Seg\u00fan un reciente estudio realizado por ISACA, los tres principales tipos de ataque que sufrieron las empresas durante 2018 son el phishing, malware y ataques de ingenier\u00eda social.<\/p>\n
El BEC o Business Email Compromise en ingl\u00e9s, es decir, compromiso del email corporativo, es un tipo de ataque basado en phishing que en la mayor\u00eda de los casos implica tambi\u00e9n ingenier\u00eda social y en algunos casos tambi\u00e9n malware. Principalmente consiste en que un ciberdelincuente se hace pasar por un ejecutivo e intenta hacer que un empleado, cliente o vendedor transfiera fondos o informaci\u00f3n confidencial al atacante. Habitualmente tambi\u00e9n es conocido como el \u0093Fraude del CEO\u0094, y aunque \u00e9ste sea el escenario m\u00e1s habitual, hay distintas modalidades. <\/p>\n
En general, el BEC termina con un fraude o estafa en el que el objetivo principal suele consistir en lograr realizar transferencias no autorizadas de fondos a favor de los atacantes, es decir, el fin es puramente econ\u00f3mico. Las empresas susceptibles de ser potenciales v\u00edctimas son aquellas que utilizan las transferencias bancarias como su m\u00e9todo com\u00fan de pago y cobro. <\/p>\n
Seg\u00fan el Internet Crime Complaint Center<\/em> del FBI, tambi\u00e9n conocido como IC3, la estafa BEC contin\u00faa creciendo y evolucionando, afectando tanto a peque\u00f1as, como medianas y grandes empresas a nivel mundial. Entre diciembre de 2016 y mayo de 2018, hubo un aumento del 136% en las p\u00e9rdidas globales identificadas. La estafa ha sido reportada en los 50 estados de EEUU y en 150 pa\u00edses y en base a las quejas de las v\u00edctimas presentadas ante el IC3 y las fuentes de las entidades financieras, se constata que se han enviado transferencias fraudulentas a 115 pa\u00edses. <\/p>\n Los destinos de las transferencias fraudulentas suelen ser bancos asi\u00e1ticos, en pa\u00edses como China y Hong Kong como principales, aunque Inglaterra, M\u00e9xico y Turqu\u00eda tambi\u00e9n est\u00e1n siendo identificados como nuevos pa\u00edses destino para esas transacciones. <\/p>\n Seg\u00fan el FBI hay cinco escenarios principales relacionados por BEC: <\/p>\n El funcionamiento de una estafa BEC inicia con la investigaci\u00f3n de la empresa objetivo. Un atacante examinar\u00e1 la informaci\u00f3n disponible p\u00fablicamente sobre su empresa desde su sitio web, comunicados de prensa e incluso publicaciones en redes sociales. Igualmente se obtendr\u00e1 informaci\u00f3n de los nombres y t\u00edtulos oficiales de los directivos de la compa\u00f1\u00eda, su jerarqu\u00eda corporativa e incluso planes de viaje o agenda a partir de respuestas autom\u00e1ticas por correo electr\u00f3nico o mediante ingenier\u00eda social usando llamadas a la secretar\u00eda o recepci\u00f3n haci\u00e9ndose pasar por un contacto l\u00edcito.<\/p>\n El atacante intentar\u00e1 obtener acceso a la cuenta de correo electr\u00f3nico de ese directivo o empleado mediante ataques por fuerza bruta, ingenier\u00eda social, etc. Si lo consigue, para no ser detectado, lo habitual es definir ciertas las reglas de la bandeja de entrada para redirigir los correos o cambiar la direcci\u00f3n de respuesta en los env\u00edos para que cuando se ejecute la estafa, el ejecutivo no sea alertado. <\/p>\n EL m\u00e9todo m\u00e1s habitual es el email spoofing o lo que viene a ser lo mismo crear un correo electr\u00f3nico con un dominio falso, pero que parezca una direcci\u00f3n de correo electr\u00f3nico leg\u00edtima y as\u00ed se enga\u00f1a a la v\u00edctima para que piense que proviene de alguien que no lo hizo. <\/p>\n Por ejemplo, el atacante podr\u00eda usar nombre.apellido@empresa_ejemplo.com en lugar de nombre.apellido@empresaejemplo.com, o nombre.apellido@empresaejemplo.org<\/a> en lugar de nombre.apellido@empresaejemplo.com<\/a>. Si no presta mucha atenci\u00f3n, es f\u00e1cil dejarse enga\u00f1ar por estas peque\u00f1as diferencias. <\/p>\n Despu\u00e9s de obtener cierta informaci\u00f3n corporativa durante alg\u00fan tiempo, el atacante probablemente tendr\u00e1 una buena idea de los escenarios de estafa que podr\u00edan funcionar y podr\u00e1 elaborar un escenario convincente que requiera la transferencia inmediata de fondos y ejecutar un ataque. <\/p>\n En un pr\u00f3ximo art\u00edculo continuaremos tratando del BEC y veremos los mecanismos y consejos para protegernos de este tipo de ataques e incluso con ayuda de empresas especializadas, tal y como hacemos desde la Divisi\u00f3n de Seguridad de Auren, para simular este tipo de ataques en las compa\u00f1\u00edas y as\u00ed concienciar y formar tanto a usuarios como a los equipos de respuesta y t\u00e9cnicos y responsables de seguridad de la entidad. <\/p>\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n