¿Qué es el Business Email Compromise (BEC)?

El galardonado ThreatDown MDR detiene las amenazas que otros pasan por alto

Explorar MDR

Introduction

Electronic mail, also known as email, is one of the most important business inventions of the late 20th century. It allows professionals to quickly exchange messages between devices in close proximity or across the globe. Many of these messages carry instructions, commands, requests, attachments, and other types of communication.

Users in fast-paced work environments often put their faith in the email system to optimize productivity and workflow. And threat actors leverage this very faith in the system to initiate business email compromise (BEC) attacks so effectively. BEC scam and fraud is such a growing menace today, that the FBI has termed it as “one of the most financially damaging online crimes.”

Read this in-depth guide for more on:

  • ¿Qué es el correo electrónico empresarial comprometido?
  • El objetivo principal del compromiso del correo electrónico empresarial.
  • Ejemplos de ataques BEC.
  • Cómo evitar que el correo electrónico empresarial se vea comprometido.

Definición de correo electrónico comercial comprometido: Qué es el correo electrónico comercial comprometido (BEC)

Here is a quick business email compromise definition: BEC is a kind of cybercrime and social engineering attack where fraudsters use email to trick a target into sending money or sharing sensitive data for a financial crime. The threat actor may use email in different ways for a BEC scam, from a spoofing attack to an actual email account compromise (EAC).

Cómo evitar que el correo electrónico empresarial se vea comprometido

Correo electrónico seguro

Utilice los filtros antispam y antimalware de su correo electrónico para bloquear los mensajes no seguros. Combine las herramientas de protección integradas de su correo electrónico con software de seguridad para maximizar su defensa contra los BEC. Considere la posibilidad de cifrar los datos confidenciales cuando los envíe por correo electrónico para evitar escuchas. Por último, marque los correos electrónicos en los que las direcciones de remitente y respuesta no coincidan.

Autenticación multifactor (AMF)

La AMF puede mitigar el riesgo de que un pirata informático utilice credenciales de inicio de sesión robadas para acceder a una cuenta de correo electrónico para una estafa BEC. Con MFA, un actor de amenazas puede necesitar una segunda forma de identificación para acceder a una cuenta de correo electrónico. Todos los empleados de alto riesgo de su organización, incluidos ejecutivos, profesionales de finanzas, recursos humanos y administradores, deben activar MFA en las cuentas de correo electrónico de la empresa.

Alfabetización en ciberseguridad

Su organización puede mejorar significativamente su postura de ciberseguridad a través de la formación. He aquí algunas prácticas que los empleados deberían intentar seguir:

  • Nunca haga clic en enlaces de correo electrónico no solicitados, ya que pueden llevar a los usuarios a sitios web maliciosos o a programas maliciosos.
  • Evite compartir información confidencial en línea, como detalles de una transacción comercial o planes de viaje. Los actores de amenazas pueden utilizar información sensible para crear ataques de spear phishing más convincentes.
  • Piénselo dos veces antes de descargar software desconocido.

Ejercicios de compromiso del correo electrónico empresarial

Trabaje con su equipo de seguridad para realizar simulaciones de ataques de ingeniería social. Estos ejercicios mantendrán a su personal alerta y le ayudarán a identificar los puntos débiles en la lucha contra las estafas que ponen en peligro el correo electrónico de las empresas. Actualice también periódicamente sus políticas y su formación para mantener su postura de ciberseguridad reforzada.

Pagos seguros

Utilice siempre medios de pago seguros. Evite enviar pagos mediante tarjetas regalo o depósitos en criptomoneda. Cuando envíes una transferencia bancaria, coteja la información bancaria con tus registros.

