
Pagos seguros
Utilice siempre medios de pago seguros. Evite enviar pagos mediante tarjetas regalo o depósitos en criptomoneda. Cuando envíes una transferencia bancaria, coteja la información bancaria con tus registros.
Autenticación del correo electrónico
Aprender a reconocer los correos electrónicos de phishing es esencial para reducir el riesgo de estafas BEC. He aquí algunos consejos que pueden ayudar a los empleados a autenticar los correos electrónicos:
- Cuidado con la terminología inusual, los saludos extraños o los errores gramaticales y ortográficos.
- Evite abrir archivos adjuntos no solicitados.
- Desconfíe de las solicitudes de contraseñas u otros datos confidenciales.
- Compruebe siempre la dirección de correo electrónico para asegurarse de que coincide con la dirección real del remitente.
- Examine cuidadosamente las solicitudes de transferencia de fondos por correo electrónico.
- Cuidado con las facturas con avisos de pago cortos.
- Compruebe dos veces las solicitudes de pago inusuales, incluso si proceden de entidades en las que confía.
- Investigue las solicitudes de pago que le obliguen a saltarse las comprobaciones de autorización.
- Confíe en su instinto si observa algo inusual en una solicitud de pago. Respira hondo e investiga primero.
Seguridad de los puntos finales
Utilice software antimalware en todos los dispositivos para protegerse de los programas espía. Recomendamos a las empresas que instalen el softwareendpoint protection para proteger los ordenadores de sobremesa, portátiles y teléfonos inteligentes de programas maliciosos que pueden ayudar a los estafadores con BEC.
Seguridad del servidor
Las amenazas a sus servidores pueden ser incluso más letales que las amenazas a sus puntos finales. Después de penetrar en sus puntos finales, los actores de la amenaza pueden acceder a datos críticos como los financieros, la propiedad intelectual, etc. para crear estafas BEC que son casi idénticas a los correos electrónicos auténticos. Invierta hoy mismo en la seguridad de sus servidores para detener la pérdida de tiempo, dinero, productividad y reputación de su organización.
Gestión de la cadena de suministro
Cree protocolos de seguridad para verificar las solicitudes de pago, los correos electrónicos y las consultas de sus proveedores y vendedores. Autentique cualquier solicitud inusual, como cambios en la información de contacto o de pago.
No deje que los primeros indicios de una brecha pasen desapercibidos.
Explore ThreatDown Endpoint Security and Antivirus Business Products:
Endpoint Protection para servidores
Endpoint Detection and Response (EDR) para servidores
Servicio de detección y respuesta gestionadas (MDR)
¿Cómo funciona el correo electrónico comercial comprometido (BEC)?
Un ataque típico que pone en peligro el correo electrónico de una empresa suele constar de varias fases:
1. Recopilación de información
Los atacantes investigan el objetivo, ya sea un individuo, como el director financiero de una empresa o un agente de viajes en una pequeña empresa, o un equipo, como un departamento de recursos humanos o contabilidad en una organización. También pueden recopilar información sobre los proveedores, socios comerciales, clientes, empleados, sistemas de correo electrónico y medidas de ciberseguridad de la organización objetivo.
Las herramientas que utilizan los actores de amenazas para recabar información incluyen motores de búsqueda y páginas de redes sociales como LinkedIn. El objetivo de la recopilación de inteligencia es desarrollar un perfil preciso para un ataque de ingeniería social convincente e identificar a los objetivos más vulnerables.
2. Planificación
Una vez recopilada la inteligencia, los atacantes determinan los mejores métodos y herramientas para obtener el mayor retorno de la inversión en el ataque BEC. Por ejemplo, pueden utilizar una cuenta de correo electrónico falsa, un sitio web falso, una cuenta de correo electrónico pirateada, ataques de phishing o un ordenador o dispositivo infectado con malware.
3. Grooming
Dependiendo de la naturaleza del ataque, los actores de amenazas pueden utilizar diferentes tácticas de ingeniería social para preparar a sus objetivos y, finalmente, emplear el poder de persuasión para engañarlos y hacerles tomar malas decisiones. También pueden intentar replicar flujos de trabajo comunes, como pedir una contraseña o enviar un documento importante.
