El correo electrónico es la puerta de entrada a numerosos incidentes de seguridad, tanto en las empresas como a nivel de usuario. Recibir mensajes que tratan de engañar para obtener los datos personales, como es el caso del phishing, o enviar archivos maliciosos adjuntos son algunas de las técnicas más usadas tradicionalmente. Pero hay otra que destaca y cada vez más en las organizaciones, y que es una pura estafa o fraude por e-mail.
Las estafas por correo electrónico, en concreto las que van dirigidas a directivos o personal cercano a ellos para obtener transferencias fraudulentas, han aumentado de forma exponencial. Solamente en 2017 los intentos de estafa registrados por la firma de seguridad Trend Micro aumentaron un 106%, afectando a 6.533 entidades, y con un pago económico por ataque más alto que el año anterior.
La epidemia del fraude del CEO
Hace unas semanas, el FBI daba a conocer el resultado de una operación en la que detenían a decenas de implicados en un fraude de tipo BEC: Business Email Compromise, conocido coloquialmente como el «fraude del CEO«, que os explicábamos aquí.
Para la firma de seguridad, esta técnica se ha convertido en una epidemia, que se está extendiendo por todo el mundo como han hecho otras amenazas como el ransomware. Los motivos para este crecimiento es la potencial recompensa que pueden recibir los ciberdelincuentes, más altas que con otro tipo de acciones.
En el último informe IC3 del FBI se afirma que el fraude del CEO ha generado pérdidas por encima de otras amenazas, ascendiendo a los 676 millones de dólares en 2017.
En relación a este caso, David Sancho, investigador de amenazas de Trend Micro y responsable del equipo de investigación en Iberia, expresa su satisfacción al «ver a la policía respondiendo contra un enemigo ágil, sofisticado y con muchos recursos. Cuanto más a menudo las fuerzas y cuerpos de seguridad puedan interrumpir estas campañas y confiscar fondos, más oportunidades tendremos de probar que el crimen se paga”, afirma
Para evitar estos males, «las organizaciones deben ser proactivas a la hora de mejorar la formación y educación de su personal y asegurarse de que adquieren las competencias necesarias en materia de protección del correo electrónico a fin de que puedan detectar y bloquear las estafas BEC», explican desde Trend Micro.
Y es que uno de los problemas a la hora de detectar estos ataques, según apuntan, es que no suelen contener archivos maliciosos o malware que detectar, por lo que pueden pasar desapercibidos por los radares de las defensas. Al tratarse de mensajes que por lo general incitan a la urgencia (por realizar una transferencia bancaria de una operación de última hora), muchas veces no se comprueba su veracidad. Si se analiza con más detenimiento, se detectará que se está enviando ese e-mail desde un dominio falso que parece provenir de un directivo de la empresa.
Parte del problema con la detección de ataques BEC es que, por lo general, no contienen ningún tipo de malware que detectar y, por lo tanto, pasan desapercibidos al radar de las defensas tradicionales. Educar a los empleados para que examinen los correos electrónicos en los que se solicitan transferencias de dinero es parte de la estrategia de prevención básica.
El poder de las Fake News: “Llegan a mucha gente en muy poco tiempo”, David Sancho