Autenticación del correo electrónico

Aprender a reconocer los correos electrónicos de phishing es esencial para reducir el riesgo de estafas BEC. He aquí algunos consejos que pueden ayudar a los empleados a autenticar los correos electrónicos:

  • Cuidado con la terminología inusual, los saludos extraños o los errores gramaticales y ortográficos.
  • Evite abrir archivos adjuntos no solicitados.
  • Desconfíe de las solicitudes de contraseñas u otros datos confidenciales.
  • Compruebe siempre la dirección de correo electrónico para asegurarse de que coincide con la dirección real del remitente.
  • Examine cuidadosamente las solicitudes de transferencia de fondos por correo electrónico.
  • Cuidado con las facturas con avisos de pago cortos.
  • Compruebe dos veces las solicitudes de pago inusuales, incluso si proceden de entidades en las que confía.
  • Investigue las solicitudes de pago que le obliguen a saltarse las comprobaciones de autorización.
  • Confíe en su instinto si observa algo inusual en una solicitud de pago. Respira hondo e investiga primero.

Seguridad de los puntos finales

Utilice software antimalware en todos los dispositivos para protegerse de los programas espía. Recomendamos a las empresas que instalen el softwareendpoint protection para proteger los ordenadores de sobremesa, portátiles y teléfonos inteligentes de programas maliciosos que pueden ayudar a los estafadores con BEC.

Seguridad del servidor

Threats to your servers can be even more lethal than threats to your endpoints. After breaching your endpoints, threat actors can access critical data like financials, intellectual property, and more to create BEC scams that are almost identical to authentic emails. Invest in server security today to stop the loss of time, money, productivity, and your organization’s reputation.

Gestión de la cadena de suministro

Cree protocolos de seguridad para verificar las solicitudes de pago, los correos electrónicos y las consultas de sus proveedores y vendedores. Autentique cualquier solicitud inusual, como cambios en la información de contacto o de pago.

¿Cómo funciona el correo electrónico comercial comprometido (BEC)?

Un ataque típico que pone en peligro el correo electrónico de una empresa suele constar de varias fases:

Intelligence Gathering
The attackers research the target, whether it’s an individual, like the CFO of a company or a travel agent at a small business, or a team, like an HR or accounting department at an organization. They may also gather intelligence on the target organization’s vendors, business partners, clients, employees, email systems, and cybersecurity measures.

The tools threat actors use for intelligence gathering include search engines and social media pages like LinkedIn. The objective of intelligence gathering is to develop an accurate profile for a compelling social engineering attack and identify the most vulnerable targets.

Planning
After gathering intelligence, the attackers determine the best methods and tools for the greatest ROI on the BEC attack. For example, they can use a spoofed email account, spoofed website, hacked email account, phishing attacks, or a computer or device infected with malware.

Grooming
Depending on the nature of the attack, threat actors may use different social engineering tactics to groom their targets and eventually employ the powers of persuasion to trick them into making bad decisions. They may also try to replicate common workflows, such as asking for a password or sending an important document.

The goal of grooming can be any of the following:

  • Más recopilación de información.
  • Soltar malware como troyanos o spyware.
  • Hackear una cuenta de correo electrónico.
  • Preparar un objetivo para la penúltima fase del ataque de compromiso del correo electrónico empresarial.

Execution
While the nature of the execution phase depends on the type of attack, it almost always involves impersonation through email.
Here are some BEC scenarios:

  • Los empleados de finanzas de una organización reciben un correo electrónico de un ejecutivo de la empresa solicitando una transferencia de pago. El correo electrónico procede de una cuenta de correo falsa que parece real porque la dirección solo varía ligeramente de la real.
  • Los piratas informáticos envían un correo electrónico desde la cuenta pirateada de un director general a un socio comercial solicitando una transferencia bancaria para una transacción comercial.
  • Los demandados en un caso en curso reciben un correo electrónico urgente de su abogado solicitando un ingreso en una cuenta bancaria.
  • Tras acceder con malware a la cuenta de correo electrónico de un gestor de cuentas de deudores, los estafadores envían facturas con sus propios números de cuenta bancaria a todos los clientes de la empresa.
  • Un correo electrónico procedente de la cuenta de un minorista pirateada pide a los clientes información confidencial, como números de tarjetas de crédito.