El objetivo del acicalamiento puede ser cualquiera de los siguientes:
- Más recopilación de información.
- Soltar malware como troyanos o spyware.
- Hackear una cuenta de correo electrónico.
- Preparar un objetivo para la penúltima fase del ataque de compromiso del correo electrónico empresarial.
4. Ejecución
Aunque la naturaleza de la fase de ejecución depende del tipo de ataque, casi siempre implica la suplantación de identidad a través del correo electrónico.
He aquí algunos escenarios BEC:
- Los empleados de finanzas de una organización reciben un correo electrónico de un ejecutivo de la empresa solicitando una transferencia de pago. El correo electrónico procede de una cuenta de correo falsa que parece real porque la dirección solo varía ligeramente de la real.
- Los piratas informáticos envían un correo electrónico desde la cuenta pirateada de un director general a un socio comercial solicitando una transferencia bancaria para una transacción comercial.
- Los demandados en un caso en curso reciben un correo electrónico urgente de su abogado solicitando un ingreso en una cuenta bancaria.
- Tras acceder con malware a la cuenta de correo electrónico de un gestor de cuentas de deudores, los estafadores envían facturas con sus propios números de cuenta bancaria a todos los clientes de la empresa.
- Un correo electrónico procedente de la cuenta de un minorista pirateada pide a los clientes información confidencial, como números de tarjetas de crédito.
5. Ganancia monetaria
Tanto si los piratas informáticos utilizan correos electrónicos falsos o maliciosos, el objetivo es siempre obtener beneficios económicos. El dinero suele ir a parar a paraísos fiscales donde es difícil rastrearlo.
BEC frente a EAC
En , el FBI y otros expertos describen el correo electrónico comercial comprometido (BEC) y la cuenta de correo electrónico comprometida (EAC) como la misma cosa. Sin embargo, algunos expertos consideran el EAC una variante cercana del BEC. Si quiere entrar en detalles, puede considerar el EAC como un subconjunto del BEC.
En pocas palabras, BEC es un término general para cualquier tipo de fraude por correo electrónico que los atacantes utilizan para engañar a las víctimas para que envíen dinero. Por ejemplo, los atacantes pueden utilizar direcciones de correo electrónico falsas, sitios web falsos, spear phishing y cuentas de correo electrónico pirateadas para llevar a cabo un ataque de este tipo.
EAC es un tipo de fraude por correo electrónico en el que los atacantes utilizan una cuenta de correo electrónico pirateada. Las formas típicas de piratear una cuenta de correo electrónico para EAC incluyen phishing, ataques de fuerza bruta y relleno de credenciales. También pueden utilizar keyloggers para robar las credenciales de inicio de sesión de la víctima.
BEC frente a phishing
La cuestión del compromiso del correo electrónico empresarial frente al ataque de phishing puede parecer confusa, pero es bastante sencilla. Un ataque de phishing es un tipo de ataque de ingeniería social en el que los atacantes utilizan correos electrónicos comprometidos para diversos fines, como el robo de identidad, el robo de propiedad intelectual, el trolling, las infecciones de malware, la recopilación de inteligencia y el BEC.
Por ejemplo, pueden utilizar el spear phishing para piratear la cuenta de correo electrónico de un director general o engañarle para que envíe una transferencia bancaria a la cuenta de un estafador. Los ataques de spear phishing dirigidos a directores ejecutivos para una estafa BEC también pueden definirse como whale phishing.
Consulte nuestra sección Conceptos básicos de ciberseguridad si tiene dudas: ¿Qué es un ataque cibernético?
Tipos de correos electrónicos empresariales comprometidos
- Apropiación de cuentas de correo electrónico empresariales: Estos ataques suelen dirigirse a profesionales, como ejecutivos o profesionales de las finanzas. Tras hackear la cuenta, el actor de la amenaza solicita dinero a los contactos de la víctima, como clientes o proveedores.
- Spear phishing: El spear phishing es una versión más específica del phishing dirigida a un individuo o a un pequeño grupo de personas. A diferencia de los ataques de phishing típicos, los ataques de spear phishing son más peligrosos porque están personalizados para engañar a un objetivo específico.
