En 2022, los ataques de Business Email Compromise (BEC) causaron unas pérdidas en EE.UU. por valor de casi 3.000 millones de dólares(1). En España, al menos el 70% de las empresas sufrió un ataque de este tipo en 2023(2).
Los delincuentes llevan años realizando fraudes a través de correo electrónico – phishing-. Una versión más avanzada de este ataque es el Business Email Compromise. Se trata de phishing dirigido y personalizado que utiliza cuentas de correo corporativo suplantadas o comprometidas para cometer fraudes, normalmente con fines económicos. Tanto la víctima como la organización a la que pertenece han sido previamente investigadas para poder personalizar y diseñar el correo de la forma más realista posible.
En estos correos, los ciberdelincuentes suelen hacerse pasar por un superior que necesita, urgentemente, que el empleado realice una acción para la que no hay tiempo de mantener los procedimientos o comprobaciones oficiales. Suele tratarse de un supuesto asunto muy confidencial que la víctima no puede compartir con ninguna otra persona de la organización. También es habitual que el remitente solicite que no se contacte de nuevo con él si no es con la información solicitada, ya que no estará disponible -en el correo seguramente explique que estará ocupado con una reunión muy importante, un viaje u otra excusa-.
¿Cómo llevan a cabo un ataque BEC?
1. Comprometen la cuenta de correo corporativa: esto puede hacerse bien obteniendo el usuario y la contraseña de una cuenta corporativa real o falseando el dominio de la cuenta a suplantar. En este segundo caso, los ciberdelincuentes modifican ligeramente el dominio de una cuenta de correo electrónico para que las víctimas la confundan con la auténtica, ya que visualmente no se aprecian grandes diferencias.
Un ejemplo podría ser:
usuario@dominio.com
usuario@dorninio.com
Como podemos observar, visualmente la letra “m” es fácilmente confundible con las letras “r” y “n” -rn- juntas.
2. Contactan por correo electrónico mediante la cuenta falsificada: buscando que el empleado revele información confidencial o realice la acción solicitada, como modificar información bancaria o realizar transferencias a favor de los ciberdelincuentes. Para dotar de mayor credibilidad a la solicitud y no levantar sospechas, es posible que el atacante realice una serie de peticiones previas, como solicitar documentación sobre el asunto tratado antes de requerir la operación económica o información confidencial. Es importante tener en cuenta que esta información no tiene que ser el fin último del fraude, sino que puede aportar información necesaria para llevar a cabo un fraude mayor.
3. Posibilidad de que empleen software malicioso – malware-: en estos ataques no siempre utilizan enlaces o archivos maliciosos, pero podrían introducirlos y esto les permitiría infectar los equipos de la organización o acceder a los mismos sin ser detectados.
Los tipos de ataques BEC más comunes son:
Fraude del CEO: se hacen pasar por un miembro de la organización de alto rango, normalmente un directivo o C-Level, y busca que el empleado transfiera dinero a una cuenta fraudulenta o que facilite información confidencial.
Fraude a proveedores: suplantan a un proveedor o socio comercial y buscan que se modifiquen datos bancarios o se realice algún pago a una cuenta fraudulenta.
Fraude a RR.HH.: suplantan la identidad de un empleado para solicitar a RR.HH. que cambie la cuenta bancaria en la que se recibe la nómina a otra controlada por los ciberdelincuentes.
Como se puede ver, este tipo de fraude no ataca a la tecnología, sino que ataca a las personas. Si se recibe una petición inusual, crítica o que transmite urgencia o miedo, lo mejor es desconfiar y verificar la petición por otro canal.
Fuentes:
Configuración de cookies