Monetary Gain
Whether the hackers use spoofed emails, fake emails, or malware in a business email compromise scam, the objective is always monetary gain. The money often goes to offshore locations where it’s challenging to trace.

BEC frente a EAC

The FBI and several other experts describe business email compromise (BEC) and email account compromise (EAC) as the same thing. However, some experts call EAC a close variant of BEC. If you want to get down to the details, you can think of EAC as a subset of BEC.

In a nutshell, BEC is a catchall term for any type of email fraud that attackers use to trick victims into sending money. For example, attackers can use spoofed email addresses, spoofed websites, spear phishing, and hacked email accounts to execute a business email compromise attack.

EAC is a type of email fraud where attackers use a hacked email account. Typical ways for someone to hack an email account for EAC include phishing, brute force attacks, and credential stuffing. They may also utilize keyloggers to steal a victim’s login credentials.

BEC frente a phishing


The business email compromise vs phishing attack question may seem confusing, but it’s quite simple. A phishing attack is a kind of social engineering attack where attackers use compromised emails for various purposes, including identity theft, intellectual property theft, trolling, malware infections, intelligence gathering, and BEC.

For example, they may use spear phishing to hack a CEO’s email account or trick them into sending a wire transfer to a fraudster’s bank account. Spear phishing attacks that target CEOs for a BEC scam can also be defined as whale phishing.

Check our Cybersecurity Basics section if you’re wondering: What is a whaling attack

Tipos de correos electrónicos empresariales comprometidos

  • Apropiación de cuentas de correo electrónico empresariales: Estos ataques suelen dirigirse a profesionales, como ejecutivos o profesionales de las finanzas. Tras hackear la cuenta, el actor de la amenaza solicita dinero a los contactos de la víctima, como clientes o proveedores.
  • Spear phishing: El spear phishing es una versión más específica del phishing dirigida a un individuo o a un pequeño grupo de personas. A diferencia de los ataques de phishing típicos, los ataques de spear phishing son más peligrosos porque están personalizados para engañar a un objetivo específico.
  • Programas maliciosos: los estafadores de BEC pueden utilizar distintos tipos de programas maliciosos para secuestrar la cuenta de un ejecutivo financiero e iniciar diversas estafas.
  • Robo de datos: El acto de robar datos es a veces un trampolín para un atacante BEC. Pueden utilizar los datos confidenciales robados para crear estafas BEC más creíbles o piratear cuentas de correo electrónico.
  • Fraude del director general: En esta estafa, los estafadores piratean o falsifican la cuenta de correo electrónico de un alto ejecutivo para engañar a un empleado, socio comercial o proveedor para que envíe fondos, normalmente a través de una transferencia bancaria. El estafador también puede pedir tarjetas regalo o información confidencial. 
  • Suplantación de abogados: Los bufetes de abogados son el objetivo de este tipo de estafas. Tras piratear la cuenta de correo electrónico de un abogado, el estafador intentará estafar a los clientes del bufete, normalmente con facturas falsas.
  • Estafa de facturas falsas: Los clientes de bufetes de abogados no son las únicas empresas víctimas de estafas de facturas falsas. Los clientes de agencias inmobiliarias, diseñadores web y otras pequeñas y medianas empresas pueden ser víctimas de estos ataques BEC.
  • Compromiso del correo electrónico del proveedor: las empresas estadounidenses y europeas con proveedores en el extranjero son objetivos típicos de este tipo de ataque BEC. Los estafadores se hacen pasar por proveedores que solicitan el pago. Las diferentes zonas horarias y las barreras lingüísticas aumentan la confusión y convencen a las empresas para que paguen las facturas fraudulentas que parecen urgentes.
  • Estafas con tarjetas regalo: En lugar de pedir transferencias bancarias, muchos estafadores BEC de bajo nivel piden pagos a través de tarjetas de regalo porque estos medios de pago son casi imposibles de rastrear. Sin embargo, las estafas BEC con tarjetas regalo suelen ser menos dañinas económicamente que las estafas que comprometen el correo electrónico del negocio de las transferencias bancarias.
  • Estafas de desvío de pagos: En este tipo de fraude, un estafador que se hace pasar por director general puede pedir al departamento financiero que detenga un pago en curso y lo envíe a una cuenta diferente, según la "petición del vendedor".
  • Man in the Middle (MitM) attack: A hacker intercepts traffic between two entities to gather intelligence or manipulate communication in a MitM attack. MitM can allow BEC attackers to steal login credentials to email accounts to start their fraud campaign.
  • Relleno de credenciales: Cuando los atacantes "rellenan" las "credenciales" robadas en un sistema de inicio de sesión con la esperanza de obtener acceso no autorizado a una cuenta de correo electrónico, la técnica se denomina relleno de credenciales. Las organizaciones que evitan cambiar las contraseñas periódicamente son más propensas a las estafas BEC alimentadas por el relleno de credenciales.

