Denominado comúnmente como el “fraude del CEO”, el Business Email Compromise (BEC) ha sido desde hace años un quebradero de cabeza para las empresas. El correo electrónico ha sido tradicionalmente un coladero para que los ciberdelincuentes hagan caja. Pero esta técnica es especialmente dañina.

Precisamente hace un mes se conocía el arresto por parte de FBI de 74 personas relacionadas con este tipo de fraudes. La operación denominada “Wire Wire” se alargó seis meses, y tuvieron actuar a nivel internacional para dar con los ciberdelincuentes en la que se recuperaron 14 millones de dólares en transferencias.

Este fraude consiste en un ataque dirigido (los cibedelincuentes saben a quién se están dirigiendo) en el que un empleado de una empresa, habitualmente cercano a un alto cargo o directivo, recibe un correo electrónico que parece provenir de otra persona de esa compañía. En este mensaje se le solicita hacer algún tipo de transferencia bancaria, que irá parar a los bolsillos del estafador.

Este tipo de amenaza no es un ataque simple, ni lo llevan a cabo los spammers o timadores habituales, sino que es el “resultado de ataques sofisticados ejecutados por etapas, donde paso a paso se va obteniendo información o material que se utilizará en próximas fases hasta llegar al objetivo final”, señala Juan Segovia, CTO de Spamina, quien apunta que ese objetivo no es otro que obtener beneficios económicos directos (como transferencias de fondos), o acceder a propiedad intelectual”.

Vulnerabilidades de software o ingeniería social

Segovia explica que las primeras fases pueden valerse de vulnerabilidades de programas de amplio uso, como Windows, Outlook, u otros programas comunes de ofimática, así como de la ingeniería social. Es decir, obteniendo información de otra persona para poder manipularla más fácilmente.

Por ejemplo, pueden obtener desde datos sobre las partes involucradas en una negociación que la empresa esté llevando a cabo o simplemente conocer el nombre de proveedores importantes.

Los atacantes usan estos datos obtenidos para hacer más creíble a la víctima el siguiente paso o el siguiente correo electrónico que envíen, que contendrá información veraz que supuestamente solo sabría alguien “de dentro”.

Por ejemplo, “un asistente de CEO u otro directivo puede recibir unas instrucciones imperativas, directas, que no dejan lugar a dudas sobre la acción a tomar (transferir fondos inmediatamente u otra acción perjudicial). Una vez ejecutada la orden, el daño está hecho y el objetivo del atacante, cumplido”, advierte Segovia.

El experto añade en este punto que el cooperante necesario no es el CEO directamente u otro directivo, sino aquellos empleados que trabajan de cerca con estos, que tienen su confianza y están en posición de ejecutar acciones. Por lo que Segovia apunta que “las medidas de protección y defensa deben tener en cuenta a estas personas y roles que tienen un papel esencial en el esquema del fraude”.

El secreto del éxito

Este tipo de ataques no son nuevos, es más, llevan años funcionando y atacando a empresas de todo el mundo. ¿A qué se debe su éxito?

Para Segovia, este éxito se debe a que es un tipo de ataque dirigido con víctimas seleccionadas con algún criterio concreto y ejecutados durante un tiempo potencialmente prolongado, características que complican su detección a menos que se cuente con herramientas específicas.

La diferencia con otros tipos de ataques populares hacia las compañías que llegan a través del correo electrónico, como puede ser el phishing, es que estos no suelen ser dirigidos, sino que llegan a un gran número de destinatarios, de los que una proporción se convertirá en víctima. Además, las empresas que sufren un incidente de tipo BEC no solo son víctimas de unas pérdidas económicas considerables, “sino que también pueden desvelar información confidencial de la organización lo que puede dañar seriamente la estructura de la misma causando graves problemas de imagen e incluso la quiebra”, advierte Segovia.

Prevención y formación para evitar el fraude

Como consejos para evitar ser una víctima de este tipo de fraudes, el experto señala la importancia de educar a toda la organización, ya que “cualquier empleado puede ser “pieza instrumental” en un ataque multi-etapa”, además de implementar herramientas específicamente diseñadas para detectar este tipo de ataques y definir procedimientos internos y darlos a conocer a todo el staff. De este modo, explica, los empleados pueden reportar cualquier actividad sospechosa, incluso cuando no se tome ninguna acción y contribuir a prevenir cualquier incidente que pueda provocar en la organización pérdidas tanto económicas como de imagen.

 

Deja un comentario