- Programas maliciosos: los estafadores de BEC pueden utilizar distintos tipos de programas maliciosos para secuestrar la cuenta de un ejecutivo financiero e iniciar diversas estafas.
- Robo de datos: El acto de robar datos es a veces un trampolín para un atacante BEC. Pueden utilizar los datos confidenciales robados para crear estafas BEC más creíbles o piratear cuentas de correo electrónico.
- Fraude del director general: En esta estafa, los estafadores piratean o falsifican la cuenta de correo electrónico de un alto ejecutivo para engañar a un empleado, socio comercial o proveedor para que envíe fondos, normalmente a través de una transferencia bancaria. El estafador también puede pedir tarjetas regalo o información confidencial.
- Suplantación de abogados: Los bufetes de abogados son el objetivo de este tipo de estafas. Tras piratear la cuenta de correo electrónico de un abogado, el estafador intentará estafar a los clientes del bufete, normalmente con facturas falsas.
- Estafa de facturas falsas: Los clientes de bufetes de abogados no son las únicas empresas víctimas de estafas de facturas falsas. Los clientes de agencias inmobiliarias, diseñadores web y otras pequeñas y medianas empresas pueden ser víctimas de estos ataques BEC.
- Compromiso del correo electrónico del proveedor: las empresas estadounidenses y europeas con proveedores en el extranjero son objetivos típicos de este tipo de ataque BEC. Los estafadores se hacen pasar por proveedores que solicitan el pago. Las diferentes zonas horarias y las barreras lingüísticas aumentan la confusión y convencen a las empresas para que paguen las facturas fraudulentas que parecen urgentes.
- Estafas con tarjetas regalo: En lugar de pedir transferencias bancarias, muchos estafadores BEC de bajo nivel piden pagos a través de tarjetas de regalo porque estos medios de pago son casi imposibles de rastrear. Sin embargo, las estafas BEC con tarjetas regalo suelen ser menos dañinas económicamente que las estafas que comprometen el correo electrónico del negocio de las transferencias bancarias.
- Estafas de desvío de pagos: En este tipo de fraude, un estafador que se hace pasar por director general puede pedir al departamento financiero que detenga un pago en curso y lo envíe a una cuenta diferente, según la "petición del vendedor".
- Ataque Man in the Middle (MitM): Un hacker intercepta el tráfico entre dos entidades para recopilar información o manipular la comunicación en un ataque MitM. MitM puede permitir a los atacantes BEC robar credenciales de acceso a cuentas de correo electrónico para iniciar su campaña de fraude.
- Relleno de credenciales: Cuando los atacantes "rellenan" las "credenciales" robadas en un sistema de inicio de sesión con la esperanza de obtener acceso no autorizado a una cuenta de correo electrónico, la técnica se denomina relleno de credenciales. Las organizaciones que evitan cambiar las contraseñas periódicamente son más propensas a las estafas BEC alimentadas por el relleno de credenciales.
Ejemplos de correos electrónicos comprometidos
El BEC es un delito emergente que puede afectar a una organización de cualquier tamaño o sector. Las pequeñas y grandes organizaciones deben tomar medidas de precaución para mitigar el riesgo de que el correo electrónico empresarial se vea comprometido. Estos son algunos de los ejemplos recientes más tristemente célebres de incidentes que han puesto en peligro el correo electrónico de las empresas:
- 2013-2015: Los líderes tecnológicos Facebook y Google perdieron más de 120 millones de dólares en una estafa BEC que aprovechó el nombre de un proveedor de hardware real.
- 2015: La empresa de TI Ubiquiti perdió más de 45 millones de dólares por una estafa BEC en la que los actores de la amenaza se hicieron pasar por un proveedor.
- 2019: La conocida empresa automovilística Toyota ha sufrido varios ataques BEC a lo largo de los años. En 2019, una filial europea de la empresa perdió casi 40 millones de dólares por una estafa BEC.
- 2020: En los titulares de todo el mundo, el gobierno de Puerto Rico fue engañado por un estafador para que enviara 2,6 millones de dólares a una cuenta fraudulenta.