Ejemplos de correos electrónicos comprometidos

El BEC es un delito emergente que puede afectar a una organización de cualquier tamaño o sector. Las pequeñas y grandes organizaciones deben tomar medidas de precaución para mitigar el riesgo de que el correo electrónico empresarial se vea comprometido. Estos son algunos de los ejemplos recientes más tristemente célebres de incidentes que han puesto en peligro el correo electrónico de las empresas:

  • 2013-2015: Los líderes tecnológicos Facebook y Google perdieron más de 120 millones de dólares en una estafa BEC que aprovechó el nombre de un proveedor de hardware real.
  • 2015: La empresa de TI Ubiquiti perdió más de 45 millones de dólares por una estafa BEC en la que los actores de la amenaza se hicieron pasar por un proveedor.
  • 2019: La conocida empresa automovilística Toyota ha sufrido varios ataques BEC a lo largo de los años. En 2019, una filial europea de la empresa perdió casi 40 millones de dólares por una estafa BEC.
  • 2020: En los titulares de todo el mundo, el gobierno de Puerto Rico fue engañado por un estafador para que enviara 2,6 millones de dólares a una cuenta fraudulenta.

Ejemplo de correo electrónico comprometedor para una empresa de pagos


Dear [Your Name],
I hope this email finds you well. We have an urgent payment request that requires your immediate attention. Our company has recently provided services to your organization, and we have yet to receive payment for the outstanding balance.
As such, we kindly request that you make payment as soon as possible to avoid any further delay. Please find attached the invoice for your reference. The payment details are as follows:
Bank Name: [Bank Name]
Account Name: [Account Name]
Account Number: [Account Number]
Swift Code: [Swift Code]
Amount Due: [Amount Due]
We would appreciate it if you could settle this payment within the next 24 hours, and provide us with the confirmation details once payment is made. If you have any questions, please do not hesitate to contact us.
Thank you for your prompt attention to this matter.
Sincerely,
[Name]
[Title]
[Company Name]

Ejemplo de compromiso jurídico por correo electrónico


Subject: Urgent Legal Matter – Please Respond ASAP
Dear [Your Name],
I hope this email finds you well. My name is John Smith, and I’m an attorney representing XYZ Corporation in a legal matter involving your company. Our client has instructed us to contact you directly regarding this matter.
It has come to our attention that there is an urgent matter that needs to be addressed immediately, and we request that you respond to this email as soon as possible. We would also like to schedule a phone call to discuss the details of the case.
Please note that this communication is confidential and privileged and should not be disclosed to any third parties without our express written consent.
Thank you for your attention to this matter.
Best regards,
John Smith
Attorney at Law

Ejemplo de correo electrónico comercial fraudulento

Subject: Urgent Request – Wire Transfer
Dear [Your Name],
I hope you’re having a productive day. As you know, we are in the middle of an important business deal that requires us to transfer a substantial amount of funds to our overseas partners. Unfortunately, there has been a delay in the processing of the wire transfer due to an issue with our banking system.
In light of this delay, I urgently request that you transfer the sum of [amount] to the following account [account details]. Please ensure that the transfer is processed immediately, as time is of the essence in this matter.
I understand that this is an unusual request, but I assure you that it is a necessary step to ensure success.

Comprender el objetivo principal del compromiso del correo electrónico empresarial

The main goal of business email compromise is to trick a target into transferring money, usually via wire transfer. Some fraudsters also ask for gift cards, while others try to steal confidential data to hack email accounts.

Although the goal of a BEC scam is almost always financial, attackers may use a combination of different methods to achieve their objectives, such as malware, fake invoices, impersonation, and spear phishing. The ultimate target of these attacks are people with the ability to send money, such as company executives, finance managers, and clients of law firms or real estate businesses. Vendors are also targets of these scams, especially in a targeted supply attack.

Riesgos del correo electrónico comercial comprometido (BEC)

  • Pérdidas financieras: Las organizaciones pueden sufrir importantes pérdidas financieras.
  • Daños a la reputación: Los socios comerciales pueden perder la confianza en una empresa engañada por una estafa BEC.
  • Pérdidas operativas: Pagar a un estafador en lugar de al proveedor puede acarrear graves problemas de tesorería a corto y largo plazo.
  • Cuestiones de cumplimiento: Una violación de datos en la que se robe información sensible de los clientes puede acarrear problemas legales.

Recursos destacados

Frequently Asked Questions (FAQ) about

¿Por qué es tan problemático comprometer el correo electrónico de las empresas?

Business email compromise is a problem because emails can be vulnerable to different types of scams due to the fast-paced nature of modern workplaces, remote working, and the security vulnerabilities within email systems. In addition, many employees in hybrid work environments don’t have sufficient technology or training to defend themselves against cybercrimes.

BEC is also a significant problem because a successful attack can harm a company’s reputation, operations, and morale, and leave it open to fines and civil action.

For advanced cybersecurity, your organization should invest in a robust EDR platform. A top Endpoint Detection and Response mechanism can prevent different types of malware, including ransomware, from harming your business.

With cutting-edge technology and improved employee awareness, your organization can prevent losses to business email compromise attacks and optimize workflow confidently.

¿Cuáles son los indicadores de compromiso en un correo electrónico?

Entre los signos y síntomas de un ataque de correo electrónico empresarial comprometido (BEC) se incluyen:

  • Dirección de correo electrónico inusual.
  • Enlace o página web extraña.
  • Errores ortográficos y gramaticales.
  • Saludos, saludos y lenguaje extraños.
  • Una mayor sensación de urgencia en el pago.
  • Adjunto no solicitado.
  • Archivo adjunto con extensión .exe o .zip.
  • Demanda de información confidencial.
  • Factura con nuevos datos bancarios.
  • Solicitudes de tarjetas regalo o pagos en criptomoneda.

The FBI has specially trained squads across the United States to investigate cybercrime. They request that victims of online or Internet-enabled crimes contact the Internet Crime Complaint Center (IC3) for help. The speed with which you report a crime can improve the outcome.

¿Quiénes son los destinatarios más frecuentes de los correos electrónicos de tipo BEC?

Ciberdelincuentes de cualquier rincón del mundo pueden ser responsables de un ataque BEC. Sin embargo, muchas estafas se originan en el extranjero, donde estos delitos son más difíciles de rastrear. Los ataques BEC se dirigen a empresas de todos los tamaños, gobiernos y organizaciones, pero con mayor frecuencia son atacadas las pequeñas empresas. BEC es un tipo de ataque de phishing en el que el ciberatacante busca robar información crítica, datos o dinero. Los departamentos de Recursos Humanos y Finanzas son objetivos cada vez más frecuentes de BEC.

¿Cuál es el objetivo principal de comprometer el correo electrónico empresarial?

El principal objetivo del correo electrónico empresarial comprometido es ganar dinero de forma fraudulenta.