Ejemplo de correo electrónico comprometedor para una empresa de pagos
Estimado [Su nombre],
Espero que este correo electrónico le encuentre bien. Tenemos una solicitud de pago urgente que requiere su atención inmediata. Nuestra empresa ha prestado recientemente servicios a su organización y aún no hemos recibido el pago del saldo pendiente.
Por ello, le rogamos que efectúe el pago lo antes posible para evitar más retrasos. Adjuntamos la factura para su referencia. Los datos de pago son los siguientes:
Nombre del banco: [Nombre del Banco]
Nombre de la cuenta: [Nombre de la cuenta]
Número de cuenta
Código Swift: [Código Swift]
Importe adeudado: [Importe adeudado]
Le agradeceríamos que liquidara este pago en las próximas 24 horas y que nos facilitara los datos de confirmación una vez efectuado el pago. Si tiene alguna pregunta, no dude en ponerse en contacto con nosotros.
Gracias por su pronta atención a este asunto.
Atentamente,
[Nombre]
[Título]
[Nombre de la empresa]
Ejemplo de compromiso jurídico por correo electrónico
Asunto: Asunto legal urgente - Por favor, responda lo antes posible
Estimado [Su nombre],
Espero que este correo electrónico le encuentre bien. Me llamo John Smith y soy abogado y represento a XYZ Corporation en un asunto legal relacionado con su empresa. Nuestro cliente nos ha encargado que nos pongamos en contacto con usted directamente en relación con este asunto.
Hemos tenido conocimiento de que hay un asunto urgente que debe tratarse de inmediato, y le rogamos que responda a este correo electrónico lo antes posible. También nos gustaría programar una llamada telefónica para discutir los detalles del caso.
Tenga en cuenta que esta comunicación es confidencial y privilegiada y no debe revelarse a terceros sin nuestro consentimiento expreso por escrito.
Gracias por su atención a este asunto.
Saludos cordiales,
John Smith
Abogado
Ejemplo de correo electrónico comercial fraudulento
Asunto: Solicitud urgente - Transferencia bancaria
Estimado [Su nombre],
Espero que estén teniendo un día productivo. Como saben, estamos en medio de un importante acuerdo comercial que nos obliga a transferir una cantidad sustancial de fondos a nuestros socios extranjeros. Lamentablemente, se ha producido un retraso en la tramitación de la transferencia debido a un problema con nuestro sistema bancario.
En vista de este retraso, le solicito urgentemente que transfiera la suma de [importe] a la siguiente cuenta [datos de la cuenta]. Por favor, asegúrese de que la transferencia se procesa inmediatamente, ya que el tiempo es esencial en este asunto.
Comprendo que se trata de una petición poco habitual, pero le aseguro que es un paso necesario para garantizar el éxito.
Comprender el objetivo principal del compromiso del correo electrónico empresarial
El principal objetivo de los correos electrónicos comerciales comprometidos es engañar al objetivo para que transfiera dinero, normalmente a través de una transferencia bancaria. Algunos estafadores también piden tarjetas regalo, mientras que otros intentan robar datos confidenciales para piratear cuentas de correo electrónico.
Aunque el objetivo de una estafa BEC es casi siempre financiero, los atacantes pueden utilizar una combinación de diferentes métodos para lograr sus objetivos, como malware, facturas falsas, suplantación de identidad y spear phishing. El objetivo final de estos ataques son las personas con capacidad para enviar dinero, como ejecutivos de empresas, directores financieros y clientes de bufetes de abogados o negocios inmobiliarios. Los vendedores también son blanco de estas estafas, especialmente en un ataque dirigido al suministro.
Riesgos del correo electrónico comercial comprometido (BEC)
- Pérdidas financieras: Las organizaciones pueden sufrir importantes pérdidas financieras.
- Daños a la reputación: Los socios comerciales pueden perder la confianza en una empresa engañada por una estafa BEC.
- Pérdidas operativas: Pagar a un estafador en lugar de al proveedor puede acarrear graves problemas de tesorería a corto y largo plazo.
- Cuestiones de cumplimiento: Una violación de datos en la que se robe información sensible de los clientes puede acarrear problemas legales.